Contenu | Rechercher | Menus

Annonce

Si vous rencontrez des soucis à rester connecté sur le forum (ou si vous avez perdu votre mot de passe) déconnectez-vous et reconnectez-vous depuis cette page, en cochant la case "Me connecter automatiquement lors de mes prochaines visites". Attention, le forum rencontre actuellement quelques difficultés. En cas d'erreur 502, il ne faut pas re-valider l'envoi d'un message ou l'ouverture d'une discussion, au risque de créer un doublon.

La section divers se réorganise ! De nouvelles sous-sections à venir. (plus d'infos + donner son avis)

#1 Le 03/07/2013, à 07:20

moko138

Tentatives d'intrusion derrière freebox

Bonjour,
  De passage chez un proche équipé d'une vieille freebox, j'ai connecté mon portable (je n'ai pas de serveur) à la box, et je me suis endormi en oubliant de me déconnecter. Comme j'avais, dans les mêmes circonstances en décembre, subi des tentatives d'intrusion répétées, j'ai regardé au réveil mon auth.log. Il contenait ces cinq EDIT : six tentatives :

Jul  3 02:17:02 localhost CRON[3789]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul  3 02:17:02 localhost CRON[3789]: pam_unix(cron:session): session closed for user root
Jul  3 02:28:57 localhost sshd[3795]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=114.80.224.90  user=root
Jul  3 02:28:59 localhost sshd[3795]: Failed password for root from 114.80.224.90 port 34726 ssh2
Jul  3 02:29:07 localhost sshd[3797]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=114.80.224.90  user=root
Jul  3 02:29:09 localhost sshd[3797]: Failed password for root from 114.80.224.90 port 37994 ssh2
Jul  3 02:29:16 localhost sshd[3799]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=114.80.224.90  user=root
Jul  3 02:29:18 localhost sshd[3799]: Failed password for root from 114.80.224.90 port 41053 ssh2
Jul  3 02:29:26 localhost sshd[3801]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=114.80.224.90  user=root
Jul  3 02:29:28 localhost sshd[3801]: Failed password for root from 114.80.224.90 port 44205 ssh2
Jul  3 02:29:35 localhost sshd[3803]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=114.80.224.90  user=root
Jul  3 02:29:37 localhost sshd[3803]: Failed password for root from 114.80.224.90 port 47390 ssh2
Jul  3 02:29:45 localhost sshd[3805]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=114.80.224.90  user=root
Jul  3 02:29:46 localhost sshd[3805]: Failed password for root from 114.80.224.90 port 50591 ssh2
Jul  3 03:17:02 localhost CRON[3830]: pam_unix(cron:session): session opened for user root by (uid=0)
Jul  3 03:17:02 localhost CRON[3830]: pam_unix(cron:session): session closed for user root

  J'ai donc appliqué Outils réseau/ whois/ 114.80.224.90, ce qui a donné :

% [whois.apnic.net node-5]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:        114.80.0.0 - 114.95.255.255
netname:        CHINANET-SH
descr:          CHINANET SHANGHAI PROVINCE NETWORK
descr:          China Telecom
descr:          No.31,jingrong street
descr:          Beijing 100032
country:        CN
admin-c:        WWQ4-AP
tech-c:         WWQ4-AP
remarks:        service provider
status:         ALLOCATED PORTABLE
mnt-by:         APNIC-HM
mnt-lower:      MAINT-CHINANET
mnt-lower:      MAINT-CHINANET-SH
changed:        hm-changed@apnic.net 20080514
source:         APNIC

person:         Weng Wen Qian
address:        Room 2405,357 Songlin Road,Shanghai 200122
country:        CN
phone:          +86-21-68405784
fax-no:         +86-21-50623458
e-mail:         wengwq@online.sh.cn
nic-hdl:        WWQ4-AP
mnt-by:         MAINT-CHINANET-SH
changed:        ip-admin@mail.online.sh.cn 20050403
source:         APNIC

  J'ai donc ajouté cette ligne à mon hosts :
127.0.0.1 114.80.224.90 # ajout 20130703 suite tentative intrusion

Questions :
  Le message "authentication failure" peut-il être un leurre cachant des dégâts, ou non ?
  Comment fait-on pour bloquer toute une plage d'adresses dans le hosts ? ("man hosts" ne m'a pas éclairé).
  Avez-vous des conseils à me donner ? Voyez-vous des choses à vérifier ?
D'avance, merci !

Dernière modification par moko138 (Le 03/07/2013, à 17:54)

Hors ligne

#2 Le 03/07/2013, à 10:27

inbox

Re : Tentatives d'intrusion derrière freebox

Salut,

Fail2ban peut faire le travail à ta place.

A+


Un problème résolu ? Indiquez le en modifiant le titre du sujet.
Linux user 449594

Hors ligne

#3 Le 03/07/2013, à 17:53

moko138

Re : Tentatives d'intrusion derrière freebox

Je sais... en théorie ! (Je m'étais renseigné après les tentatives de décembre et j'avais installé ce paquet). Mais je n'ai jamais compris comment on paramétrait fail2ban, ni par le man, ni par un site de doc en anglais, ni par une discussion technique sur notre forum.

  Donc j'ai fail2ban... mais non paramétré.
A moins que ce ne soit un paramétrage par défaut qui a limité à six les tentatives de la nuit dernière ?

Hors ligne

#4 Le 04/07/2013, à 07:41

tiramiseb

Re : Tentatives d'intrusion derrière freebox

Salut,

Juste pour info, sur mon serveur pro, la rotation de ce fichier de log étant sur une semaine :

root@ramel:/var/log# grep -c "Failed password" auth.log
25409
root@ramel:/var/log# grep -c "Failed password" auth.log.1 
6171
root@ramel:/var/log# zgrep -c "Failed password" auth.log.2.gz 
47154
root@ramel:/var/log# zgrep -c "Failed password" auth.log.3.gz 
14013
root@ramel:/var/log# zgrep -c "Failed password" auth.log.4.gz 
25731
root@ramel:/var/log# zgrep -c "Failed password" auth.log.5.gz 
26949
root@ramel:/var/log# zgrep -c "Failed password" auth.log.6.gz 
15861
root@ramel:/var/log# zgrep -c "Failed password" auth.log.7.gz 
38822
root@ramel:/var/log# zgrep -c "Failed password" auth.log.8.gz 
15912
root@ramel:/var/log# zgrep -c "Failed password" auth.log.9.gz 
15854

et ainsi de suite...

Je ne m'en émeus pas plus que ça...

Dernière modification par tiramiseb (Le 04/07/2013, à 07:43)


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXe siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#5 Le 05/07/2013, à 03:17

moko138

Re : Tentatives d'intrusion derrière freebox

Merci !
  Tiramiseb, tu ne t'en émeus pas plus que ça..., parce que tu as un bagage suffisant pour distinguer ce qui est inquiétant ou non.
  Bonne journée à tous !

Hors ligne

#6 Le 05/07/2013, à 10:39

tiramiseb

Re : Tentatives d'intrusion derrière freebox

Tiramiseb, tu ne t'en émeus pas plus que ça..., parce que tu as un bagage suffisant pour distinguer ce qui est inquiétant ou non.

Bah justement, j'informe qu'il n'est pas nécessaire de s'inquiéter pour un nombre important de tentatives de connexion SSH... À partir du moment où l'authentification est correctement sécurisée (a minima un mot de passe bien compliqué).

Pour ma part, j'ai complètement désactivé le mot de passe de "root", je ne passe que par des clés SSH (avec phrases de passe bien sûr) : aucun risque d'être piraté de cette manière-là.


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXe siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#7 Le 10/07/2013, à 13:18

Grünt

Re : Tentatives d'intrusion derrière freebox

Tu devrais prévenir la personne qui possède la Freebox du fait qu'elle n'est pas en mode routeur.

Du coup :
- Il n'est possible de connecter qu'un seul ordinateur derrière,
- Si elle connecte un ordinateur qui n'a pas de parefeu, il est vulnérable aussi (si c'est un Windows sans parefeu, son temps de survie se compte en secondes).


Red flashing lights. I bet they mean something.

Hors ligne

Haut de page ↑