Ubuntu-fr

Ned2000

SSH brute-force from your network

Bonjour,

Je viens d'avoir un mail de mon hébergeur pour mon VDS : SSH brute-force from your network
"merci d'agir rapidement si le problème est toujours présent.
Au prochain avertissement nous devrons suspendre votre VDS."

Voici dans les logs :

"An attempt to brute-force account passwords over SSH/FTP by a machine in your domain or in your network has been detected. Attached are the host who attacks and time / date of activity. Please take the necessary action(s) to stop this activity immediately. If you have any questions please reply to this email."

Attacked hosts in our Network: 77.75.254.60, 85.158.182.107, 178.250.10.76, 85.158.183.160, 77.75.254.83, 37.228.153.11, 85.158.183.60, 85.158.181.35, 178.250.10.185, 178.250.10.58, 77.75.254.168, 77.75.251.205, 85.158.183.201, 85.158.183.212, 77.75.249.229, 85.158.181.17, 77.75.254.74, 85.158.183.41, 85.158.182.48, 77.75.250.47, 85.158.182.13, 77.75.249.170, 85.158.181.27, 185.39.221.208, 77.75.249.171, 85.158.183.214, 77.75.250.185, 37.228.159.142, 85.158.181.29

Logfile entries (time is MET / GMT+1):
Mon May 29 22:58:44 2017: user: klausenhof service: ftp target: 85.158.183.201 source 46.255.XXXXXXXXX
ect.

J'ai arrêter les serveur SSH / FTP /

Pouvez vous m'indiquez qu'elle sont les actions à mettre en place svp ?
Merci d'avance,

Modération

merci de respecter les règles du forum dont voici un extrait :

« Les titres … et autres tags [très urgent] afin d'attirer l'attention sur un sujet, sont susceptibles d'être modifiés par les modérateurs (à noter que le tag [Urgent] peut être utilisé dans le cas d'un problème touchant la communauté entière (faille critique, mise à jour buguée, etc.)). ».

Dernière modification par cqfd93 (Le 30/05/2017, à 10:50)

jean-luc5629

Re : SSH brute-force from your network

Salut;

C'est qui ton prestataire ?

Sinon, as tu réellement besoin ou utilité d'avoir le FTP (j'espère en (s)) ?? Le SFTP seul ne ferait il pas l'affaire ?; ça réduit le nombre de ports en écoute, et comme le SFTP est sous SSH, c'est bien plus facile à sécuriser:

Tu fais une connexion SSH - SFTP uniquement par clefs 2048 ou +, et une fois les clefs testées tu mets "PasswordAuthentication no" dans ton sshd_config et redémarre ssh pour prise en compte.

Et ensuite ....quasiment plus de logs dans auth.log (par exemple sur mon serveur OVH que des logs du type):

May 30 09:56:59 serveur sshd[27698]: Accepted publickey for root from xx.xx.xx.xx port 2742 ssh2: RSA SHA256:5DiL3AWDbd1Rq/xxxxxxxxxxxxxxxxxxxxxxxxxxxx
May 30 09:57:01 serveur sshd[27701]: Accepted publickey for root from xx.xx.xx.xx port 2743 ssh2: RSA SHA256:5DiL3AWDbd1Rq/xxxxxxxxxxxxxxxxxxxxxxxxxxxx
....

Avec le ssh sur le 22 !!!

Ned2000

Re : SSH brute-force from your network

Je suis chez Phpnet.

Est ce qu'il y a un tuto ou quelque chose pour faire cette opération ?

Merci d'avance.

jean-luc5629

Re : SSH brute-force from your network

Je suis chez Phpnet.

Est ce qu'il y a un tuto ou quelque chose pour faire cette opération ?

Merci d'avance.

Une méthode...mais il y a pleins de tutos sur le net...après ça dépend si tu te connectes à ton serveur depuis linux ou depuis win; voici un mixte sous root sur ton serveur:

apt-get install -y putty-tools #necessaire si tu te connectes d'un poste sous windows pour générer en .ppk , sinon à partir de la clef id_rsa c'est aussi possible via puttygen (package putty).
mkdir -p /root/{.ssh,ssh}
ssh-keygen -f /root/.ssh/id_rsa -t  rsa -b 4096 #rentrer et répéter mot de passe ou passphrase quand demandé ou sinon :  ssh-keygen -f /root/ssh/id_rsa -t  rsa -b 4096 -N ''   si tu veux sans passphrase
puttygen /root/.ssh/id_rsa -O private -o /root/.ssh/root.ppk #seulement si tu te connectes a ton serveur d'un poste windows
cat /root/.ssh/id_rsa.pub >> /root/.ssh/authorized_keys
mv /root/.ssh/root.ppk /root/ssh/root.ppk
mv /root/.ssh/id_rsa /root/ssh/id_rsa
chmod 700 /root/.ssh
chmod 600 /root/.ssh/*

Tu récupères ensuite sur ton poste le contenu du dossier /root/ssh contenant 2 clefs privées:

1: id_rsa si tu te connectes d'un poste sous linux ( mettre ce fichier dans le dossier .ssh de l'utilisateur qui se connecte au serveur):

mkdir -p /chemin de l'utilisteur se connectant au serveur/.ssh #ex: mkdir -p /root/.ssh
mv /chemin ou t'as mis ton fichier id_rsa /..../.ssh
chmod 700 /..../.ssh
chmod 600 /..../.ssh/*

2: root.ppk pour windows:

- sous putty dans les options de ta connexion (onglet auth), indiquer le chemin vers le fichier root.ppk sur ton poste

-Même méthode applicable pour filezilla ou winscp ou autres, il suffit dans les paramètres d'indiquer le chemin vers ta clef

-autre possibilité utiliser pageant qui est un utilitaire de putty, créer un raccourci de ce fichier, et modifier les propriétés de ce raccourci au champ cible : " C:\xxx\xxxx\putty\PAGEANT.EXE C:\xxxx\root.ppk" ; et placer ce raccourci dans le dossier démarrage de session windows, et comme ça ta clef sera chargée pour toutes les applications pouvant l'utiliser, ça peut être putty, mais lui indiquer d'utiliser pageant, ou filezilla, ou winscp,...etc...

Tu auras juste ton mdp ou passphrase à renter si tu as généré avec...

Une fois la connexion testée, tu pourras supprimer ta connexion par mot de passe dans le sshd_config

A+

Dernière modification par jean-luc5629 (Le 30/05/2017, à 14:14)

Ned2000

Re : SSH brute-force from your network

Merci beaucoup,

En attendant de testé, si je laisse le serveur FTP et SSH désactivé, cela permet-il que des attaques ne se produisent pas ?

jean-luc5629

Re : SSH brute-force from your network

Merci beaucoup,

En attendant de testé, si je laisse le serveur FTP et SSH désactivé, cela permet-il que des attaques ne se produisent pas ?

Perso, je ne vois pas l'utilité du FTP ou FTPs, vu qu'on fait la même chose (transfert de fichiers de ou vers le serveur) en SFTP.

De plus si FTP, privilégier le FTPs seulement , et choisir des mots de passe pour les utilisateurs digne de ce nom (longs : >=16, mélangeant de façon aléatoire majuscules, minuscules, chiffres, et caractères spéciaux, bref non mémorisables, mais c'est le prix à payer !!! et les renouveler de temps en temps...éviter les connexions en root en FTPs.

Par contre en SFTP ou SSH, si connexion par clefs exclusivement : (banissement de la connexion/mdp), pas de problèmes pour se connecter en root et garder le port 22.

Une connexion par clefs même en 2048; ça reste inviolable en utilisant même des moyens disproportionnés dans une durée raisonnable de moins de 10 ans:

http://security.stackexchange.com/quest … encryption
http://superuser.com/questions/881063/h … pted-email

Alors en 4096 !!!, et d'ici là t'auras changé de serveur, et donc de clefs...

Par clefs, les robots ou autres n'insistent pas, ils vont frapper à la porte une fois, puis s'en vont....et tant qu'ils ne font que frapper à la porte pas de soucis...t'auras très peu de logs, à part les tiens issus de ta connexion au serveur; Fail2ban et Portsentry ne servent plus à rien....

Dernière modification par jean-luc5629 (Le 30/05/2017, à 16:07)

pires57

Re : SSH brute-force from your network

@jean-luc5629 :
La première chose à retenir en sécurité informatique c'est que le risque zéro n'existe pas.
Tu peut mettre autant de clés que tu le souhaite, si par exemple tu te fait piquer ton PC et que tu ne penses pas à les révoquer ...
Si des logiciels comme Fail2ban et Portsentry existent, c'est qu'il y a une raison. Certes pour du perso ce n'est pas spécialement utile mais pour une utilisation professionnelle ils peuvent avoir un intérêt.

Concernant l'accès FTP, SFTP (SSH+FTP ) ou FTPS (FTP+SSL) sont tout les deux sécurises mais FTPS est un peu plus chiant à mettre en place par rapport à SFTP puisque sans installer de serveur FTP (port 20 /21 pour rappel ) tu pourras accéder à tes données via SFTP puisque la communication sera encapsulé dans SSH (port 22 ) qui est parfaitement capable de faire cela.
Personnellement j'ai des serveurs en SFTP et d'autres avec du FTPS, tout dépend au final de ce que tu souhaites faire.

---

Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

bruno

Re : SSH brute-force from your network

heu, je ne comprends pas trop les réponses…

De ce que j'ai compris l'hébergeur de Ned 200 lui indique que son VPS est utilisé pour tenter des attaques par force brute sur de nombreuses autres machines.

J'en conclus que le VPS de Ned200 a été compromis .Il héberge probablement un script ou un programme malveillant quelconque qui exécute ces attaques.
Il peut fermer tous les services qu'il veut, cela sera certainement inefficace.

Si un serveur est compromis, la seule solution, c'est la réinstallation et éventuellement l'analyse post-mortem à partir d'une image disque.

Ned2000

Re : SSH brute-force from your network

heu, je ne comprends pas trop les réponses…

De ce que j'ai compris l'hébergeur de Ned 200 lui indique que son VPS est utilisé pour tenter des attaques par force brute sur de nombreuses autres machines.

J'en conclus que le VPS de Ned200 a été compromis .Il héberge probablement un script ou un programme malveillant quelconque qui exécute ces attaques.
Il peut fermer tous les services qu'il veut, cela sera certainement inefficace.

Si un serveur est compromis, la seule solution, c'est la réinstallation et éventuellement l'analyse post-mortem à partir d'une image disque.

Mais comment dans ce cas le savoir ? Moi j'ai compris qu'il y a un accès de l’extérieur et qui fait de la mmmmm .

bruno

Re : SSH brute-force from your network

Il n'y a rien à savoir. Ton hébergeur te l'a expliqué.

Ton serveur est utilisé pour mener des attaques par force brute.
Si ce n'est pas toi même qui lance ces attaques, c'est que ton VPS a été compromis (faille de sécurité, erreur de configuration, mot de passe faible, accès depuis un Windows vérolé (sic), etc.). Il faut donc réinstaller et changer tous les mots de passe.

jean-luc5629

Re : SSH brute-force from your network

pires57
@jean-luc5629 :
La première chose à retenir en sécurité informatique c'est que le risque zéro n'existe pas.
Tu peut mettre autant de clés que tu le souhaite, si par exemple tu te fait piquer ton PC et que tu ne penses pas à les révoquer ...

Effectivement le risque zéro n'existe pas; mais dans le cas que tu cites, on arrive à l'extrême !!!; et encore si t'a protégé ta clef avec une bonne passphrase, je ne sais pas si c'est si évident que çà de la craquer...et même si il y arrive, ça prendra je pense un certain temps !!! et suffisamment important pour avoir normalement changé tes clefs.
En plus, celui qui te pique ta clef, faut encore qu'il connaisse l'ip du serveur à laquelle elle correspond, sauf à l'avoir rentré en dur dans un soft comme filezilla...

Sinon, dans le cas de ned2000, oui, c'est son serveur qui est corrompu..trop tard, faut repartir à zéro...

Dernière modification par jean-luc5629 (Le 30/05/2017, à 18:36)

Ned2000

Re : SSH brute-force from your network

J'ai un prestashop qui tourne dessus.

Donc, si j'ai bien compris, il faut que je re-installe tout le système  ......

jean-luc5629

Re : SSH brute-force from your network

Oui,

Comme souvent hélas, les merdes sur les serveurs proviennent de cms ou autres paquets non issus des distributions....

Ned2000

Re : SSH brute-force from your network

et si j'ai une sauvegarde du serveur entier et que je re injecte cette sauvegarde ?
Chose que j'ai fait il y a environs 1 mois suite à un plantage.....

Parce que le souci, si je reinstalle tout Prestashop ect. dans 10 ans j'aurais pas fini ....

Ou juste une sauvegarde de Prestashop ?

Merci pour vos suggestion

bruno

Re : SSH brute-force from your network

Si tu es sûr que ta sauvegarde complète du serveur est saine, tu peux l'utiliser. Mais il te faudra ensuite restaurer la dernière sauvegarde quotidienne de la base de donnée car on ne peut se permettre de perdre un mois de données sur une boutique en ligne…

Sinon la réinstallation d'un Prestashop ce n'est pas si long…

N'oublie pas de changer tous les mots de passe, y compris ceux de Prestashop. Et il serait bon d’essayer de savoir comment ton serveur a été compromis afin que cela ne se reproduise plus.