#1 Le 24/02/2009, à 15:01
- Askelon
(kômik) Tentative de hack ?
J'héberge sur mon pc plusieurs serveurs : SSH, Apache, FTP ... je trouvais que j'avais beaucoup de trafic en up sur ma connexion depuis quelques temps ; je regarde les logs du serveurs FTP, et oh, surprise, depuis les 2 ou 3 jours qu'il est actif, j'ai reçu des centaines et des centaines de connexions, toutes à moins d'une seconde d'intervalle, provenant d'une seule et même IP ... des centaines de demandes d'identification ratées, avec pour utilisateur "admin", "administrateur", "anonymous" ...
Je lance le scanner et le traceur ; le site ip-adress me donne l'IP localisée à Péquin, mais mon traceur me la localise aux USA et ne va pas plus loin. Le scan me renvoie un paquet de services ouvert dessus, Netbios, SSH, HTTP, FTP, Telnet, smtp, msrpc ....
Bref, y a un gars qui essaie de se connecter sur mon FTP on dirait et qui possède un matos assez bizarre ... j'ai coupé mon server dès que j'ai vu çà, je vais le relancer pour voir si ça reprend. Y a rien d'important dessus, mais tout de même, étrange cette affaire ... D'autant que je n'ai aucune tentative de connexion de cette IP en ssh ... par contre j'en ai de multiples la nuit dernière, d'une IP américaine avec encore plus de services lancés (Apache, VNC, SSH, pop3, Mysql_ubuntu ), d'ailleurs elle vient de recommencer, on dirait des tentatives de forcing avec une liste de noms d'utilisateurs ...
Dès l'instant qu'on héberge ses propres serveurs avec une redirection dyndns qu'on poste quelque part, tous les boulets du monde entier viennent s'exciter dessus
Dernière modification par Askelon (Le 24/02/2009, à 15:47)
Hors ligne
#2 Le 24/02/2009, à 15:04
- Neros
Re : (kômik) Tentative de hack ?
[paniqué]
Arg mais tu es malade!
Tous les partisants du minitel 2.0 vont crier joie!
[/paniqué]
Mais ça doit pas aider à avoir une bonne bande passant tout ça...
Mais il te sert à quoi le FTP ?
Le ssh suffit largement. (bon à moins que tu souhaites partager tes données...)
Dernière modification par Neros (Le 24/02/2009, à 15:05)
Hors ligne
#3 Le 24/02/2009, à 15:07
- |-Corpse-|
Re : (kômik) Tentative de hack ?
Pour le SSH, si tu n'autorises que les connexions par clé publique/privée et pas par mot de passe, que tu interdis la connexion en root, t'as pas de souci à te faire.
Enfin, c'est un bon exemple qui montre qu'avant de monter un serveur perso, il faut avoir un minimum de connaissances pour le sécuriser
Dernière modification par |-Corpse-| (Le 24/02/2009, à 15:15)
Hors ligne
#4 Le 24/02/2009, à 15:08
- Kurokame
Re : (kômik) Tentative de hack ?
Utilises bien ton pare-feu, tu peux gicler ce genre de désagrément.
Si tu as un dyndns, tu as droit à plusieurs sous-domaines, utilises-en un en cas de nomadisme qui sera autorisé à se connecter sur ta machine.
Dernière modification par Kurokame (Le 24/02/2009, à 15:08)
#5 Le 24/02/2009, à 15:09
- Koshie-2.0
Re : (kômik) Tentative de hack ?
C'est une tentative de crack alors, pas de hack si je ne m'abuse !
#6 Le 24/02/2009, à 15:11
- samυncle
Re : (kômik) Tentative de hack ?
[mode paniqué]
Mon dieu la mafia russe tente de cracker ton serveur
[/mode paniqué]
Dernière modification par samuncle (Le 24/02/2009, à 15:11)
Hello world
Hors ligne
#7 Le 24/02/2009, à 15:11
- #Ergo-Proxy
Re : (kômik) Tentative de hack ?
#8 Le 24/02/2009, à 15:18
- samυncle
Re : (kômik) Tentative de hack ?
@ #Ergo-Proxy je viens de finir de lire le hold up planétaire. C'est impressionnant (je savais de quoi était capable petitmou mais à ce point)
@Askelon Comme l'a dit #Ergo-Proxy fail2ban
Hello world
Hors ligne
#9 Le 24/02/2009, à 15:46
- Askelon
Re : (kômik) Tentative de hack ?
Hey, personne ne panique hein
Je trouvais juste ça bien marrant et je voulais vous en faire profiter (faut que je revois le coté humoristique de mon titre). Il suffit d'avoir un serveur perso pour qu'un paquets d'ahuris viennent s'y frotter. Mes serveurs sont (relativement) sécure, SSH fonctionne par clés et refuse les connexions sauf l'utilisateur voulu, le FTP idem, refuse plus de 2 tentative de login, etc, et bien évidemment le firewall tourne.
Bref, moi je trouvais ça drôle, mais j'ai un humour spécial
Toutefois merci pour fail2ban, je connaissais pas, je pensais faire une jail comme j'avais appris à le faire sous FreeBSD y a quelques années, bien pratique ce petit soft !
Note : j'ai relancé le FTP (qui me sert en effet à partager des données, réponse à Neros, plus facile à expliquer à mes parents que Ssh) et plus rien, aucune tentative on va mettre çà sur le compte du décalage horaire
Hors ligne
#10 Le 24/02/2009, à 15:51
- Link31
Re : (kômik) Tentative de hack ?
C'est très courant. J'ai une machine qui sert occasionnellement de serveur, allumée (par wake on lan) au maximum quelques heures par semaine, et j'ai très souvent ce genre d'attaque. Mais avec un SSH qui refuse les mots de passe et n'accepte que les connexions par clé (et pas de connexions en root), je suis tranquille.
Si tu as un iptables configuré, il suffit de bannir l'IP (à la main, avec "iptables -A INPUT -s <ip du petit rigolo> -j DROP", ou avec un programme comme fail2ban).
Si tu n'as pas d'iptables (très mauvaise idée sur un serveur !), et que par chance tu es en local ou pas trop loin de la machine, un "/etc/init.d/sshd stop" temporaire peut faire l'affaire. Ça marche aussi en distant, mais il faut oser... Si tu as eu la bonne idée de mettre un watchdog ssh, c'est bon. Après ça tu as intérêt à installer iptables
Tu peux aussi retourner l'attaque sur le pirate, avec ses propres noms d'utilisateur . Certains sont assez stupides pour avoir un serveur SSH eux aussi, avec un port 22 ouvert (l'américain qui m'attaquait hier nommé alpha57.wqpax.net en avait un). Ça n'a presque aucune chance d'aboutir, mais ça permet de se passer les nerfs
Attention, ça pourrait être un pauvre utilisateur d'un windows zombie, donc il ne faut pas y aller trop fort.
Dernière modification par Link31 (Le 24/02/2009, à 15:55)
Hors ligne
#11 Le 24/02/2009, à 15:52
- Neros
Re : (kômik) Tentative de hack ?
Hm, question inverse.
Comment ils font ?
Hors ligne
#12 Le 24/02/2009, à 15:57
- Link31
Re : (kômik) Tentative de hack ?
@Askelon : si tu veux être attaqué, il suffit de demander (et de donner l'IP)
Hors ligne
#13 Le 24/02/2009, à 15:58
- Askelon
Re : (kômik) Tentative de hack ?
@Link31 : j'ai Iptable installé edit : merci, ça ira, peut-être quand j'aurai marre des lamerz
@Neros : comment ils font quoi ?
Dernière modification par Askelon (Le 24/02/2009, à 15:58)
Hors ligne
#14 Le 24/02/2009, à 15:59
- Neros
Re : (kômik) Tentative de hack ?
@Neros : comment ils font quoi ?
Comment ils font pour attaquer... voyons
Hors ligne
#15 Le 24/02/2009, à 16:01
- philarmonie
Re : (kômik) Tentative de hack ?
C'est peut être ton Dieu Manini qui cherchait à te punir pour ne pas prêcher la bonne parole!
@neros: bah ils font des tentatives de connexion répétées sur son serveur avec une liste de login+mot de passe
Dernière modification par philarmonie (Le 24/02/2009, à 16:04)
#16 Le 24/02/2009, à 16:04
- Neros
Re : (kômik) Tentative de hack ?
Dieu Manini
Moi j'aurais dit Saint Manini, fils de jvachez.
Bon allez, on a presque la trinité!
Et si on l'a, on pourra faire des rites sataniques
Dernière modification par Neros (Le 24/02/2009, à 16:05)
Hors ligne
#17 Le 24/02/2009, à 16:09
- philarmonie
Re : (kômik) Tentative de hack ?
Mais avec un SSH qui refuse les mots de passe et n'accepte que les connexions par clé (et pas de connexions en root), je suis tranquille.
c'est pas relou de pas pouvoir l'administrer à distance?
#18 Le 24/02/2009, à 16:10
- Askelon
Re : (kômik) Tentative de hack ?
@philarmonie : je n'y avions point songé viiiiite, mon fouet !!!
Ahem. Désolé ...
@Neros : un simple script je pense, qui lance des connexions en boucle ... il suffit d'avoir une liste de noms d'utilisateur à tester. Un petit ssh $user:prout@ipserver par exemple. Ce qui est complètement débile, puisque normalement Ssh refuse la connexion si le login n'existe pas et/ou si le mot de passe n'est pas bon, mais il ne dit pas lequel est faux ...
Hors ligne
#19 Le 24/02/2009, à 16:11
- Neros
Re : (kômik) Tentative de hack ?
En fait ce qu'ils font, c'est qu'ils attaquent dans le noir en espérant toucher quelque chose ?
Hors ligne
#20 Le 24/02/2009, à 16:14
- Askelon
Re : (kômik) Tentative de hack ?
Exactement
D'autant que dans mon cas, les "attaquants" ont plein de trucs qui semblent tourner chez eux, ftp, http, vnc, telnet, pop, ssh, smtp, microsoft-ds, etc ... en résumé ça ressemble fort à des Kevin qui ont découvert nmap et un ou deux softs de pur h4ck3rZ.
Dernière modification par Askelon (Le 24/02/2009, à 16:16)
Hors ligne
#21 Le 24/02/2009, à 16:20
- Link31
Re : (kômik) Tentative de hack ?
Link31 a écrit :Mais avec un SSH qui refuse les mots de passe et n'accepte que les connexions par clé (et pas de connexions en root), je suis tranquille.
c'est pas relou de pas pouvoir l'administrer à distance?
???
Tu as déjà utilisé SSH ?
Ce qui est complètement débile, puisque normalement Ssh refuse la connexion si le login n'existe pas et/ou si le mot de passe n'est pas bon, mais il ne dit pas lequel est faux ...
D'ailleurs, des fois j'ai envie de patcher SSH pour qu'il loggue aussi les mots de passe invalides... Par curiosité. Ce n'est pas très moral en principe pour des grands serveurs, mais vu que je suis censé être le seul utilisateur...
Dernière modification par Link31 (Le 24/02/2009, à 16:22)
Hors ligne
#22 Le 24/02/2009, à 16:21
- philarmonie
Re : (kômik) Tentative de hack ?
D'autant que dans mon cas, les "attaquants" ont plein de trucs qui semblent tourner chez eux, ftp, http, vnc, telnet, pop, ssh, smtp, microsoft-ds, etc ... en résumé ça ressemble fort à des Kevin qui ont découvert nmap et un ou deux softs de pur h4ck3rZ.
Je te l'avais dit c'est St Manini qui cherche à te punir!
@link: euh oui, j'ai aussi un serveur où je me connecte en ssh. mais si tu peux pas te loguer dessus en root, comment tu l'administres? ou alors y'a un truc que j'ai pas compris dans le fonctionnement et les possibilités du ssh?
Dernière modification par philarmonie (Le 24/02/2009, à 16:23)
#23 Le 24/02/2009, à 16:25
- Askelon
Re : (kômik) Tentative de hack ?
D'ailleurs, des fois j'ai envie de patcher SSH pour qu'il loggue aussi les mots de passe invalides... Par curiosité. Ce n'est pas très moral en principe pour des grands serveurs, mais vu que je suis censé être le seul utilisateur...
...
si tu codes ce patch, ça m'intéresse
Hors ligne
#24 Le 24/02/2009, à 16:26
- Askelon
Re : (kômik) Tentative de hack ?
Askelon a écrit :D'autant que dans mon cas, les "attaquants" ont plein de trucs qui semblent tourner chez eux, ftp, http, vnc, telnet, pop, ssh, smtp, microsoft-ds, etc ... en résumé ça ressemble fort à des Kevin qui ont découvert nmap et un ou deux softs de pur h4ck3rZ.
Je te l'avais dit c'est St Manini qui cherche à te punir!
@link: euh oui, j'ai aussi un serveur où je me connecte en ssh. mais si tu peux pas te loguer dessus en root, comment tu l'administres? ou alors y'a un truc que j'ai pas compris dans le fonctionnement et les possibilités du ssh?
Tu ne peux pas te connecter en root. Mais rien ne t'empêche, une fois loggé normalement, de faire des sudo ou des su ...
Hors ligne
#25 Le 24/02/2009, à 16:28
- Link31
Re : (kômik) Tentative de hack ?
Link31 a écrit :D'ailleurs, des fois j'ai envie de patcher SSH pour qu'il loggue aussi les mots de passe invalides... Par curiosité. Ce n'est pas très moral en principe pour des grands serveurs, mais vu que je suis censé être le seul utilisateur...
...
si tu codes ce patch, ça m'intéresse
Je pense que ça n'a rien de difficile, et ça doit même déjà exister.
Mais comme je l'ai dit, ce n'est pas bien d'utiliser ça quand on a plusieurs utilisateurs. C'est normal que ça ne soit pas possible de base.
edit : je pense qu'un truc comme ça devrait être suffisant (non testé) :
auth-passwd.c
-return (strcmp(encrypted_password, pw_password) == 0);
+if (strcmp(encrypted_password, pw_password))
+{
+ do_log(SYSLOG_LEVEL_INFO, "Failed password: %s\n", password);
+ return 0;
+}
+ else
+ return 1;
Dernière modification par Link31 (Le 24/02/2009, à 16:34)
Hors ligne