Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 30/04/2009, à 13:14

anonym_user

Attaque brute force ?

Bonjour à tous,

Depuis environ une semaine mon routeur signale un Port Scan émanant de l'adresse suivante : 61.139.105.163.

J'ai vérifié dans les log d'Apache et, aux horaires des PortScan je vois ceci (par exemple) :
61.139.105.163 - - [23/Apr/2009:20:53:59 -0400] "GET http://proxyjudge1.proxyfire.net/fastenv HTTP/1.1" 404 335 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

En cherchant sur Google avec l'adresse IP en cause, on trouve qu'elle correspond à une localisation en Chine (Zigong). Il semble que pas mal de personne soient victimes de ce PortScan avec la même adresse depuis quelque temps.

Du coup j'ai paramétré le firewall de mon serveur pour refuser toute connexion depuis 61.139.105.163.

Donc 3 questions :
1) Est ce que d'autres ont également été scanné par cette IP ?
2) A quoi correspond la ligne de log dans Apache ? S'agit t-il d'une attaque de type brute force ?
3) Voyez vous d'autre mesure à envisager pour améliorer la protection ?

Merci d'avance de vos réponses.

PS : j'ai trouvé ce topic sur le forum mais je ne comprends pas très bien si c'est la même situation.
http://forum.ubuntu-fr.org/viewtopic.php?id=284489

Dernière modification par imhotep59 (Le 30/04/2009, à 13:42)

#2 Le 30/04/2009, à 13:43

Grunt

Re : Attaque brute force ?

1) J'ai aussi été attaqué par ce gus.
2) Aucune idée, je pense qu'il cherche des failles, qu'il pense que tu es un proxy, ou va savoir quoi.
3) Tu balances ça dans ton serveur, en root:

iptables -I INPUT -s 61.139.105.163 -j DROP

et cet imbécile te laissera très vite tranquille.
C'est ce que j'ai fait wink

Edit: Je viens de lire que tu l'as bloqué dans ton parefeu, ça revient au même et c'est largement suffisant pour être tranquille smile

Dernière modification par Grand_Grunt (Le 30/04/2009, à 13:44)

#3 Le 30/04/2009, à 13:48

anonym_user

Re : Attaque brute force ?

OK merci.

Comme j'utilise Webmin (génial entre parenthèses), j'ai reparamétrer le Firewall avec pour refuser toute connexion depuis cette IP en mettant cette règle en 2e après l'autorisation des connexion locales. Je pense que c'est la même chose que iptables -I INPUT -s 61.139.105.163 -j DROP, non ?

#4 Le 30/04/2009, à 13:49

anonym_user

Re : Attaque brute force ?

imhotep59 a écrit :

OK merci.

Comme j'utilise Webmin (génial entre parenthèses), j'ai reparamétrer le Firewall avec pour refuser toute connexion depuis cette IP en mettant cette règle en 2e après l'autorisation des connexion locales. Je pense que c'est la même chose que iptables -I INPUT -s 61.139.105.163 -j DROP, non ?

Edit : j'avais pas vu ton Edit vu que nous devions être en train de nous répondre en même temps !

#5 Le 30/04/2009, à 14:22

Grunt

Re : Attaque brute force ?

@#hehedotcom\'isback:

Je cherchais la même chose, mais pour bannir les adresses IP qui font trop d'erreurs sur le serveur apache..

Je vais me faire un petit script avec le log d'erreurs de apache wink

#6 Le 30/04/2009, à 19:55

mickbad

Re : Attaque brute force ?

ya fail2ban qui fait très bien le boulot (ssh, ftp, pop...) par contre faut le configurer pour http (chose que je n'ai pas regardé wink )


Somewhere in town

Hors ligne

#7 Le 30/04/2009, à 20:04

Grunt

Re : Attaque brute force ?

Oui, fail2ban par défaut ne rejette pas les attaques sur HTTP, et c'est qui m'intéressait (mon SSH est sur le 2222, et ça suffit à m'assurer la tranquillité tongue)

#8 Le 04/05/2009, à 20:36

anonym_user

Re : Attaque brute force ?

Il tente encore ! Du coup j'ai scanné ses ports pour voir et il a le 1981 ouvert. En se connectant on voit les listes de ses scan. C'est quoi ce gus ???

#9 Le 09/05/2009, à 11:02

fugitif

Re : Attaque brute force ?

imhotep59 a écrit :

Il tente encore ! Du coup j'ai scanné ses ports pour voir et il a le 1981 ouvert. En se connectant on voit les listes de ses scan. C'est quoi ce gus ???

C'est un gus qui utilise un scanneur de proxy. (proxyfire)
Il est aussi passer par chez moi jusqu'à que je le DROP.


Opteron 165 - 2Go DDR - Ubuntu Hardy - 32bits

Hors ligne

#10 Le 11/05/2009, à 18:17

iodâ69

Re : Attaque brute force ?

Il vient juste de renifler chez moi le camarade 61.139.105.163. hmm

du coup j'ai fait comme imhotep59 il a dit wink

"Du coup j'ai paramétré le firewall de mon serveur pour refuser toute connexion depuis 61.139.105.163."

#11 Le 11/05/2009, à 18:26

anonym_user

Re : Attaque brute force ?

Il commence à emm...pas mal de monde ce zigoto ! Quand tu vas sur google en cherchant cette IP tu as 151 références sur les 31 derniers jours.
Chez moi il continue environ 2 à 3 fois par jour mais mes log de serveurs indiquent qu'il se fait jeter à chaque fois. Ceci dit ça va peut être se tasser car mon IP a changé après avoir déconnecté mon routeur (mais j'ai du le laisser hors ligne pendant plus de 2 heures sinon mon FAI me refilait la même à chaque fois, grrrr...).

#12 Le 11/05/2009, à 18:31

Zakhar

Re : Attaque brute force ?

Ah bien chez moi il peut toujours scanner la Freebox... j'ai juste pas de trace qu'il l'ait fait !


"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)

Hors ligne

#13 Le 11/05/2009, à 21:02

B@rtounet

Re : Attaque brute force ?

j'ai regarder mes log iptables sur ma dedibox et en effet il scan du monde...
si ca peut aider:
nombre de tentative depuis hier:

root@ns:/var/log/ulog# cat /var/log/ulog/syslogemu.log | grep 61.139.105.163 | wc -l
38

Tous les ports qu'il ma scannés

root@ns:/var/log/ulog# cat /var/log/ulog/syslogemu.log | grep 61.139.105.163 | awk -F"DPT" {'print $2'} | awk {'print $1'} | sed s/=//g
9090
8090
2301
9000
8080
3128
8000
8118
1080
1025
7212
6051
8888
808
11825
8081
3124
6588
3127
9090
8090
2301
9000
8080
3128
8000
8118
1080
1025
7212
6051
8888
808
11825
8081
3124
6588
3127

En effet je pense qu'il cherche du proxy...
Bien faire attention à cela, j'ai eut un gros problème une fois, ou un malin arrivait à envoyer des mail de mon serveur par mon proxy squid, d'une facon simple...
le postfix acceptait tout de localhost, et il faisait de la méthode connect à partir de squid sur localhost, donc ca passait... malin le gars

Dernière modification par B@rtounet (Le 11/05/2009, à 21:04)

Hors ligne

#14 Le 13/05/2009, à 14:42

fugitif

Re : Attaque brute force ?

Il utilise proxyfire
Tape son IP sur Firefox avec le port 1981
Ces résultats de scan sont en accès libre lol


Opteron 165 - 2Go DDR - Ubuntu Hardy - 32bits

Hors ligne

#15 Le 13/05/2009, à 17:48

anonym_user

Re : Attaque brute force ?

imhotep59 a écrit :

Il tente encore ! Du coup j'ai scanné ses ports pour voir et il a le 1981 ouvert. En se connectant on voit les listes de ses scan. C'est quoi ce gus ???

Déjà fait ! wink

#16 Le 15/01/2010, à 20:29

oobuntu

Re : Attaque brute force ?

Tiens : Même attaque de même IP et bien plus tard.
Si quelqu'un a une idé pour ajouter une règle dans fail2ban c'est bienvenu !
en attendant je le DROP avec iptables.

Hors ligne

#17 Le 19/01/2010, à 09:19

sylvain1970

Re : Attaque brute force ?

Bonjour,
en adaptant ceci :
ajout dans /etc/fail2ban/jail.conf :

[61.139.105.163]
enabled = true
filter = 61.139.105.163
action = iptables[name=61.139.105.163,port=80,protocol=tcp]
logpath = /var/log/apache2/access*.log
maxretry = 1

fichier /etc/fail2ban/filter.d/61.139.105.163.conf :

[Definition]

failregex = ^<HOST> -.*"61.139.105.163*".*

ignoreregex =

à essayer (je n'ai pas testé)

Dernière modification par sylvain1970 (Le 19/01/2010, à 09:21)

Hors ligne

#18 Le 19/01/2010, à 10:40

florianderson69

Re : Attaque brute force ?

Bonjour,
pour bannir cette IP, mettre

ALL: 61.139.105.163

dans /etc/hosts.deny ne suffirait pas ?

Hors ligne

#19 Le 19/01/2010, à 10:57

oobuntu

Re : Attaque brute force ?

florianderson69 a écrit :

Bonjour,
pour bannir cette IP, mettre

ALL: 61.139.105.163

dans /etc/hosts.deny ne suffirait pas ?

Si si.
Mais si j'ai bien compris : hosts.deny rejette le paquet alors que dans iptables ont peut le jeter.
Dans le premier cas, le client reçoit une réponse négative, dans le second pas de réponse du tout ce qui peut le faire attendre jusqu'au timeout.
Après avoir essayé denyhosts, je me suis rabattu sur fail2ban qui est plus complexe à paramétrer, certes, mais ô combien plus efficace et pointu.
Quand à l'adresse IP de ce gentil hacker, je l'ai paramétrée dans iptables, je ne sias pas si j'ai fait correctement :

ufw deny from 61.139.105.163

Toujours est-il qu'il n'y en a plus trace dans les logs.

Hors ligne

#20 Le 22/01/2010, à 10:39

oobuntu

Re : Attaque brute force ?

Ça devait arriver : Même attaque avec une autre IP : 41.223.30.22
Alors, cela ne sert à rien de bloquer statiquement l'IP.
Je reviens à ma question : Quelqu'un a-t-il une idée de règle(s) pour fail2ban pour ce problème ?

Hors ligne