Ubuntu-fr

cetyl

[résolu]Brute force SSH

bien le bonjour,

alors voilà,cela fait quelques temps maintenant que je suis victime de tentatives de brute force sur mon serveur ssh.
je ne pense pas etre le seul dans ce cas ,car au vu de mes recherches,il semble que cela soit une activité répendu.

j'ai donc chercher une solution (comme pouvoir bannir les ip au bout d'un certains nombres de tentatives,etc..)
j'aimerais donc avoir un retour des solutions que vous avez utilisées et de leur éfficacité.

merci d'avance.

Dernière modification par cetyl (Le 08/02/2007, à 10:54)

bloody_bloups

Re : [résolu]Brute force SSH

bien le bonjour,

alors voilà,cela fait quelques temps maintenant que je suis victime de tentatives de brute force sur mon serveur ssh.
je ne pense pas etre le seul dans ce cas ,car au vu de mes recherches,il semble que cela soit une activité répendu.

j'ai donc chercher une solution (comme pouvoir bannir les ip au bout d'un certains nombres de tentatives,etc..)
j'aimerais donc avoir un retour des solutions que vous avez utilisées et de leur éfficacité.

merci d'avance.

J'ai pas testé mais tu peux déja changer le port: au lieu de 22 tu met 2345 par ex

corbier

Re : [résolu]Brute force SSH

Bonjour

Après une recherche sur le net je suis tombé la dessus

#!/bin/bash

# vidage ET destruction des chaines
iptables -F
iptables -X

# avant tout : autoriser SSH
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
# drop les brutes forces sur le port 22
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 300 --hitcount 3 -j DROP

echo - Autoriser SSH : [OK]

---

-_-'
Sécurité Informatique , Sécurité des réseaux
http://www.stealthisblog.fr

cep

Re : [résolu]Brute force SSH

j'ai donc chercher une solution (comme pouvoir bannir les ip au bout d'un certains nombres de tentatives,etc..)

C'est classique comme attaque. Tu peux modifier le port, si possible. Pour le reste, une des solutions est fail2ban.

---

Mon Seen This

corbier

Re : [résolu]Brute force SSH

fail2ban est je pense une mauvaise chose car il suffit de modifié son adresse source lors du brute force pour faire un DoS sur la machine.

Je m'explique en faisant une attaque brute force sur une machine équiper de fail2ban.
Mets automatique l'ip source de l'attaque en ip bannie.

Donc nous pouvons par le biais de forgeur de paquets contruire une attaque pour isolé la machine en modifiant l'adresse source de l'attaque brute force.

On commenceras par les dns de la victime pour ensuite s'attaquer à sa passerelle.

---

-_-'
Sécurité Informatique , Sécurité des réseaux
http://www.stealthisblog.fr

cep

Re : [résolu]Brute force SSH

Ce n'est pas si simple.
http://www.debian-administration.org/articles/455
http://www.fail2ban.org/wiki/index.php/Main_Page

---

Mon Seen This

okram

Re : [résolu]Brute force SSH

Bonjour,

Un bon article (à mon avis, hein...) à ce propos sur PrendreUnCafé
Après, manifestement, tout se discute !

Okram

cetyl

Re : [résolu]Brute force SSH

bon dans un premier temps j'ai installé fail2ban,ca securisera deja un peu plus en attendant de trouver la soluce ultime

en tout cas merci pour votre aide.

dexinou

Re : [résolu]Brute force SSH

Si tu as un bon mot de passe ou si tu te connecte par clé publique/clé privé tu n'as rien a craindre de ces brute forces sauf peut-être remplir ton fichier auth.log
J'en subit tous les jours...

Voici mes logs avec une pubkey/privkey + fail2ban:

Feb 10 13:06:19 linux sshd[16385]: Did not receive identification string from ::ffff:203.252.201.86
Feb 10 13:10:09 linux sshd[16386]: Illegal user staff from ::ffff:203.252.201.86
Feb 10 13:10:12 linux sshd[16388]: Illegal user sales from ::ffff:203.252.201.86
Feb 10 13:10:16 linux sshd[16390]: Illegal user recruit from ::ffff:203.252.201.86
Feb 10 13:10:19 linux sshd[16392]: User alias not allowed because account is locked
Feb 10 13:10:25 linux sshd[16394]: Illegal user office from ::ffff:203.252.201.86
Feb 10 13:10:29 linux sshd[16396]: Illegal user samba from ::ffff:203.252.201.86
Feb 10 13:10:33 linux sshd[16398]: Illegal user tomcat from ::ffff:203.252.201.86

A la première ligne aucune identification...
après 6 tentatives il est ban.

2007-02-10 13:10:34,802 fail2ban.actions: WARNING [ssh] Ban 203.252.201.86

Dernière modification par dexinou (Le 10/02/2007, à 18:40)

---

Ubuntu 9.10 64bits ext4 ® Core 2 Duo
Unix..... il y a moins bien mais c'est plus cher.
Si t'as pas compris la réponse, pose mieux ta question.
Tutoriaux Linux, apache, pure-ftpd, bind, mysql, qmail...

Uggy

Re : [résolu]Brute force SSH

Comme indiqué par dexinou, il suffit d'interdir la connexion par mot de passe et de ne conserver que l'authentification par clé.

Je n'ai jamais vu de brute force par clé

Uggy

Re : [résolu]Brute force SSH

[...] il suffit de modifié son adresse source lors du brute force pour faire un DoS sur la machine.
[...] nous pouvons par le biais de forgeur de paquets contruire une attaque pour isolé la machine en modifiant l'adresse source de l'attaque brute force.

et comment tu recois les SYN/ACK nécessaire à l'ouverture de la connexion lorsque tu as forgé ton adresse IP source ???? ? ?? ? ??

cetyl

Re : [résolu]Brute force SSH

Comme indiqué par dexinou, il suffit d'interdir la connexion par mot de passe et de ne conserver que l'authentification par clé.

Je n'ai jamais vu de brute force par clé

c'est clair que comme ca pas de soucis....mais faut pas oublier sa clef usb ou alors apprendre la clef  par coeur

cep

Re : [résolu]Brute force SSH

mais faut pas oublier sa clef usb ou alors apprendre la clef  par coeur

Non, ça ne se passe pas ainsi. Voir par exemple : http://doc.fedora-fr.org/SSH_:_Authentification_par_cl%C3%A9

ou : http://doc.ubuntu-fr.org/applications/ssh

ensuite tu adaptes. C'est très simple et transparent.

Dernière modification par cep (Le 07/02/2007, à 20:52)

---

Mon Seen This

dexinou

Re : [résolu]Brute force SSH

Une autre solution consiste à enrichir le pare-feu dynamiquement...
Je m'explique, un attaquant envoi plusieurs packets vers un port donné (ici le 22 ou peu importe) en un court lapse de temps et Bang..iptables le détecte et crée sa propre règle de filtrage, bloque l'ip, l'enregistre et envoi un mail à l'administrateur.
Ce qui serait marrant c'est qu' iptables explose sa machine en lui renvoyant ses propres packets.

Dernière modification par dexinou (Le 07/02/2007, à 22:51)

---

Ubuntu 9.10 64bits ext4 ® Core 2 Duo
Unix..... il y a moins bien mais c'est plus cher.
Si t'as pas compris la réponse, pose mieux ta question.
Tutoriaux Linux, apache, pure-ftpd, bind, mysql, qmail...

corbier

Re : [résolu]Brute force SSH

[...] il suffit de modifié son adresse source lors du brute force pour faire un DoS sur la machine.
[...] nous pouvons par le biais de forgeur de paquets contruire une attaque pour isolé la machine en modifiant l'adresse source de l'attaque brute force.

et comment tu recois les SYN/ACK nécessaire à l'ouverture de la connexion lorsque tu as forgé ton adresse IP source ???? ? ?? ? ??

Envoie 250 trames syn sur une serveur ssh équipé de fail2ban tu verras si t'es pas blacklisté ...

Pas besoin de ACK

Fait le test tu verras

edit : je ne parle pas de brute force

Dernière modification par corbier (Le 08/02/2007, à 00:25)

---

-_-'
Sécurité Informatique , Sécurité des réseaux
http://www.stealthisblog.fr

Uggy

Re : [résolu]Brute force SSH

Envoie 250 trames syn sur une serveur ssh équipé de fail2ban tu verras si t'es pas blacklisté ...

Heuuu..oui... C'est quoi le rapport ? Je dis juste que tu ne pourras pas réussir une connexion SSH si tu modifies l'adresse IP source.

edit : je ne parle pas de brute force

Ahh bahh pourtant c'est ce que j'avais compris de ta phrase ci dessous:

Donc nous pouvons par le biais de forgeur de paquets contruire une attaque pour isolé la machine en modifiant l'adresse source de l'attaque brute force.

corbier

Re : [résolu]Brute force SSH

Hey bien que je me suis mal exprimer a la relecture il y a confusion c'est vrai.

---

-_-'
Sécurité Informatique , Sécurité des réseaux
http://www.stealthisblog.fr

cetyl

Re : [résolu]Brute force SSH

bon finallement je suis passé a l'authentification par clef car un petit soucis avec fail2ban l'empeche de fonctionner (pb de format de date et d'heure entre fail2ban et le log auth)

merci encore a tous.

cep

Re : [résolu]Brute force SSH

ceci peut-être :
http://www.fail2ban.org/wiki/index.php/FAQ_english#I_get_the_error_.22Please_check_the_format_and_your_locale_settings.22

---

Mon Seen This

bloody_bloups

Re : [résolu]Brute force SSH

Une autre solution consiste à enrichir le pare-feu dynamiquement...
Je m'explique, un attaquant envoi plusieurs packets vers un port donné (ici le 22 ou peu importe) en un court lapse de temps et Bang..iptables le détecte et crée sa propre règle de filtrage, bloque l'ip, l'enregistre et envoi un mail à l'administrateur.
Ce qui serait marrant c'est qu' iptables explose sa machine en lui renvoyant ses propres packets.

mdr c'est pas mal comme idée.... enfin si le gas à un plus gros débit sortant que ta connexion tu ne risque pas de t'autosaturer?:D

cetyl

Re : [résolu]Brute force SSH

ceci peut-être :
http://www.fail2ban.org/wiki/index.php/FAQ_english#I_get_the_error_.22Please_check_the_format_and_your_locale_settings.22

deja essayé sans résultat.
a la place j'ai essayé denyhosts et ca fonctionne impecable,ou lieu de mettre des regles iptables a jour dynamiquement c'est le fichier deny.hosts qui est utilisé.

avec tout ca,je devrais etre tranquile

CorsicaBia

Re : [résolu]Brute force SSH

Bon, j'arrive un peu tard...

Sur mon serveur SSh :
- Refuser la connexion en root
- Autoriser un seul utilisateur (ou plusieurs) en évitant Admin, Super, supervision, etc...
- Connexion UNIQUEMENT par clés
- mettre une bonne paraphrase de sécurité
- Changer le port de 22 en 2222 ou autres

Déjà, tu devrais avoir moins de soucis d'attaque.

Amitiés de Corse