Pages : 1
#1 Le 07/02/2007, à 10:45
- cetyl
[résolu]Brute force SSH
bien le bonjour,
alors voilà,cela fait quelques temps maintenant que je suis victime de tentatives de brute force sur mon serveur ssh.
je ne pense pas etre le seul dans ce cas ,car au vu de mes recherches,il semble que cela soit une activité répendu.
j'ai donc chercher une solution (comme pouvoir bannir les ip au bout d'un certains nombres de tentatives,etc..)
j'aimerais donc avoir un retour des solutions que vous avez utilisées et de leur éfficacité.
merci d'avance.
Dernière modification par cetyl (Le 08/02/2007, à 10:54)
Hors ligne
#2 Le 07/02/2007, à 10:48
- bloody_bloups
Re : [résolu]Brute force SSH
bien le bonjour,
alors voilà,cela fait quelques temps maintenant que je suis victime de tentatives de brute force sur mon serveur ssh.
je ne pense pas etre le seul dans ce cas ,car au vu de mes recherches,il semble que cela soit une activité répendu.j'ai donc chercher une solution (comme pouvoir bannir les ip au bout d'un certains nombres de tentatives,etc..)
j'aimerais donc avoir un retour des solutions que vous avez utilisées et de leur éfficacité.merci d'avance.
J'ai pas testé mais tu peux déja changer le port: au lieu de 22 tu met 2345 par ex
Hors ligne
#3 Le 07/02/2007, à 10:55
- corbier
Re : [résolu]Brute force SSH
Bonjour
Après une recherche sur le net je suis tombé la dessus
#!/bin/bash
# vidage ET destruction des chaines
iptables -F
iptables -X
# avant tout : autoriser SSH
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
# drop les brutes forces sur le port 22
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 300 --hitcount 3 -j DROP
echo - Autoriser SSH : [OK]
-_-'
Sécurité Informatique , Sécurité des réseaux
http://www.stealthisblog.fr
Hors ligne
#4 Le 07/02/2007, à 11:28
- cep
Re : [résolu]Brute force SSH
j'ai donc chercher une solution (comme pouvoir bannir les ip au bout d'un certains nombres de tentatives,etc..)
C'est classique comme attaque. Tu peux modifier le port, si possible. Pour le reste, une des solutions est fail2ban.
Hors ligne
#5 Le 07/02/2007, à 12:05
- corbier
Re : [résolu]Brute force SSH
fail2ban est je pense une mauvaise chose car il suffit de modifié son adresse source lors du brute force pour faire un DoS sur la machine.
Je m'explique en faisant une attaque brute force sur une machine équiper de fail2ban.
Mets automatique l'ip source de l'attaque en ip bannie.
Donc nous pouvons par le biais de forgeur de paquets contruire une attaque pour isolé la machine en modifiant l'adresse source de l'attaque brute force.
On commenceras par les dns de la victime pour ensuite s'attaquer à sa passerelle.
-_-'
Sécurité Informatique , Sécurité des réseaux
http://www.stealthisblog.fr
Hors ligne
#6 Le 07/02/2007, à 12:16
- cep
Re : [résolu]Brute force SSH
Ce n'est pas si simple.
http://www.debian-administration.org/articles/455
http://www.fail2ban.org/wiki/index.php/Main_Page
Hors ligne
#7 Le 07/02/2007, à 12:20
- okram
Re : [résolu]Brute force SSH
Bonjour,
Un bon article (à mon avis, hein...) à ce propos sur PrendreUnCafé
Après, manifestement, tout se discute !
Okram
Hors ligne
#8 Le 07/02/2007, à 12:22
- cetyl
Re : [résolu]Brute force SSH
bon dans un premier temps j'ai installé fail2ban,ca securisera deja un peu plus en attendant de trouver la soluce ultime
en tout cas merci pour votre aide.
Hors ligne
#9 Le 07/02/2007, à 15:52
- dexinou
Re : [résolu]Brute force SSH
Si tu as un bon mot de passe ou si tu te connecte par clé publique/clé privé tu n'as rien a craindre de ces brute forces sauf peut-être remplir ton fichier auth.log
J'en subit tous les jours...
Voici mes logs avec une pubkey/privkey + fail2ban:
Feb 10 13:06:19 linux sshd[16385]: Did not receive identification string from ::ffff:203.252.201.86
Feb 10 13:10:09 linux sshd[16386]: Illegal user staff from ::ffff:203.252.201.86
Feb 10 13:10:12 linux sshd[16388]: Illegal user sales from ::ffff:203.252.201.86
Feb 10 13:10:16 linux sshd[16390]: Illegal user recruit from ::ffff:203.252.201.86
Feb 10 13:10:19 linux sshd[16392]: User alias not allowed because account is locked
Feb 10 13:10:25 linux sshd[16394]: Illegal user office from ::ffff:203.252.201.86
Feb 10 13:10:29 linux sshd[16396]: Illegal user samba from ::ffff:203.252.201.86
Feb 10 13:10:33 linux sshd[16398]: Illegal user tomcat from ::ffff:203.252.201.86
A la première ligne aucune identification...
après 6 tentatives il est ban.
2007-02-10 13:10:34,802 fail2ban.actions: WARNING [ssh] Ban 203.252.201.86
Dernière modification par dexinou (Le 10/02/2007, à 18:40)
Ubuntu 9.10 64bits ext4 ® Core 2 Duo
Unix..... il y a moins bien mais c'est plus cher.
Si t'as pas compris la réponse, pose mieux ta question.
Tutoriaux Linux, apache, pure-ftpd, bind, mysql, qmail...
Hors ligne
#10 Le 07/02/2007, à 20:12
- Uggy
Re : [résolu]Brute force SSH
Comme indiqué par dexinou, il suffit d'interdir la connexion par mot de passe et de ne conserver que l'authentification par clé.
Je n'ai jamais vu de brute force par clé
Hors ligne
#11 Le 07/02/2007, à 20:15
- Uggy
Re : [résolu]Brute force SSH
[...] il suffit de modifié son adresse source lors du brute force pour faire un DoS sur la machine.
[...] nous pouvons par le biais de forgeur de paquets contruire une attaque pour isolé la machine en modifiant l'adresse source de l'attaque brute force.
et comment tu recois les SYN/ACK nécessaire à l'ouverture de la connexion lorsque tu as forgé ton adresse IP source ???? ? ?? ? ??
Hors ligne
#12 Le 07/02/2007, à 20:23
- cetyl
Re : [résolu]Brute force SSH
Comme indiqué par dexinou, il suffit d'interdir la connexion par mot de passe et de ne conserver que l'authentification par clé.
Je n'ai jamais vu de brute force par clé
c'est clair que comme ca pas de soucis....mais faut pas oublier sa clef usb ou alors apprendre la clef par coeur
Hors ligne
#13 Le 07/02/2007, à 20:50
- cep
Re : [résolu]Brute force SSH
mais faut pas oublier sa clef usb ou alors apprendre la clef par coeur
Non, ça ne se passe pas ainsi. Voir par exemple : http://doc.fedora-fr.org/SSH_:_Authentification_par_cl%C3%A9
ou : http://doc.ubuntu-fr.org/applications/ssh
ensuite tu adaptes. C'est très simple et transparent.
Dernière modification par cep (Le 07/02/2007, à 20:52)
Hors ligne
#14 Le 07/02/2007, à 22:49
- dexinou
Re : [résolu]Brute force SSH
Une autre solution consiste à enrichir le pare-feu dynamiquement...
Je m'explique, un attaquant envoi plusieurs packets vers un port donné (ici le 22 ou peu importe) en un court lapse de temps et Bang..iptables le détecte et crée sa propre règle de filtrage, bloque l'ip, l'enregistre et envoi un mail à l'administrateur.
Ce qui serait marrant c'est qu' iptables explose sa machine en lui renvoyant ses propres packets.
Dernière modification par dexinou (Le 07/02/2007, à 22:51)
Ubuntu 9.10 64bits ext4 ® Core 2 Duo
Unix..... il y a moins bien mais c'est plus cher.
Si t'as pas compris la réponse, pose mieux ta question.
Tutoriaux Linux, apache, pure-ftpd, bind, mysql, qmail...
Hors ligne
#15 Le 07/02/2007, à 23:26
- corbier
Re : [résolu]Brute force SSH
corbier a écrit :[...] il suffit de modifié son adresse source lors du brute force pour faire un DoS sur la machine.
[...] nous pouvons par le biais de forgeur de paquets contruire une attaque pour isolé la machine en modifiant l'adresse source de l'attaque brute force.et comment tu recois les SYN/ACK nécessaire à l'ouverture de la connexion lorsque tu as forgé ton adresse IP source ???? ? ?? ? ??
Envoie 250 trames syn sur une serveur ssh équipé de fail2ban tu verras si t'es pas blacklisté ...
Pas besoin de ACK
Fait le test tu verras
edit : je ne parle pas de brute force
Dernière modification par corbier (Le 08/02/2007, à 00:25)
-_-'
Sécurité Informatique , Sécurité des réseaux
http://www.stealthisblog.fr
Hors ligne
#16 Le 08/02/2007, à 01:28
- Uggy
Re : [résolu]Brute force SSH
Envoie 250 trames syn sur une serveur ssh équipé de fail2ban tu verras si t'es pas blacklisté ...
Heuuu..oui... C'est quoi le rapport ? Je dis juste que tu ne pourras pas réussir une connexion SSH si tu modifies l'adresse IP source.
edit : je ne parle pas de brute force
Ahh bahh pourtant c'est ce que j'avais compris de ta phrase ci dessous:
Donc nous pouvons par le biais de forgeur de paquets contruire une attaque pour isolé la machine en modifiant l'adresse source de l'attaque brute force.
Hors ligne
#17 Le 08/02/2007, à 08:47
- corbier
Re : [résolu]Brute force SSH
Hey bien que je me suis mal exprimer a la relecture il y a confusion c'est vrai.
-_-'
Sécurité Informatique , Sécurité des réseaux
http://www.stealthisblog.fr
Hors ligne
#18 Le 08/02/2007, à 10:52
- cetyl
Re : [résolu]Brute force SSH
bon finallement je suis passé a l'authentification par clef car un petit soucis avec fail2ban l'empeche de fonctionner (pb de format de date et d'heure entre fail2ban et le log auth)
merci encore a tous.
Hors ligne
#19 Le 08/02/2007, à 11:39
- cep
Re : [résolu]Brute force SSH
ceci peut-être :
http://www.fail2ban.org/wiki/index.php/FAQ_english#I_get_the_error_.22Please_check_the_format_and_your_locale_settings.22
Hors ligne
#20 Le 08/02/2007, à 11:47
- bloody_bloups
Re : [résolu]Brute force SSH
Une autre solution consiste à enrichir le pare-feu dynamiquement...
Je m'explique, un attaquant envoi plusieurs packets vers un port donné (ici le 22 ou peu importe) en un court lapse de temps et Bang..iptables le détecte et crée sa propre règle de filtrage, bloque l'ip, l'enregistre et envoi un mail à l'administrateur.
Ce qui serait marrant c'est qu' iptables explose sa machine en lui renvoyant ses propres packets.
mdr c'est pas mal comme idée.... enfin si le gas à un plus gros débit sortant que ta connexion tu ne risque pas de t'autosaturer?:D
Hors ligne
#21 Le 08/02/2007, à 12:07
- cetyl
Re : [résolu]Brute force SSH
ceci peut-être :
http://www.fail2ban.org/wiki/index.php/FAQ_english#I_get_the_error_.22Please_check_the_format_and_your_locale_settings.22
deja essayé sans résultat.
a la place j'ai essayé denyhosts et ca fonctionne impecable,ou lieu de mettre des regles iptables a jour dynamiquement c'est le fichier deny.hosts qui est utilisé.
avec tout ca,je devrais etre tranquile
Hors ligne
#22 Le 08/02/2007, à 14:36
- CorsicaBia
Re : [résolu]Brute force SSH
Bon, j'arrive un peu tard...
Sur mon serveur SSh :
- Refuser la connexion en root
- Autoriser un seul utilisateur (ou plusieurs) en évitant Admin, Super, supervision, etc...
- Connexion UNIQUEMENT par clés
- mettre une bonne paraphrase de sécurité
- Changer le port de 22 en 2222 ou autres
Déjà, tu devrais avoir moins de soucis d'attaque.
Amitiés de Corse
Pages : 1