Attaque avec adresse IP forgée

Le
EPiKoiEncore
Bonjour à tous

J'ai une petite machine sous linux Suse 10.3 avec SuFirewall2
Je subis depuis plus de 24 heures des tentatives de connexion en ssh.
Visiblement l'attaquant se cache derrière des IP forgées.
Il y a un essai toutes les 2 à 3 minutes avec un login différent à chaque
fois mais dont le nom croît en ordre alphabétique.

Normalement je bannis pour une heure les IP qui ont plus de trois connexions
infructeuses mais dans ce cas, cela ne marche pas.

Y aurait-il un moyen de détecter l'IP réelle de l'attaquant ???

Merci par avance
Alain
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 4
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
JKB
Le #20727511
Le 09-12-2009, ? propos de
Attaque avec adresse IP forgée,
EPiKoiEncore ?crivait dans fr.comp.securite :
Bonjour à tous



Bonjour,

J'ai une petite machine sous linux Suse 10.3 avec SuFirewall2
Je subis depuis plus de 24 heures des tentatives de connexion en ssh.
Visiblement l'attaquant se cache derrière des IP forgées.
Il y a un essai toutes les 2 à 3 minutes avec un login différent à chaque
fois mais dont le nom croît en ordre alphabétique.

Normalement je bannis pour une heure les IP qui ont plus de trois connexions
infructeuses mais dans ce cas, cela ne marche pas.

Y aurait-il un moyen de détecter l'IP réelle de l'attaquant ???

Merci par avance



Est-ce que sont des vraies IP forgées ou un réseau ? Peut-on avoir
un extrait des logs ?

JKB

--
Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre
masse corporelle, mais disperse à lui seul 25% de l'énergie que nous
consommons tous les jours.
Xavier Roche
Le #20727651
EPiKoiEncore a écrit :
Visiblement l'attaquant se cache derrière des IP forgées.



Forgées ou IP de proxy ouverts ? Je n'ai jamais vu de ma vie une seule
attaque avec une "IP forgée" (l'IP spoofing est plus du domaine de la
légende urbaine que de la réalité, mis à part quelques curiosités
d'attaques par UDP ou ICMP)
Mateusz Viste
Le #20727821
On Wednesday 09 December 2009 12:30, EPiKoiEncore wrote:
Visiblement l'attaquant se cache derri


Stephane Catteau
Le #20728321
Mateusz Viste devait dire quelque chose comme ceci :

Solution: ne jamais laisser un accès SSH avec authentification par mot de
passe ouvert sur internet.



C'est tout sauf une solution à la problématique posée ici. Le monsieur
ne dit pas "au secours on veut casser mon SSH", mais "y a un con qui me
gonfle". De même qu'il ne parle pas d'une attaque dictionnaire sur le
mot de passe, mais sur le nom du compte utilisateur.
EPiKoiEncore
Le #20728311
Merci pour vos réponses
Amicalement

Voici un petit bout des logs (il y en a beaucoup plus!) :
/************/
Dec 9 11:11:43 pitchou sshd[30469]: Invalid user export from 189.53.181.13
Dec 9 11:11:44 pitchou sshd[30469]: error: PAM: User not known to the
underlying authentication module for illegal user export from 189.53.181.13
Dec 9 11:11:44 pitchou sshd[30469]: Failed keyboard-interactive/pam for
invalid user export from 189.53.181.13 port 39272 ssh2
Dec 9 11:17:16 pitchou sshd[30500]: Invalid user extra from 113.105.82.13
Dec 9 11:17:16 pitchou sshd[30500]: error: PAM: User not known to the
underlying authentication module for illegal user extra from 113.105.82.13
Dec 9 11:17:16 pitchou sshd[30500]: Failed keyboard-interactive/pam for
invalid user extra from 113.105.82.13 port 8283 ssh2
Dec 9 11:25:56 pitchou sshd[30514]: Invalid user fabios from
211.115.234.143
Dec 9 11:25:56 pitchou sshd[30514]: error: PAM: User not known to the
underlying authentication module for illegal user fabios from
211.115.234.143
Dec 9 11:25:56 pitchou sshd[30514]: Failed keyboard-interactive/pam for
invalid user fabios from 211.115.234.143 port 60846 ssh2
Dec 9 11:37:33 pitchou sshd[30551]: Invalid user fax from 79.190.233.42
Dec 9 11:37:33 pitchou sshd[30551]: error: PAM: User not known to the
underlying authentication module for illegal user fax from
ita42.internetdsl.tpnet.pl
Dec 9 11:37:33 pitchou sshd[30551]: Failed keyboard-interactive/pam for
invalid user fax from 79.190.233.42 port 60563 ssh2
Dec 9 11:40:25 pitchou smartd[3370]: Device: /dev/sda, SMART Prefailure
Attribute: 1 Raw_Read_Error_Rate changed from 55 to 54
Dec 9 11:40:25 pitchou smartd[3370]: Device: /dev/sda, SMART Usage
Attribute: 195 Hardware_ECC_Recovered changed from 55 to 54
Dec 9 11:42:37 pitchou sshd[30573]: Invalid user acct from 168.20.197.63
Dec 9 11:42:37 pitchou sshd[30573]: error: PAM: User not known to the
underlying authentication module for illegal user acct from
sun.savannahstate.edu
Dec 9 11:42:37 pitchou sshd[30573]: Failed keyboard-interactive/pam for
invalid user acct from 168.20.197.63 port 34273 ssh2
Dec 9 11:45:26 pitchou syslog-ng[1868]: STATS: dropped 0
Dec 9 11:51:37 pitchou sshd[30609]: Invalid user felipe from 121.52.215.180
Dec 9 11:51:38 pitchou sshd[30609]: error: PAM: User not known to the
underlying authentication module for illegal user felipe from 121.52.215.180
Dec 9 11:51:38 pitchou sshd[30609]: Failed keyboard-interactive/pam for
invalid user felipe from 121.52.215.180 port 49957 ssh2
Dec 9 11:54:29 pitchou sshd[30618]: Address 125.40.69.208 maps to
hn.kd.ny.adsl, but this does not map back to the address - POSSIBLE BREAK-IN
ATTEMPT!
Dec 9 11:54:29 pitchou sshd[30618]: Invalid user felix from 125.40.69.208
Dec 9 11:54:29 pitchou sshd[30618]: error: PAM: User not known to the
underlying authentication module for illegal user felix from 125.40.69.208
Dec 9 11:54:29 pitchou sshd[30618]: Failed keyboard-interactive/pam for
invalid user felix from 125.40.69.208 port 45688 ssh2
Dec 9 11:57:25 pitchou sshd[30625]: Invalid user felix from 113.105.82.13
Dec 9 11:57:26 pitchou sshd[30625]: error: PAM: User not known to the
underlying authentication module for illegal user felix from 113.105.82.13
Dec 9 11:57:26 pitchou sshd[30625]: Failed keyboard-interactive/pam for
invalid user felix from 113.105.82.13 port 12295 ssh2
Dec 9 12:00:08 pitchou sshd[30652]: Invalid user felix from 78.43.82.153
Dec 9 12:00:09 pitchou sshd[30652]: error: PAM: User not known to the
underlying authentication module for illegal user felix from
hsi-kbw-078-043-082-153.hsi4.kabel-badenwuerttemberg.de
Dec 9 12:00:09 pitchou sshd[30652]: Failed keyboard-interactive/pam for
invalid user felix from 78.43.82.153 port 55045 ssh2
Dec 9 12:05:59 pitchou sshd[30663]: Invalid user fernanda from
190.144.133.214
Dec 9 12:06:00 pitchou sshd[30663]: error: PAM: User not known to the
underlying authentication module for illegal user fernanda from
190.144.133.214
Dec 9 12:06:00 pitchou sshd[30663]: Failed keyboard-interactive/pam for
invalid user fernanda from 190.144.133.214 port 59256 ssh2
Dec 9 12:08:51 pitchou sshd[30672]: Invalid user fernando from 212.243.41.9
Dec 9 12:08:51 pitchou sshd[30672]: error: PAM: User not known to the
underlying authentication module for illegal user fernando from 212.243.41.9
Dec 9 12:08:51 pitchou sshd[30672]: Failed keyboard-interactive/pam for
invalid user fernando from 212.243.41.9 port 4068 ssh2
Dec 9 12:10:25 pitchou smartd[3370]: Device: /dev/sda, SMART Usage
Attribute: 194 Temperature_Celsius changed from 32 to 31
Dec 9 12:14:40 pitchou sshd[30683]: Invalid user f from 41.206.41.90
Dec 9 12:14:41 pitchou sshd[30683]: error: PAM: User not known to the
underlying authentication module for illegal user f from
mail.consumeroptions.co.ke
Dec 9 12:14:41 pitchou sshd[30683]: Failed keyboard-interactive/pam for
invalid user f from 41.206.41.90 port 41493 ssh2
Dec 9 12:35:04 pitchou sshd[30750]: Address 190.25.136.132 maps to
corporat190-025136132.sta.etb.net.co, but this does not map back to the
address - POSSIBLE BREAK-IN ATTEMPT!
Dec 9 12:35:04 pitchou sshd[30750]: Invalid user finaid from 190.25.136.132
Dec 9 12:35:04 pitchou sshd[30750]: error: PAM: User not known to the
underlying authentication module for illegal user finaid from 190.25.136.132
Dec 9 12:35:04 pitchou sshd[30750]: Failed keyboard-interactive/pam for
invalid user finaid from 190.25.136.132 port 15064 ssh2
Dec 9 12:43:58 pitchou sshd[30764]: Invalid user finanzas from
66.201.160.200
Dec 9 12:43:58 pitchou sshd[30764]: error: PAM: User not known to the
underlying authentication module for illegal user finanzas from
mail.cuscatlan.net
Dec 9 12:43:58 pitchou sshd[30764]: Failed keyboard-interactive/pam for
invalid user finanzas from 66.201.160.200 port 55807 ssh2
Dec 9 12:45:27 pitchou syslog-ng[1868]: STATS: dropped 0

/************/

"JKB"
Le 09-12-2009, ? propos de
Attaque avec adresse IP forgée,
EPiKoiEncore ?crivait dans fr.comp.securite :
Bonjour à tous



Bonjour,

J'ai une petite machine sous linux Suse 10.3 avec SuFirewall2
Je subis depuis plus de 24 heures des tentatives de connexion en ssh.
Visiblement l'attaquant se cache derrière des IP forgées.
Il y a un essai toutes les 2 à 3 minutes avec un login différent à chaque
fois mais dont le nom croît en ordre alphabétique.

Normalement je bannis pour une heure les IP qui ont plus de trois
connexions
infructeuses mais dans ce cas, cela ne marche pas.

Y aurait-il un moyen de détecter l'IP réelle de l'attaquant ???

Merci par avance



Est-ce que sont des vraies IP forgées ou un réseau ? Peut-on avoir
un extrait des logs ?

JKB

--
Le cerveau, c'est un véritable scandale écologique. Il représente 2% de
notre
masse corporelle, mais disperse à lui seul 25% de l'énergie que nous
consommons tous les jours.


EPiKoiEncore
Le #20728301
"Mateusz Viste"
On Wednesday 09 December 2009 12:30, EPiKoiEncore wrote:
Visiblement l'attaquant se cache derrire des IP forges.



Si les IP étaient réellement "forgées", le connexion n'aboutirait jamais
(la poignée de main TCP ne s'établirait même pas).

Y aurait-il un moyen de dtecter l'IP relle de l'attaquant ???



Sans avoir la main sur les proxies utilisées? Non.

Solution: ne jamais laisser un accès SSH avec authentification par mot de
passe ouvert sur internet.




Merci de votre réponse.
Mais comment faites-vous pour vous connecter de n'importe où sur une
machine.?
En dehors du ssh, je ne vois pas trop ?!


Cordialement,
Mateusz Viste

P.S. La chose te servant de lecteur de news est mal configurée... ;-)



Oui mais pour mes mails, c'est Thunderbird ;-)
Stephane Catteau
Le #20728361
EPiKoiEncore n'était pas loin de dire :

Voici un petit bout des logs (il y en a beaucoup plus!) :


[snip]

Une recherche rapide permet d'aboutir entre autre à ça :

Et il y en a d'autres, donc tu es pour l'instant la cible d'un gus qui
cherche à étendre son botnet, et il y a fort à parier que c'est à partir
du botnet lui-même qu'il le fait. Rien de bien grave si tu es sûr de
ton SSH, mais il n'y a pas grand chose que tu puisses faire pour tes
logs, sauf à bloquer les adresses IP fournis par la seconde URI pour
limiter un peu les domage en attendant.
Mateusz Viste
Le #20728501
On Wednesday 09 December 2009 14:27, Stephane Catteau wrote:
C'est tout sauf une solution à la problématique posée ici. Le monsieur
ne dit pas "au secours on veut casser mon SSH", mais "y a un con qui me
gonfle". De même qu'il ne parle pas d'une attaque dictionnaire sur le
mot de passe, mais sur le nom du compte utilisateur.



Bah justement - le con, il aura vite fait d'arrêter lorsqu'il s'apercevra
qu'il est incapable de tester ne serait-ce qu'un seul couple login/mot de
passe. :)

Cordialement,
Mateusz Viste
Eric Masson
Le #20728491
"EPiKoiEncore"
'Lut,

Mais comment faites-vous pour vous connecter de n'importe où sur une
machine.?



Toujours en ssh mais en désactivant tout accès autre que celui par clés.

--
NC> Ben quoi ? C'est déshonorant le GCU ? (Si oui, là, je prendrais
des risques inconsidérés...)
Pas ce que j'ai dit Mais passer du GCU au GNU....
-+- HP in:
Mateusz Viste
Le #20728481
On Wednesday 09 December 2009 14:30, EPiKoiEncore wrote:
Mais comment faites-vous pour vous connecter de n'importe o


Publicité
Poster une réponse
Anonyme