J'ai une petite machine sous linux Suse 10.3 avec SuFirewall2
Je subis depuis plus de 24 heures des tentatives de connexion en ssh.
Visiblement l'attaquant se cache derrière des IP forgées.
Il y a un essai toutes les 2 à 3 minutes avec un login différent à chaque
fois mais dont le nom croît en ordre alphabétique.
Normalement je bannis pour une heure les IP qui ont plus de trois connexions
infructeuses mais dans ce cas, cela ne marche pas.
Y aurait-il un moyen de détecter l'IP réelle de l'attaquant ???
Le 09-12-2009, ? propos de Attaque avec adresse IP forgée, EPiKoiEncore ?crivait dans fr.comp.securite :
Bonjour à tous
Bonjour,
J'ai une petite machine sous linux Suse 10.3 avec SuFirewall2 Je subis depuis plus de 24 heures des tentatives de connexion en ssh. Visiblement l'attaquant se cache derrière des IP forgées. Il y a un essai toutes les 2 à 3 minutes avec un login différent à chaque fois mais dont le nom croît en ordre alphabétique.
Normalement je bannis pour une heure les IP qui ont plus de trois connexions infructeuses mais dans ce cas, cela ne marche pas.
Y aurait-il un moyen de détecter l'IP réelle de l'attaquant ???
Merci par avance
Est-ce que sont des vraies IP forgées ou un réseau ? Peut-on avoir un extrait des logs ?
JKB
-- Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre masse corporelle, mais disperse à lui seul 25% de l'énergie que nous consommons tous les jours.
Le 09-12-2009, ? propos de
Attaque avec adresse IP forgée,
EPiKoiEncore ?crivait dans fr.comp.securite :
Bonjour à tous
Bonjour,
J'ai une petite machine sous linux Suse 10.3 avec SuFirewall2
Je subis depuis plus de 24 heures des tentatives de connexion en ssh.
Visiblement l'attaquant se cache derrière des IP forgées.
Il y a un essai toutes les 2 à 3 minutes avec un login différent à chaque
fois mais dont le nom croît en ordre alphabétique.
Normalement je bannis pour une heure les IP qui ont plus de trois connexions
infructeuses mais dans ce cas, cela ne marche pas.
Y aurait-il un moyen de détecter l'IP réelle de l'attaquant ???
Merci par avance
Est-ce que sont des vraies IP forgées ou un réseau ? Peut-on avoir
un extrait des logs ?
JKB
--
Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre
masse corporelle, mais disperse à lui seul 25% de l'énergie que nous
consommons tous les jours.
Le 09-12-2009, ? propos de Attaque avec adresse IP forgée, EPiKoiEncore ?crivait dans fr.comp.securite :
Bonjour à tous
Bonjour,
J'ai une petite machine sous linux Suse 10.3 avec SuFirewall2 Je subis depuis plus de 24 heures des tentatives de connexion en ssh. Visiblement l'attaquant se cache derrière des IP forgées. Il y a un essai toutes les 2 à 3 minutes avec un login différent à chaque fois mais dont le nom croît en ordre alphabétique.
Normalement je bannis pour une heure les IP qui ont plus de trois connexions infructeuses mais dans ce cas, cela ne marche pas.
Y aurait-il un moyen de détecter l'IP réelle de l'attaquant ???
Merci par avance
Est-ce que sont des vraies IP forgées ou un réseau ? Peut-on avoir un extrait des logs ?
JKB
-- Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre masse corporelle, mais disperse à lui seul 25% de l'énergie que nous consommons tous les jours.
Xavier Roche
EPiKoiEncore a écrit :
Visiblement l'attaquant se cache derrière des IP forgées.
Forgées ou IP de proxy ouverts ? Je n'ai jamais vu de ma vie une seule attaque avec une "IP forgée" (l'IP spoofing est plus du domaine de la légende urbaine que de la réalité, mis à part quelques curiosités d'attaques par UDP ou ICMP)
EPiKoiEncore a écrit :
Visiblement l'attaquant se cache derrière des IP forgées.
Forgées ou IP de proxy ouverts ? Je n'ai jamais vu de ma vie une seule
attaque avec une "IP forgée" (l'IP spoofing est plus du domaine de la
légende urbaine que de la réalité, mis à part quelques curiosités
d'attaques par UDP ou ICMP)
Visiblement l'attaquant se cache derrière des IP forgées.
Forgées ou IP de proxy ouverts ? Je n'ai jamais vu de ma vie une seule attaque avec une "IP forgée" (l'IP spoofing est plus du domaine de la légende urbaine que de la réalité, mis à part quelques curiosités d'attaques par UDP ou ICMP)
Mateusz Viste
On Wednesday 09 December 2009 12:30, EPiKoiEncore wrote:
Visiblement l'attaquant se cache derri
On Wednesday 09 December 2009 12:30, EPiKoiEncore wrote:
On Wednesday 09 December 2009 12:30, EPiKoiEncore wrote:
Visiblement l'attaquant se cache derri
Stephane Catteau
Mateusz Viste devait dire quelque chose comme ceci :
Solution: ne jamais laisser un accès SSH avec authentification par mot de passe ouvert sur internet.
C'est tout sauf une solution à la problématique posée ici. Le monsieur ne dit pas "au secours on veut casser mon SSH", mais "y a un con qui me gonfle". De même qu'il ne parle pas d'une attaque dictionnaire sur le mot de passe, mais sur le nom du compte utilisateur.
Mateusz Viste devait dire quelque chose comme ceci :
Solution: ne jamais laisser un accès SSH avec authentification par mot de
passe ouvert sur internet.
C'est tout sauf une solution à la problématique posée ici. Le monsieur
ne dit pas "au secours on veut casser mon SSH", mais "y a un con qui me
gonfle". De même qu'il ne parle pas d'une attaque dictionnaire sur le
mot de passe, mais sur le nom du compte utilisateur.
Mateusz Viste devait dire quelque chose comme ceci :
Solution: ne jamais laisser un accès SSH avec authentification par mot de passe ouvert sur internet.
C'est tout sauf une solution à la problématique posée ici. Le monsieur ne dit pas "au secours on veut casser mon SSH", mais "y a un con qui me gonfle". De même qu'il ne parle pas d'une attaque dictionnaire sur le mot de passe, mais sur le nom du compte utilisateur.
EPiKoiEncore
Merci pour vos réponses Amicalement
Voici un petit bout des logs (il y en a beaucoup plus!) : /************/ Dec 9 11:11:43 pitchou sshd[30469]: Invalid user export from 189.53.181.13 Dec 9 11:11:44 pitchou sshd[30469]: error: PAM: User not known to the underlying authentication module for illegal user export from 189.53.181.13 Dec 9 11:11:44 pitchou sshd[30469]: Failed keyboard-interactive/pam for invalid user export from 189.53.181.13 port 39272 ssh2 Dec 9 11:17:16 pitchou sshd[30500]: Invalid user extra from 113.105.82.13 Dec 9 11:17:16 pitchou sshd[30500]: error: PAM: User not known to the underlying authentication module for illegal user extra from 113.105.82.13 Dec 9 11:17:16 pitchou sshd[30500]: Failed keyboard-interactive/pam for invalid user extra from 113.105.82.13 port 8283 ssh2 Dec 9 11:25:56 pitchou sshd[30514]: Invalid user fabios from 211.115.234.143 Dec 9 11:25:56 pitchou sshd[30514]: error: PAM: User not known to the underlying authentication module for illegal user fabios from 211.115.234.143 Dec 9 11:25:56 pitchou sshd[30514]: Failed keyboard-interactive/pam for invalid user fabios from 211.115.234.143 port 60846 ssh2 Dec 9 11:37:33 pitchou sshd[30551]: Invalid user fax from 79.190.233.42 Dec 9 11:37:33 pitchou sshd[30551]: error: PAM: User not known to the underlying authentication module for illegal user fax from ita42.internetdsl.tpnet.pl Dec 9 11:37:33 pitchou sshd[30551]: Failed keyboard-interactive/pam for invalid user fax from 79.190.233.42 port 60563 ssh2 Dec 9 11:40:25 pitchou smartd[3370]: Device: /dev/sda, SMART Prefailure Attribute: 1 Raw_Read_Error_Rate changed from 55 to 54 Dec 9 11:40:25 pitchou smartd[3370]: Device: /dev/sda, SMART Usage Attribute: 195 Hardware_ECC_Recovered changed from 55 to 54 Dec 9 11:42:37 pitchou sshd[30573]: Invalid user acct from 168.20.197.63 Dec 9 11:42:37 pitchou sshd[30573]: error: PAM: User not known to the underlying authentication module for illegal user acct from sun.savannahstate.edu Dec 9 11:42:37 pitchou sshd[30573]: Failed keyboard-interactive/pam for invalid user acct from 168.20.197.63 port 34273 ssh2 Dec 9 11:45:26 pitchou syslog-ng[1868]: STATS: dropped 0 Dec 9 11:51:37 pitchou sshd[30609]: Invalid user felipe from 121.52.215.180 Dec 9 11:51:38 pitchou sshd[30609]: error: PAM: User not known to the underlying authentication module for illegal user felipe from 121.52.215.180 Dec 9 11:51:38 pitchou sshd[30609]: Failed keyboard-interactive/pam for invalid user felipe from 121.52.215.180 port 49957 ssh2 Dec 9 11:54:29 pitchou sshd[30618]: Address 125.40.69.208 maps to hn.kd.ny.adsl, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT! Dec 9 11:54:29 pitchou sshd[30618]: Invalid user felix from 125.40.69.208 Dec 9 11:54:29 pitchou sshd[30618]: error: PAM: User not known to the underlying authentication module for illegal user felix from 125.40.69.208 Dec 9 11:54:29 pitchou sshd[30618]: Failed keyboard-interactive/pam for invalid user felix from 125.40.69.208 port 45688 ssh2 Dec 9 11:57:25 pitchou sshd[30625]: Invalid user felix from 113.105.82.13 Dec 9 11:57:26 pitchou sshd[30625]: error: PAM: User not known to the underlying authentication module for illegal user felix from 113.105.82.13 Dec 9 11:57:26 pitchou sshd[30625]: Failed keyboard-interactive/pam for invalid user felix from 113.105.82.13 port 12295 ssh2 Dec 9 12:00:08 pitchou sshd[30652]: Invalid user felix from 78.43.82.153 Dec 9 12:00:09 pitchou sshd[30652]: error: PAM: User not known to the underlying authentication module for illegal user felix from hsi-kbw-078-043-082-153.hsi4.kabel-badenwuerttemberg.de Dec 9 12:00:09 pitchou sshd[30652]: Failed keyboard-interactive/pam for invalid user felix from 78.43.82.153 port 55045 ssh2 Dec 9 12:05:59 pitchou sshd[30663]: Invalid user fernanda from 190.144.133.214 Dec 9 12:06:00 pitchou sshd[30663]: error: PAM: User not known to the underlying authentication module for illegal user fernanda from 190.144.133.214 Dec 9 12:06:00 pitchou sshd[30663]: Failed keyboard-interactive/pam for invalid user fernanda from 190.144.133.214 port 59256 ssh2 Dec 9 12:08:51 pitchou sshd[30672]: Invalid user fernando from 212.243.41.9 Dec 9 12:08:51 pitchou sshd[30672]: error: PAM: User not known to the underlying authentication module for illegal user fernando from 212.243.41.9 Dec 9 12:08:51 pitchou sshd[30672]: Failed keyboard-interactive/pam for invalid user fernando from 212.243.41.9 port 4068 ssh2 Dec 9 12:10:25 pitchou smartd[3370]: Device: /dev/sda, SMART Usage Attribute: 194 Temperature_Celsius changed from 32 to 31 Dec 9 12:14:40 pitchou sshd[30683]: Invalid user f from 41.206.41.90 Dec 9 12:14:41 pitchou sshd[30683]: error: PAM: User not known to the underlying authentication module for illegal user f from mail.consumeroptions.co.ke Dec 9 12:14:41 pitchou sshd[30683]: Failed keyboard-interactive/pam for invalid user f from 41.206.41.90 port 41493 ssh2 Dec 9 12:35:04 pitchou sshd[30750]: Address 190.25.136.132 maps to corporat190-025136132.sta.etb.net.co, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT! Dec 9 12:35:04 pitchou sshd[30750]: Invalid user finaid from 190.25.136.132 Dec 9 12:35:04 pitchou sshd[30750]: error: PAM: User not known to the underlying authentication module for illegal user finaid from 190.25.136.132 Dec 9 12:35:04 pitchou sshd[30750]: Failed keyboard-interactive/pam for invalid user finaid from 190.25.136.132 port 15064 ssh2 Dec 9 12:43:58 pitchou sshd[30764]: Invalid user finanzas from 66.201.160.200 Dec 9 12:43:58 pitchou sshd[30764]: error: PAM: User not known to the underlying authentication module for illegal user finanzas from mail.cuscatlan.net Dec 9 12:43:58 pitchou sshd[30764]: Failed keyboard-interactive/pam for invalid user finanzas from 66.201.160.200 port 55807 ssh2 Dec 9 12:45:27 pitchou syslog-ng[1868]: STATS: dropped 0
/************/
"JKB" a écrit dans le message de news:
Le 09-12-2009, ? propos de Attaque avec adresse IP forgée, EPiKoiEncore ?crivait dans fr.comp.securite :
Bonjour à tous
Bonjour,
J'ai une petite machine sous linux Suse 10.3 avec SuFirewall2 Je subis depuis plus de 24 heures des tentatives de connexion en ssh. Visiblement l'attaquant se cache derrière des IP forgées. Il y a un essai toutes les 2 à 3 minutes avec un login différent à chaque fois mais dont le nom croît en ordre alphabétique.
Normalement je bannis pour une heure les IP qui ont plus de trois connexions infructeuses mais dans ce cas, cela ne marche pas.
Y aurait-il un moyen de détecter l'IP réelle de l'attaquant ???
Merci par avance
Est-ce que sont des vraies IP forgées ou un réseau ? Peut-on avoir un extrait des logs ?
JKB
-- Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre masse corporelle, mais disperse à lui seul 25% de l'énergie que nous consommons tous les jours.
Merci pour vos réponses
Amicalement
Voici un petit bout des logs (il y en a beaucoup plus!) :
/************/
Dec 9 11:11:43 pitchou sshd[30469]: Invalid user export from 189.53.181.13
Dec 9 11:11:44 pitchou sshd[30469]: error: PAM: User not known to the
underlying authentication module for illegal user export from 189.53.181.13
Dec 9 11:11:44 pitchou sshd[30469]: Failed keyboard-interactive/pam for
invalid user export from 189.53.181.13 port 39272 ssh2
Dec 9 11:17:16 pitchou sshd[30500]: Invalid user extra from 113.105.82.13
Dec 9 11:17:16 pitchou sshd[30500]: error: PAM: User not known to the
underlying authentication module for illegal user extra from 113.105.82.13
Dec 9 11:17:16 pitchou sshd[30500]: Failed keyboard-interactive/pam for
invalid user extra from 113.105.82.13 port 8283 ssh2
Dec 9 11:25:56 pitchou sshd[30514]: Invalid user fabios from
211.115.234.143
Dec 9 11:25:56 pitchou sshd[30514]: error: PAM: User not known to the
underlying authentication module for illegal user fabios from
211.115.234.143
Dec 9 11:25:56 pitchou sshd[30514]: Failed keyboard-interactive/pam for
invalid user fabios from 211.115.234.143 port 60846 ssh2
Dec 9 11:37:33 pitchou sshd[30551]: Invalid user fax from 79.190.233.42
Dec 9 11:37:33 pitchou sshd[30551]: error: PAM: User not known to the
underlying authentication module for illegal user fax from
ita42.internetdsl.tpnet.pl
Dec 9 11:37:33 pitchou sshd[30551]: Failed keyboard-interactive/pam for
invalid user fax from 79.190.233.42 port 60563 ssh2
Dec 9 11:40:25 pitchou smartd[3370]: Device: /dev/sda, SMART Prefailure
Attribute: 1 Raw_Read_Error_Rate changed from 55 to 54
Dec 9 11:40:25 pitchou smartd[3370]: Device: /dev/sda, SMART Usage
Attribute: 195 Hardware_ECC_Recovered changed from 55 to 54
Dec 9 11:42:37 pitchou sshd[30573]: Invalid user acct from 168.20.197.63
Dec 9 11:42:37 pitchou sshd[30573]: error: PAM: User not known to the
underlying authentication module for illegal user acct from
sun.savannahstate.edu
Dec 9 11:42:37 pitchou sshd[30573]: Failed keyboard-interactive/pam for
invalid user acct from 168.20.197.63 port 34273 ssh2
Dec 9 11:45:26 pitchou syslog-ng[1868]: STATS: dropped 0
Dec 9 11:51:37 pitchou sshd[30609]: Invalid user felipe from 121.52.215.180
Dec 9 11:51:38 pitchou sshd[30609]: error: PAM: User not known to the
underlying authentication module for illegal user felipe from 121.52.215.180
Dec 9 11:51:38 pitchou sshd[30609]: Failed keyboard-interactive/pam for
invalid user felipe from 121.52.215.180 port 49957 ssh2
Dec 9 11:54:29 pitchou sshd[30618]: Address 125.40.69.208 maps to
hn.kd.ny.adsl, but this does not map back to the address - POSSIBLE BREAK-IN
ATTEMPT!
Dec 9 11:54:29 pitchou sshd[30618]: Invalid user felix from 125.40.69.208
Dec 9 11:54:29 pitchou sshd[30618]: error: PAM: User not known to the
underlying authentication module for illegal user felix from 125.40.69.208
Dec 9 11:54:29 pitchou sshd[30618]: Failed keyboard-interactive/pam for
invalid user felix from 125.40.69.208 port 45688 ssh2
Dec 9 11:57:25 pitchou sshd[30625]: Invalid user felix from 113.105.82.13
Dec 9 11:57:26 pitchou sshd[30625]: error: PAM: User not known to the
underlying authentication module for illegal user felix from 113.105.82.13
Dec 9 11:57:26 pitchou sshd[30625]: Failed keyboard-interactive/pam for
invalid user felix from 113.105.82.13 port 12295 ssh2
Dec 9 12:00:08 pitchou sshd[30652]: Invalid user felix from 78.43.82.153
Dec 9 12:00:09 pitchou sshd[30652]: error: PAM: User not known to the
underlying authentication module for illegal user felix from
hsi-kbw-078-043-082-153.hsi4.kabel-badenwuerttemberg.de
Dec 9 12:00:09 pitchou sshd[30652]: Failed keyboard-interactive/pam for
invalid user felix from 78.43.82.153 port 55045 ssh2
Dec 9 12:05:59 pitchou sshd[30663]: Invalid user fernanda from
190.144.133.214
Dec 9 12:06:00 pitchou sshd[30663]: error: PAM: User not known to the
underlying authentication module for illegal user fernanda from
190.144.133.214
Dec 9 12:06:00 pitchou sshd[30663]: Failed keyboard-interactive/pam for
invalid user fernanda from 190.144.133.214 port 59256 ssh2
Dec 9 12:08:51 pitchou sshd[30672]: Invalid user fernando from 212.243.41.9
Dec 9 12:08:51 pitchou sshd[30672]: error: PAM: User not known to the
underlying authentication module for illegal user fernando from 212.243.41.9
Dec 9 12:08:51 pitchou sshd[30672]: Failed keyboard-interactive/pam for
invalid user fernando from 212.243.41.9 port 4068 ssh2
Dec 9 12:10:25 pitchou smartd[3370]: Device: /dev/sda, SMART Usage
Attribute: 194 Temperature_Celsius changed from 32 to 31
Dec 9 12:14:40 pitchou sshd[30683]: Invalid user f from 41.206.41.90
Dec 9 12:14:41 pitchou sshd[30683]: error: PAM: User not known to the
underlying authentication module for illegal user f from
mail.consumeroptions.co.ke
Dec 9 12:14:41 pitchou sshd[30683]: Failed keyboard-interactive/pam for
invalid user f from 41.206.41.90 port 41493 ssh2
Dec 9 12:35:04 pitchou sshd[30750]: Address 190.25.136.132 maps to
corporat190-025136132.sta.etb.net.co, but this does not map back to the
address - POSSIBLE BREAK-IN ATTEMPT!
Dec 9 12:35:04 pitchou sshd[30750]: Invalid user finaid from 190.25.136.132
Dec 9 12:35:04 pitchou sshd[30750]: error: PAM: User not known to the
underlying authentication module for illegal user finaid from 190.25.136.132
Dec 9 12:35:04 pitchou sshd[30750]: Failed keyboard-interactive/pam for
invalid user finaid from 190.25.136.132 port 15064 ssh2
Dec 9 12:43:58 pitchou sshd[30764]: Invalid user finanzas from
66.201.160.200
Dec 9 12:43:58 pitchou sshd[30764]: error: PAM: User not known to the
underlying authentication module for illegal user finanzas from
mail.cuscatlan.net
Dec 9 12:43:58 pitchou sshd[30764]: Failed keyboard-interactive/pam for
invalid user finanzas from 66.201.160.200 port 55807 ssh2
Dec 9 12:45:27 pitchou syslog-ng[1868]: STATS: dropped 0
/************/
"JKB" <knatschke@koenigsberg.fr> a écrit dans le message de news:
slrnhhv2mo.4ve.knatschke@rayleigh.systella.fr...
Le 09-12-2009, ? propos de
Attaque avec adresse IP forgée,
EPiKoiEncore ?crivait dans fr.comp.securite :
Bonjour à tous
Bonjour,
J'ai une petite machine sous linux Suse 10.3 avec SuFirewall2
Je subis depuis plus de 24 heures des tentatives de connexion en ssh.
Visiblement l'attaquant se cache derrière des IP forgées.
Il y a un essai toutes les 2 à 3 minutes avec un login différent à chaque
fois mais dont le nom croît en ordre alphabétique.
Normalement je bannis pour une heure les IP qui ont plus de trois
connexions
infructeuses mais dans ce cas, cela ne marche pas.
Y aurait-il un moyen de détecter l'IP réelle de l'attaquant ???
Merci par avance
Est-ce que sont des vraies IP forgées ou un réseau ? Peut-on avoir
un extrait des logs ?
JKB
--
Le cerveau, c'est un véritable scandale écologique. Il représente 2% de
notre
masse corporelle, mais disperse à lui seul 25% de l'énergie que nous
consommons tous les jours.
Voici un petit bout des logs (il y en a beaucoup plus!) : /************/ Dec 9 11:11:43 pitchou sshd[30469]: Invalid user export from 189.53.181.13 Dec 9 11:11:44 pitchou sshd[30469]: error: PAM: User not known to the underlying authentication module for illegal user export from 189.53.181.13 Dec 9 11:11:44 pitchou sshd[30469]: Failed keyboard-interactive/pam for invalid user export from 189.53.181.13 port 39272 ssh2 Dec 9 11:17:16 pitchou sshd[30500]: Invalid user extra from 113.105.82.13 Dec 9 11:17:16 pitchou sshd[30500]: error: PAM: User not known to the underlying authentication module for illegal user extra from 113.105.82.13 Dec 9 11:17:16 pitchou sshd[30500]: Failed keyboard-interactive/pam for invalid user extra from 113.105.82.13 port 8283 ssh2 Dec 9 11:25:56 pitchou sshd[30514]: Invalid user fabios from 211.115.234.143 Dec 9 11:25:56 pitchou sshd[30514]: error: PAM: User not known to the underlying authentication module for illegal user fabios from 211.115.234.143 Dec 9 11:25:56 pitchou sshd[30514]: Failed keyboard-interactive/pam for invalid user fabios from 211.115.234.143 port 60846 ssh2 Dec 9 11:37:33 pitchou sshd[30551]: Invalid user fax from 79.190.233.42 Dec 9 11:37:33 pitchou sshd[30551]: error: PAM: User not known to the underlying authentication module for illegal user fax from ita42.internetdsl.tpnet.pl Dec 9 11:37:33 pitchou sshd[30551]: Failed keyboard-interactive/pam for invalid user fax from 79.190.233.42 port 60563 ssh2 Dec 9 11:40:25 pitchou smartd[3370]: Device: /dev/sda, SMART Prefailure Attribute: 1 Raw_Read_Error_Rate changed from 55 to 54 Dec 9 11:40:25 pitchou smartd[3370]: Device: /dev/sda, SMART Usage Attribute: 195 Hardware_ECC_Recovered changed from 55 to 54 Dec 9 11:42:37 pitchou sshd[30573]: Invalid user acct from 168.20.197.63 Dec 9 11:42:37 pitchou sshd[30573]: error: PAM: User not known to the underlying authentication module for illegal user acct from sun.savannahstate.edu Dec 9 11:42:37 pitchou sshd[30573]: Failed keyboard-interactive/pam for invalid user acct from 168.20.197.63 port 34273 ssh2 Dec 9 11:45:26 pitchou syslog-ng[1868]: STATS: dropped 0 Dec 9 11:51:37 pitchou sshd[30609]: Invalid user felipe from 121.52.215.180 Dec 9 11:51:38 pitchou sshd[30609]: error: PAM: User not known to the underlying authentication module for illegal user felipe from 121.52.215.180 Dec 9 11:51:38 pitchou sshd[30609]: Failed keyboard-interactive/pam for invalid user felipe from 121.52.215.180 port 49957 ssh2 Dec 9 11:54:29 pitchou sshd[30618]: Address 125.40.69.208 maps to hn.kd.ny.adsl, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT! Dec 9 11:54:29 pitchou sshd[30618]: Invalid user felix from 125.40.69.208 Dec 9 11:54:29 pitchou sshd[30618]: error: PAM: User not known to the underlying authentication module for illegal user felix from 125.40.69.208 Dec 9 11:54:29 pitchou sshd[30618]: Failed keyboard-interactive/pam for invalid user felix from 125.40.69.208 port 45688 ssh2 Dec 9 11:57:25 pitchou sshd[30625]: Invalid user felix from 113.105.82.13 Dec 9 11:57:26 pitchou sshd[30625]: error: PAM: User not known to the underlying authentication module for illegal user felix from 113.105.82.13 Dec 9 11:57:26 pitchou sshd[30625]: Failed keyboard-interactive/pam for invalid user felix from 113.105.82.13 port 12295 ssh2 Dec 9 12:00:08 pitchou sshd[30652]: Invalid user felix from 78.43.82.153 Dec 9 12:00:09 pitchou sshd[30652]: error: PAM: User not known to the underlying authentication module for illegal user felix from hsi-kbw-078-043-082-153.hsi4.kabel-badenwuerttemberg.de Dec 9 12:00:09 pitchou sshd[30652]: Failed keyboard-interactive/pam for invalid user felix from 78.43.82.153 port 55045 ssh2 Dec 9 12:05:59 pitchou sshd[30663]: Invalid user fernanda from 190.144.133.214 Dec 9 12:06:00 pitchou sshd[30663]: error: PAM: User not known to the underlying authentication module for illegal user fernanda from 190.144.133.214 Dec 9 12:06:00 pitchou sshd[30663]: Failed keyboard-interactive/pam for invalid user fernanda from 190.144.133.214 port 59256 ssh2 Dec 9 12:08:51 pitchou sshd[30672]: Invalid user fernando from 212.243.41.9 Dec 9 12:08:51 pitchou sshd[30672]: error: PAM: User not known to the underlying authentication module for illegal user fernando from 212.243.41.9 Dec 9 12:08:51 pitchou sshd[30672]: Failed keyboard-interactive/pam for invalid user fernando from 212.243.41.9 port 4068 ssh2 Dec 9 12:10:25 pitchou smartd[3370]: Device: /dev/sda, SMART Usage Attribute: 194 Temperature_Celsius changed from 32 to 31 Dec 9 12:14:40 pitchou sshd[30683]: Invalid user f from 41.206.41.90 Dec 9 12:14:41 pitchou sshd[30683]: error: PAM: User not known to the underlying authentication module for illegal user f from mail.consumeroptions.co.ke Dec 9 12:14:41 pitchou sshd[30683]: Failed keyboard-interactive/pam for invalid user f from 41.206.41.90 port 41493 ssh2 Dec 9 12:35:04 pitchou sshd[30750]: Address 190.25.136.132 maps to corporat190-025136132.sta.etb.net.co, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT! Dec 9 12:35:04 pitchou sshd[30750]: Invalid user finaid from 190.25.136.132 Dec 9 12:35:04 pitchou sshd[30750]: error: PAM: User not known to the underlying authentication module for illegal user finaid from 190.25.136.132 Dec 9 12:35:04 pitchou sshd[30750]: Failed keyboard-interactive/pam for invalid user finaid from 190.25.136.132 port 15064 ssh2 Dec 9 12:43:58 pitchou sshd[30764]: Invalid user finanzas from 66.201.160.200 Dec 9 12:43:58 pitchou sshd[30764]: error: PAM: User not known to the underlying authentication module for illegal user finanzas from mail.cuscatlan.net Dec 9 12:43:58 pitchou sshd[30764]: Failed keyboard-interactive/pam for invalid user finanzas from 66.201.160.200 port 55807 ssh2 Dec 9 12:45:27 pitchou syslog-ng[1868]: STATS: dropped 0
/************/
"JKB" a écrit dans le message de news:
Le 09-12-2009, ? propos de Attaque avec adresse IP forgée, EPiKoiEncore ?crivait dans fr.comp.securite :
Bonjour à tous
Bonjour,
J'ai une petite machine sous linux Suse 10.3 avec SuFirewall2 Je subis depuis plus de 24 heures des tentatives de connexion en ssh. Visiblement l'attaquant se cache derrière des IP forgées. Il y a un essai toutes les 2 à 3 minutes avec un login différent à chaque fois mais dont le nom croît en ordre alphabétique.
Normalement je bannis pour une heure les IP qui ont plus de trois connexions infructeuses mais dans ce cas, cela ne marche pas.
Y aurait-il un moyen de détecter l'IP réelle de l'attaquant ???
Merci par avance
Est-ce que sont des vraies IP forgées ou un réseau ? Peut-on avoir un extrait des logs ?
JKB
-- Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre masse corporelle, mais disperse à lui seul 25% de l'énergie que nous consommons tous les jours.
EPiKoiEncore
"Mateusz Viste" a écrit dans le message de news:
On Wednesday 09 December 2009 12:30, EPiKoiEncore wrote:
Visiblement l'attaquant se cache derrire des IP forges.
Si les IP étaient réellement "forgées", le connexion n'aboutirait jamais (la poignée de main TCP ne s'établirait même pas).
Y aurait-il un moyen de dtecter l'IP relle de l'attaquant ???
Sans avoir la main sur les proxies utilisées? Non.
Solution: ne jamais laisser un accès SSH avec authentification par mot de passe ouvert sur internet.
Merci de votre réponse. Mais comment faites-vous pour vous connecter de n'importe où sur une machine.? En dehors du ssh, je ne vois pas trop ?!
Cordialement, Mateusz Viste
P.S. La chose te servant de lecteur de news est mal configurée... ;-)
Oui mais pour mes mails, c'est Thunderbird ;-)
"Mateusz Viste" <mateusz@no-spam.please> a écrit dans le message de news:
93h4v6-42c.ln1@datacenter.viste-family.net...
On Wednesday 09 December 2009 12:30, EPiKoiEncore wrote:
Visiblement l'attaquant se cache derrire des IP forges.
Si les IP étaient réellement "forgées", le connexion n'aboutirait jamais
(la poignée de main TCP ne s'établirait même pas).
Y aurait-il un moyen de dtecter l'IP relle de l'attaquant ???
Sans avoir la main sur les proxies utilisées? Non.
Solution: ne jamais laisser un accès SSH avec authentification par mot de
passe ouvert sur internet.
Merci de votre réponse.
Mais comment faites-vous pour vous connecter de n'importe où sur une
machine.?
En dehors du ssh, je ne vois pas trop ?!
Cordialement,
Mateusz Viste
P.S. La chose te servant de lecteur de news est mal configurée... ;-)
On Wednesday 09 December 2009 12:30, EPiKoiEncore wrote:
Visiblement l'attaquant se cache derrire des IP forges.
Si les IP étaient réellement "forgées", le connexion n'aboutirait jamais (la poignée de main TCP ne s'établirait même pas).
Y aurait-il un moyen de dtecter l'IP relle de l'attaquant ???
Sans avoir la main sur les proxies utilisées? Non.
Solution: ne jamais laisser un accès SSH avec authentification par mot de passe ouvert sur internet.
Merci de votre réponse. Mais comment faites-vous pour vous connecter de n'importe où sur une machine.? En dehors du ssh, je ne vois pas trop ?!
Cordialement, Mateusz Viste
P.S. La chose te servant de lecteur de news est mal configurée... ;-)
Oui mais pour mes mails, c'est Thunderbird ;-)
Stephane Catteau
EPiKoiEncore n'était pas loin de dire :
Voici un petit bout des logs (il y en a beaucoup plus!) :
[snip]
Une recherche rapide permet d'aboutir entre autre à ça : <http://datanethost.net/logs/dos.txt> <http://charles.the-haleys.org/ssh_dico_attack_hdeny_format.php/hostsdeny.txt>
Et il y en a d'autres, donc tu es pour l'instant la cible d'un gus qui cherche à étendre son botnet, et il y a fort à parier que c'est à partir du botnet lui-même qu'il le fait. Rien de bien grave si tu es sûr de ton SSH, mais il n'y a pas grand chose que tu puisses faire pour tes logs, sauf à bloquer les adresses IP fournis par la seconde URI pour limiter un peu les domage en attendant.
EPiKoiEncore n'était pas loin de dire :
Voici un petit bout des logs (il y en a beaucoup plus!) :
[snip]
Une recherche rapide permet d'aboutir entre autre à ça :
<http://datanethost.net/logs/dos.txt>
<http://charles.the-haleys.org/ssh_dico_attack_hdeny_format.php/hostsdeny.txt>
Et il y en a d'autres, donc tu es pour l'instant la cible d'un gus qui
cherche à étendre son botnet, et il y a fort à parier que c'est à partir
du botnet lui-même qu'il le fait. Rien de bien grave si tu es sûr de
ton SSH, mais il n'y a pas grand chose que tu puisses faire pour tes
logs, sauf à bloquer les adresses IP fournis par la seconde URI pour
limiter un peu les domage en attendant.
Voici un petit bout des logs (il y en a beaucoup plus!) :
[snip]
Une recherche rapide permet d'aboutir entre autre à ça : <http://datanethost.net/logs/dos.txt> <http://charles.the-haleys.org/ssh_dico_attack_hdeny_format.php/hostsdeny.txt>
Et il y en a d'autres, donc tu es pour l'instant la cible d'un gus qui cherche à étendre son botnet, et il y a fort à parier que c'est à partir du botnet lui-même qu'il le fait. Rien de bien grave si tu es sûr de ton SSH, mais il n'y a pas grand chose que tu puisses faire pour tes logs, sauf à bloquer les adresses IP fournis par la seconde URI pour limiter un peu les domage en attendant.
Mateusz Viste
On Wednesday 09 December 2009 14:27, Stephane Catteau wrote:
C'est tout sauf une solution à la problématique posée ici. Le monsieur ne dit pas "au secours on veut casser mon SSH", mais "y a un con qui me gonfle". De même qu'il ne parle pas d'une attaque dictionnaire sur le mot de passe, mais sur le nom du compte utilisateur.
Bah justement - le con, il aura vite fait d'arrêter lorsqu'il s'apercevra qu'il est incapable de tester ne serait-ce qu'un seul couple login/mot de passe. :)
Cordialement, Mateusz Viste
On Wednesday 09 December 2009 14:27, Stephane Catteau wrote:
C'est tout sauf une solution à la problématique posée ici. Le monsieur
ne dit pas "au secours on veut casser mon SSH", mais "y a un con qui me
gonfle". De même qu'il ne parle pas d'une attaque dictionnaire sur le
mot de passe, mais sur le nom du compte utilisateur.
Bah justement - le con, il aura vite fait d'arrêter lorsqu'il s'apercevra
qu'il est incapable de tester ne serait-ce qu'un seul couple login/mot de
passe. :)
On Wednesday 09 December 2009 14:27, Stephane Catteau wrote:
C'est tout sauf une solution à la problématique posée ici. Le monsieur ne dit pas "au secours on veut casser mon SSH", mais "y a un con qui me gonfle". De même qu'il ne parle pas d'une attaque dictionnaire sur le mot de passe, mais sur le nom du compte utilisateur.
Bah justement - le con, il aura vite fait d'arrêter lorsqu'il s'apercevra qu'il est incapable de tester ne serait-ce qu'un seul couple login/mot de passe. :)
Cordialement, Mateusz Viste
Eric Masson
"EPiKoiEncore" writes:
'Lut,
Mais comment faites-vous pour vous connecter de n'importe où sur une machine.?
Toujours en ssh mais en désactivant tout accès autre que celui par clés.
-- NC> Ben quoi ? C'est déshonorant le GCU ? (Si oui, là, je prendrais des risques inconsidérés...) Pas ce que j'ai dit Mais passer du GCU au GNU.... -+- HP in: <http://www.le-gnu.net> - Grandeur et décadence -+-
Mais comment faites-vous pour vous connecter de n'importe où sur une
machine.?
Toujours en ssh mais en désactivant tout accès autre que celui par clés.
--
NC> Ben quoi ? C'est déshonorant le GCU ? (Si oui, là, je prendrais
des risques inconsidérés...)
Pas ce que j'ai dit Mais passer du GCU au GNU....
-+- HP in: <http://www.le-gnu.net> - Grandeur et décadence -+-
Mais comment faites-vous pour vous connecter de n'importe où sur une machine.?
Toujours en ssh mais en désactivant tout accès autre que celui par clés.
-- NC> Ben quoi ? C'est déshonorant le GCU ? (Si oui, là, je prendrais des risques inconsidérés...) Pas ce que j'ai dit Mais passer du GCU au GNU.... -+- HP in: <http://www.le-gnu.net> - Grandeur et décadence -+-
Mateusz Viste
On Wednesday 09 December 2009 14:30, EPiKoiEncore wrote:
Mais comment faites-vous pour vous connecter de n'importe o
On Wednesday 09 December 2009 14:30, EPiKoiEncore wrote:
Mais comment faites-vous pour vous connecter de n'importe o
