Blacklistage d'ip par ssh ?

Le
BOURGEOIS Christophe
--0-1548463358-1181055671=:77771
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour, J'ai un serveur qui a été 'victime' d'une attaque par ssh=
. Pendant plusieurs heures il y a eu des tentatives de connexion avec des c=
omptes qui n'existent pas. Est-ce qu'il y a un paramétrage du serveur ssh=
pour blacklister automatiquement une adresse ip après un certain nombre =
de tentatives de connexion infructueuses ? Christophe. =
_____________________________________________________________________=
________ Ne gardez plus qu'une seule adresse mail ! Copiez vos mails ver=
s Yahoo! Mail
--0-1548463358-1181055671=:77771
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

<html><head><style type="text/css"><!-- DIV {margin:0px;} --></style></he=
ad><body><div style="font-family:times new roman, new york, times, serif;=
font-size:12pt"><div>Bonjour,<br><br>J'ai un serveur qui a été 'victime=
' d'une attaque par ssh. Pendant plusieurs heures il y a eu des tentatives =
de connexion avec des comptes qui n'existent pas. Est-ce qu'il y a un param=
étrage du serveur ssh pour blacklister automatiquement une adresse ip apr=
ès un certain nombre de tentatives de connexion infructueuses ? <br><br>C=
hristophe.<br></div></div><br> <hr size="1"> =
Ne gardez plus qu'une seule adresse mail ! <a href="http://www.trueswi=
tch.com/yahoo-fr/">Copiez vos mails</a> vers Yahoo! Mail </body></html>
--0-1548463358-1181055671=:77771--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Damien Ulrich
Le #9571271
--nextPart3511985.JneshsnKZX
Content-Type: text/plain;
charset="utf-8"
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Le mardi 5 juin 2007 17:01, BOURGEOIS Christophe a écrit :
Bonjour,


Bonjour,

J'ai un serveur qui a été 'victime' d'une attaque par ssh. Pend ant
plusieurs heures il y a eu des tentatives de connexion avec des comptes q ui
n'existent pas. Est-ce qu'il y a un paramétrage du serveur ssh pour
blacklister automatiquement une adresse ip après un certain nombre de
tentatives de connexion infructueuses ?


fail2ban est idéal, il me semble

Christophe.


Dams





_________________________________________________________________________ __
__ Ne gardez plus qu'une seule adresse mail ! Copiez vos mails vers Yahoo!
Mail


Quelle nouveauté !? :)

--

--nextPart3511985.JneshsnKZX
Content-Type: application/pgp-signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQBGZYMsEbCUT092E/8RAilEAJ0U1XvufT7TemmiyITTl6Zm7JGNdwCfQLOy
mN2ye1PEUWRWGvYpJXVl558 =jimX
-----END PGP SIGNATURE-----

--nextPart3511985.JneshsnKZX--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Jean-Yves F. Barbier
Le #9571251
BOURGEOIS Christophe wrote:
Bonjour,

J'ai un serveur qui a été 'victime' d'une attaque par ssh. Pendant
plusieurs heures il y a eu des tentatives de connexion avec des comptes
qui n'existent pas. Est-ce qu'il y a un paramétrage du serveur ssh po ur
blacklister automatiquement une adresse ip après un certain nombre de
tentatives de connexion infructueuses ?

Christophe.



ça existe (me rappelle plus le package), mais ça ne sert pas à gran d
chose à cause des adresses IP dynamiques.

j'installerais plutôt knockd, qui ouvre le port de ton choix suite
à un envoi de packets particuliers sur des ports particuliers, le
tout dans un ordre particulier : c'est plus professionnel :-)
--
Obviously the only rational solution to your problem is suicide.
François Boisson
Le #9571261
Le Tue, 5 Jun 2007 15:01:11 +0000 (GMT)
BOURGEOIS Christophe
Bonjour,

J'ai un serveur qui a été 'victime' d'une attaque par ssh. Pendant plusieurs
heures il y a eu des tentatives de connexion avec des comptes qui n'existent
pas. Est-ce qu'il y a un paramétrage du serveur ssh pour blacklister
automatiquement une adresse ip après un certain nombre de tentatives de
connexion infructueuses ?

Christophe.



J'utilise avec succès ipt_recent pour ssh et ftp
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j DROP

iptables -A INPUT -p tcp --dport 21 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 21 -m state --state NEW -m recent --update --seconds 90 --hitcount 10 -j DROP

Très efficace.

François Boisson



François Boisson


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Daniel Caillibaud
Le #9571221
BOURGEOIS Christophe wrote:
Bonjour,

J'ai un serveur qui a été 'victime' d'une attaque par ssh. Pendant
plusieurs heures il y a eu des tentatives de connexion avec des comptes
qui n'existent pas.



Et où est le pb ?

Est-ce qu'il y a un paramétrage du serveur ssh pour
blacklister automatiquement une adresse ip après un certain nombre de
tentatives de connexion infructueuses ?



La meilleure des sécurité est d'avoir des mot de passe "solide", voir de n'accepter que les clés (sauf pour un user "de secours" quand même), et de ne
pas le laisser trainer sur un post-it.

Ensuite, les tentatives de connexions, j'en ai aussi des milliers mais ça ne me chagrine pas plus que ça, c'est pas ça qui charge le serveur...

--
Daniel

R: Parce que ça renverse bêtement l'ordre naturel de lecture!
Q: Mais pourquoi citer en fin de message est-il si effroyable?
R: Répondre au dessus de la citation
Q: Quelle est la chose la plus désagréable dans un message ?


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Franck Joncourt
Le #9571171
--eqp4TxRxnD4KrmFZ
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

On Tue, Jun 05, 2007 at 05:32:39PM +0200, François Boisson wrote:
Le Tue, 5 Jun 2007 15:01:11 +0000 (GMT)



[...]

J'utilise avec succès ipt_recent pour ssh et ftp
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m rece nt --set
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recen t --update --seconds 90 --hitcount 3 -j DROP

iptables -A INPUT -p tcp --dport 21 -m state --state NEW -m rece nt --set
iptables -I INPUT -p tcp --dport 21 -m state --state NEW -m recen t --update --seconds 90 --hitcount 10 -j DROP

Très efficace.



En considerant que tu as trois tentatives pour chaque nouvelle
connexion, pour le FTP on obtient :

9 * 3 = 27 tentatives en 1 min 30.

9 utilisateurs differents peuvent se connecter dans un laps de 1 min 30,
mais un seul petit malin peu tenter 27 mots de passe dans ce meme laps
de temps.

Les limites dependent de chacun :p

--
Franck Joncourt
http://www.debian.org - http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE

--eqp4TxRxnD4KrmFZ
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQFGZaV9xJBTTnXAif4RAoDOAKCNbQrXOG9tE/nLemtk2p59Qq4qWwCgm5qz
5Gbh+tZccvoMdy+4WTTilVo =jkNC
-----END PGP SIGNATURE-----

--eqp4TxRxnD4KrmFZ--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Franck Joncourt
Le #9571161
--N1GIdlSm9i+YlY4t
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

On Tue, Jun 05, 2007 at 05:35:16PM +0200, Jean-Yves F. Barbier wrote:
BOURGEOIS Christophe wrote:
>Bonjour,
>
>J'ai un serveur qui a été 'victime' d'une attaque par ssh. Pen dant
>plusieurs heures il y a eu des tentatives de connexion avec des comptes
>qui n'existent pas. Est-ce qu'il y a un paramétrage du serveur ssh pour
>blacklister automatiquement une adresse ip après un certain nombre de
>tentatives de connexion infructueuses ?
>
>Christophe.

ça existe (me rappelle plus le package), mais ça ne sert pas à grand
chose à cause des adresses IP dynamiques.

j'installerais plutôt knockd, qui ouvre le port de ton choix suite
à un envoi de packets particuliers sur des ports particuliers, le
tout dans un ordre particulier : c'est plus professionnel :-)



Tu peux aussi choisir les flags et le protocole a utiliser.

Arriver la, c'est deja pas mal en matiere de securite.

Et si tu veux t'amuser un peu, tu peux aussi regarder du cote du module
recent avec iptables pour creer ton propre "knockd".

--
Franck Joncourt
http://www.debian.org - http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE

--N1GIdlSm9i+YlY4t
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQFGZaaOxJBTTnXAif4RAqvcAKCTsEYcCTjLBcCQE27TaF+TI5osVgCfRPdm
0QRw3/MyUphrJkpXn2t/87Q =AnOw
-----END PGP SIGNATURE-----

--N1GIdlSm9i+YlY4t--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
François Boisson
Le #9571141
Le Tue, 5 Jun 2007 20:03:41 +0200
Franck Joncourt
9 utilisateurs differents peuvent se connecter dans un laps de 1 min 30,
mais un seul petit malin peu tenter 27 mots de passe dans ce meme laps
de temps.

Les limites dependent de chacun :p




Mon record est un gugus, dont l'IP est 201.243.110.27, qui a essayé sans
discontinuer à raison d'un essai toutes les 5 secondes en moyenne du 13
Février 04:51:03 au 16 Février à 06:43:45 des mots de passe sur mon serveur
pour un total de 28638 essais.... Depuis, je n'ai plus de tentatives qui
s'éternise au delà de quelques minutes, c'est ce que je voulais.

En fait j'ai du mettre ce seuil assez haut pour le ftp à cause des sessions
d'apt-get qui ouvrent beaucoup de connexions en peu de temps...

François Boisson


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Franck Joncourt
Le #9571111
--QWpDgw58+k1mSFBj
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

On Tue, Jun 05, 2007 at 08:23:00PM +0200, François Boisson wrote:
Le Tue, 5 Jun 2007 20:03:41 +0200
Franck Joncourt
> 9 utilisateurs differents peuvent se connecter dans un laps de 1 min 30,
> mais un seul petit malin peu tenter 27 mots de passe dans ce meme laps
> de temps.
>
> Les limites dependent de chacun :p


Mon record est un gugus, dont l'IP est 201.243.110.27, qui a essayé sans
discontinuer à raison d'un essai toutes les 5 secondes en moyenne du 13
Février 04:51:03 au 16 Février à 06:43:45 des mots de pass e sur mon serveur
pour un total de 28638 essais.... Depuis, je n'ai plus de tentatives qui
s'éternise au delà de quelques minutes, c'est ce que je voulais.



Ca m'a l'air pas mal du tout dis donc. Il a fait dans la discretion :p!

En fait j'ai du mettre ce seuil assez haut pour le ftp à cause des s essions
d'apt-get qui ouvrent beaucoup de connexions en peu de temps...



C'est ce que je disais, cela depend de ce que l'on fait avec son
serveur. Je n'ai que mon serveur perso et pas l'utilite d'autoriser de
nombreuses connexions donc je verrouille la bete.

Mon firewall ne loggue rien, ce sont les services sollicites qui le
font et l'IDS qui me previent par mail des tentatives d'intrusions.

--
Franck Joncourt
http://www.debian.org - http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE

--QWpDgw58+k1mSFBj
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQFGZa41xJBTTnXAif4RApMOAJ9uQoQQtUZpUF9iGZ4MLPrUUpHTSACghtJu
29Gpi6MMVy5JQPnWFolQGDI =MbQ/
-----END PGP SIGNATURE-----

--QWpDgw58+k1mSFBj--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Benjamin RIOU
Le #9571061
Le Tue, 05 Jun 2007 18:02:19 +0200,
Daniel Caillibaud
c'est pas ça qui charge le serveur...


ué mais après les logs de lastb sont pas jolis :-)

++
Ben

--
Grace à ses technologies pointues, nous pouvons dire que notre syst ème
ne plantera jamais. Il est parfaitement stable et ne craint plus non
plus les virus informatiques.
-- Jayce - Mes chaussures me serrent un peu --
De Leeuw Guy
Le #9571051
vous faites fort !

moi j'ai changer de port ssh et depuis je dors mais je dors ........ :-))))
Guy

Franck Joncourt a écrit :
On Tue, Jun 05, 2007 at 05:35:16PM +0200, Jean-Yves F. Barbier wrote:

BOURGEOIS Christophe wrote:

Bonjour,

J'ai un serveur qui a été 'victime' d'une attaque par ssh. Pendant
plusieurs heures il y a eu des tentatives de connexion avec des comptes
qui n'existent pas. Est-ce qu'il y a un paramétrage du serveur ssh pour
blacklister automatiquement une adresse ip après un certain nombre de
tentatives de connexion infructueuses ?

Christophe.



ça existe (me rappelle plus le package), mais ça ne sert pas à grand
chose à cause des adresses IP dynamiques.

j'installerais plutôt knockd, qui ouvre le port de ton choix suite
à un envoi de packets particuliers sur des ports particuliers, le
tout dans un ordre particulier : c'est plus professionnel :-)




Tu peux aussi choisir les flags et le protocole a utiliser.

Arriver la, c'est deja pas mal en matiere de securite.

Et si tu veux t'amuser un peu, tu peux aussi regarder du cote du module
recent avec iptables pour creer ton propre "knockd".






--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme