[HS] Attaque dictionnaire distribuée sur serveur ssh.

Thierry Chatelet

29/11/2008 à 05:40

On Saturday 29 November 2008 05:22:55 Charles Plessy wrote:

Bonjour tout le monde,

ça fait quelques jours qu'on est en train de tester un dictionnaire sur mon
serveur ssh, mais avec une adresse IP différente par mot. C'est très
énervant car j'utilise logcheck, qui m'envoie des tonnes de notificatio ns
du genre suivant :

Nov 29 12:12:14 kunpuu sshd[13789]: pam_unix(sshd:auth): authentication
failure; logname= uid=0 euid=0 tty=ssh ruser= rhostu.24.138 .85 Nov 29
12:12:17 kunpuu sshd[13787]: error: PAM: User not known to the underlying
authentication module for illegal user earl from 75.24.138.85 Nov 29
12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): check pass; user unknown
Nov 29 12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): authentication
failure; logname= uid=0 euid=0 tty=ssh ruser= rhost!8.108.2 38.140 Nov 29
12:14:28 kunpuu sshd[13790]: error: PAM: User not known to the underlying
authentication module for illegal user earlene from 218.108.238.140

Quelqu'un connaît-t-il une bonne méthode pour se débarasser de ces
tentatives de connextion (hormis le déplacement du port 22 à une autre
adresse ?) Par exemple, existe-t-il des listes noires ?

Amicalement,

--
Charles Plessy
Tsurumi, Kanagawa, Japan

openssh-blacklist

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Charles Plessy

29/11/2008 à 06:10

Le Sat, Nov 29, 2008 at 05:32:31AM +0100, Thierry Chatelet a écrit :

openssh-blacklist

Ce paquet contient la liste noire des clés OpenSSH très vulnérables – voir
http://www.debian.org/security/key-rollover/ – qui ont été accidentellement
générées par des systèmes Debian défectueux. Il permet aux administrateurs:

- De refuser les connections avec ces clés, car il n'est pas possible de
certifier que c'est bien leur propriétaire légitime qui les utilise.

- De vérifier que les utilisateurs de leur machine ne sont pas en possession
de telles clés.

Par contre ce paquet – maintenant installé par défaut sur tous les systèmes
Debian – n'empêche pas les connections en fonction de leur adresse IP, ni ne
détecte les attaques à grands coups de dictionnaires d'identifiants et de mots
de passe.

Bonne journée,

--
Charles Plessy
Tsurumi, Kanagawa, Japan

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Francois Mescam

29/11/2008 à 08:10

Charles Plessy wrote:

Bonjour tout le monde,

Bonjour,

Quelqu'un connaît-t-il une bonne méthode pour se débarasser de ces tentatives
de connextion (hormis le déplacement du port 22 à une autre adresse ?) Par
exemple, existe-t-il des listes noires ?

Je connais deux outils pour limiter les tentatives :

- fail2ban : qui bloque pour une certaine durée une adresse IP suite à 5
(c'est paramétrable) tentatives infructueuses dans un temps maxi donné

- knockd : qui permet d'ouvrir un port pour une IP donnée suite à une
séquence prédéterminée de tentatives sur différents ports

Amicalement,

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Charles Plessy

29/11/2008 à 08:30

Le Sat, Nov 29, 2008 at 08:08:19AM +0100, Francois Mescam a écrit :

Je connais deux outils pour limiter les tentatives :

- fail2ban : qui bloque pour une certaine durée une adresse IP suite à 5
(c'est paramétrable) tentatives infructueuses dans un temps maxi donné

- knockd : qui permet d'ouvrir un port pour une IP donnée suite à une
séquence prédéterminée de tentatives sur différents ports

Bonjour François,

fail2ban ne fonctionnera pas puisque chaque IP n'est utilisée qu'une fois. Je
pense que l'attaque est piloté depuis un de ces réseaux de zombies
(« botnets »), où un maître, qui est certainement la machine parcourant le
dictionnaire, coordonne une nuée de machines-esclaves.

Je pense qu'au final je vais soit bouger le port soit utiliser knockd.

Merci pour la suggestion,

--
Charles

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

François Boisson

29/11/2008 à 08:30

Le Sat, 29 Nov 2008 13:22:55 +0900
Charles Plessy a écrit:

Bonjour tout le monde,

ça fait quelques jours qu'on est en train de tester un dictionnaire sur mon
serveur ssh, mais avec une adresse IP différente par mot. C'est très énervant
car j'utilise logcheck, qui m'envoie des tonnes de notifications du genre
suivant :

Nov 29 12:12:14 kunpuu sshd[13789]: pam_unix(sshd:auth): authentication
failure; logname= uid=0 euid=0 tty=ssh ruser= rhostu.24.138.85 Nov 29
12:12:17 kunpuu sshd[13787]: error: PAM: User not known to the underlying
authentication module for illegal user earl from 75.24.138.85 Nov 29
12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): check pass; user unknown
Nov 29 12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): authentication
failure; logname= uid=0 euid=0 tty=ssh ruser= rhost!8.108.238.140 Nov 29
12:14:28 kunpuu sshd[13790]: error: PAM: User not known to the underlying
authentication module for illegal user earlene from 218.108.238.140

Quelqu'un connaît-t-il une bonne méthode pour se débarasser de ces tentatives
de connextion (hormis le déplacement du port 22 à une autre adresse ?) Par
exemple, existe-t-il des listes noires ?

Sans vouloir te décourager, ça dure chez moi depuis le 23 Novembre, ça a
commencé avec des logins commençant par «aadi», là j'en suis à «edwina», le
tout avec un rythme pas extraordinaire mais régulier et des logs qui explosent
donc.

Les machines tournent, en vrac, des IPS concernées

121.138.216.194
189.43.21.244
189-47-199-6.dsl.telesp.net.br
200141223099.user.veloxzone.com.br
200.248.82.130
200.29.137.117
200.93.147.114
201.161.28.9
203.70.179.113
211.154.254.120
211.35.142.37
213.136.105.130
218.108.238.140
220.199.6.2
61.172.200.198
61.47.31.130
65.203.231.41
81-208-90-63.ip.fastwebnet.it
88-199-28-3.tktelekom.pl
89-96-172-100.ip13.fastwebnet.it
91-64-130-61-dynip.superkabel.de
adsl-75-24-138-85.dsl.chcgil.sbcglobal.net
bno-84-242-66-10.karneval.cz
c90678d3.static.spo.virtua.com.br
dum11.internetdsl.tpnet.pl
host226-252-static.39-85-b.business.telecomitalia.it
host81-149-101-27.in-addr.btopenworld.com
robert71.lnk.telstra.net
static-adsl200-75-83-104.epm.net.co

mais aussi

10.230.102-84.rev.gaoland.net
115.41.148.16
116.39.30.124
120.red-80-59-254.staticip.rima-tde.net
121.138.216.194
121.33.199.37
121.33.199.39
121.33.199.40
130.red-80-37-213.staticip.rima-tde.net
154.red-80-35-196.staticip.rima-tde.net
161.red-217-126-90.staticip.rima-tde.net
169.red-80-32-193.staticip.rima-tde.net
170.56.255.20
179.26-246-81.adsl-static.isp.belgacom.be
188-120-207-85.vychcechy.adsl-llu.static.bluetone.cz
189.16.248.251
189.17.23.210
189.43.21.244
189-47-199-6.dsl.telesp.net.br
189-54-102-228-nd.cpe.vivax.com.br
190.144.61.58
190.34.148.178
190.34.164.139
193.224.93.3
193.41.235.225
193.86.111.6
194.224.118.61
....

Bref un robot sur des milliers de machines qui scannent des milliers de
machines en même temps. Qu'ils fassent joujou, le seul souci est que je
m'habitue chaque matin à avoir dans le rapport des tas de bazars et je risque
de passer à coté d'autre chose.

François Boisson

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Le Sat, 29 Nov 2008 13:22:55 +0900
Charles Plessy <plessy@debian.org> a écrit:

Bonjour tout le monde,

ça fait quelques jours qu'on est en train de tester un dictionnaire sur mon
serveur ssh, mais avec une adresse IP différente par mot. C'est très énervant
car j'utilise logcheck, qui m'envoie des tonnes de notifications du genre
suivant :

Nov 29 12:12:14 kunpuu sshd[13789]: pam_unix(sshd:auth): authentication
failure; logname= uid=0 euid=0 tty=ssh ruser= rhostu.24.138.85 Nov 29
12:12:17 kunpuu sshd[13787]: error: PAM: User not known to the underlying
authentication module for illegal user earl from 75.24.138.85 Nov 29
12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): check pass; user unknown
Nov 29 12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): authentication
failure; logname= uid=0 euid=0 tty=ssh ruser= rhost!8.108.238.140 Nov 29
12:14:28 kunpuu sshd[13790]: error: PAM: User not known to the underlying
authentication module for illegal user earlene from 218.108.238.140

Quelqu'un connaît-t-il une bonne méthode pour se débarasser de ces tentatives
de connextion (hormis le déplacement du port 22 à une autre adresse ?) Par
exemple, existe-t-il des listes noires ?

Sans vouloir te décourager, ça dure chez moi depuis le 23 Novembre, ça a
commencé avec des logins commençant par «aadi», là j'en suis à «edwina», le
tout avec un rythme pas extraordinaire mais régulier et des logs qui explosent
donc.

Les machines tournent, en vrac, des IPS concernées

121.138.216.194
189.43.21.244
189-47-199-6.dsl.telesp.net.br
200141223099.user.veloxzone.com.br
200.248.82.130
200.29.137.117
200.93.147.114
201.161.28.9
203.70.179.113
211.154.254.120
211.35.142.37
213.136.105.130
218.108.238.140
220.199.6.2
61.172.200.198
61.47.31.130
65.203.231.41
81-208-90-63.ip.fastwebnet.it
88-199-28-3.tktelekom.pl
89-96-172-100.ip13.fastwebnet.it
91-64-130-61-dynip.superkabel.de
adsl-75-24-138-85.dsl.chcgil.sbcglobal.net
bno-84-242-66-10.karneval.cz
c90678d3.static.spo.virtua.com.br
dum11.internetdsl.tpnet.pl
host226-252-static.39-85-b.business.telecomitalia.it
host81-149-101-27.in-addr.btopenworld.com
robert71.lnk.telstra.net
static-adsl200-75-83-104.epm.net.co

mais aussi

10.230.102-84.rev.gaoland.net
115.41.148.16
116.39.30.124
120.red-80-59-254.staticip.rima-tde.net
121.138.216.194
121.33.199.37
121.33.199.39
121.33.199.40
130.red-80-37-213.staticip.rima-tde.net
154.red-80-35-196.staticip.rima-tde.net
161.red-217-126-90.staticip.rima-tde.net
169.red-80-32-193.staticip.rima-tde.net
170.56.255.20
179.26-246-81.adsl-static.isp.belgacom.be
188-120-207-85.vychcechy.adsl-llu.static.bluetone.cz
189.16.248.251
189.17.23.210
189.43.21.244
189-47-199-6.dsl.telesp.net.br
189-54-102-228-nd.cpe.vivax.com.br
190.144.61.58
190.34.148.178
190.34.164.139
193.224.93.3
193.41.235.225
193.86.111.6
194.224.118.61
....

Bref un robot sur des milliers de machines qui scannent des milliers de
machines en même temps. Qu'ils fassent joujou, le seul souci est que je
m'habitue chaque matin à avoir dans le rapport des tas de bazars et je risque
de passer à coté d'autre chose.

François Boisson

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Vous avez filtré cet utilisateur ! Consultez son message

Le Sat, 29 Nov 2008 13:22:55 +0900
Charles Plessy a écrit:

Bonjour tout le monde,

ça fait quelques jours qu'on est en train de tester un dictionnaire sur mon
serveur ssh, mais avec une adresse IP différente par mot. C'est très énervant
car j'utilise logcheck, qui m'envoie des tonnes de notifications du genre
suivant :

Nov 29 12:12:14 kunpuu sshd[13789]: pam_unix(sshd:auth): authentication
failure; logname= uid=0 euid=0 tty=ssh ruser= rhostu.24.138.85 Nov 29
12:12:17 kunpuu sshd[13787]: error: PAM: User not known to the underlying
authentication module for illegal user earl from 75.24.138.85 Nov 29
12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): check pass; user unknown
Nov 29 12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): authentication
failure; logname= uid=0 euid=0 tty=ssh ruser= rhost!8.108.238.140 Nov 29
12:14:28 kunpuu sshd[13790]: error: PAM: User not known to the underlying
authentication module for illegal user earlene from 218.108.238.140

Quelqu'un connaît-t-il une bonne méthode pour se débarasser de ces tentatives
de connextion (hormis le déplacement du port 22 à une autre adresse ?) Par
exemple, existe-t-il des listes noires ?

Sans vouloir te décourager, ça dure chez moi depuis le 23 Novembre, ça a
commencé avec des logins commençant par «aadi», là j'en suis à «edwina», le
tout avec un rythme pas extraordinaire mais régulier et des logs qui explosent
donc.

Les machines tournent, en vrac, des IPS concernées

121.138.216.194
189.43.21.244
189-47-199-6.dsl.telesp.net.br
200141223099.user.veloxzone.com.br
200.248.82.130
200.29.137.117
200.93.147.114
201.161.28.9
203.70.179.113
211.154.254.120
211.35.142.37
213.136.105.130
218.108.238.140
220.199.6.2
61.172.200.198
61.47.31.130
65.203.231.41
81-208-90-63.ip.fastwebnet.it
88-199-28-3.tktelekom.pl
89-96-172-100.ip13.fastwebnet.it
91-64-130-61-dynip.superkabel.de
adsl-75-24-138-85.dsl.chcgil.sbcglobal.net
bno-84-242-66-10.karneval.cz
c90678d3.static.spo.virtua.com.br
dum11.internetdsl.tpnet.pl
host226-252-static.39-85-b.business.telecomitalia.it
host81-149-101-27.in-addr.btopenworld.com
robert71.lnk.telstra.net
static-adsl200-75-83-104.epm.net.co

mais aussi

10.230.102-84.rev.gaoland.net
115.41.148.16
116.39.30.124
120.red-80-59-254.staticip.rima-tde.net
121.138.216.194
121.33.199.37
121.33.199.39
121.33.199.40
130.red-80-37-213.staticip.rima-tde.net
154.red-80-35-196.staticip.rima-tde.net
161.red-217-126-90.staticip.rima-tde.net
169.red-80-32-193.staticip.rima-tde.net
170.56.255.20
179.26-246-81.adsl-static.isp.belgacom.be
188-120-207-85.vychcechy.adsl-llu.static.bluetone.cz
189.16.248.251
189.17.23.210
189.43.21.244
189-47-199-6.dsl.telesp.net.br
189-54-102-228-nd.cpe.vivax.com.br
190.144.61.58
190.34.148.178
190.34.164.139
193.224.93.3
193.41.235.225
193.86.111.6
194.224.118.61
....

Bref un robot sur des milliers de machines qui scannent des milliers de
machines en même temps. Qu'ils fassent joujou, le seul souci est que je
m'habitue chaque matin à avoir dans le rapport des tas de bazars et je risque
de passer à coté d'autre chose.

François Boisson

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Charles Plessy

29/11/2008 à 08:40

Le Sat, Nov 29, 2008 at 08:27:01AM +0100, François Boisson a écrit :

Sans vouloir te décourager, ça dure chez moi depuis le 23 Novembre, ça a
commencé avec des logins commençant par «aadi», là j'en suis à «edwina».

Oh, nous avons affaire aux mêmes alors : j'en suis en ce moment à « edythe » :)

le seul souci est que je m'habitue chaque matin à avoir dans le rapport des
tas de bazars et je risque de passer à coté d'autre chose.

Exactement !

Bonne journée,

--
Charles Plessy
Tsurumi, Kanagawa, Japan

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

mouss

29/11/2008 à 09:40

Charles Plessy a écrit :

Bonjour tout le monde,

ça fait quelques jours qu'on est en train de tester un dictionnaire sur mon
serveur ssh, mais avec une adresse IP différente par mot. C'est très énervant
car j'utilise logcheck, qui m'envoie des tonnes de notifications du genre
suivant :

Nov 29 12:12:14 kunpuu sshd[13789]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhostu.24.138.85
Nov 29 12:12:17 kunpuu sshd[13787]: error: PAM: User not known to the underlying authentication module for illegal user earl from 75.24.138.85
Nov 29 12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): check pass; user unknown
Nov 29 12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost!8.108.238.140
Nov 29 12:14:28 kunpuu sshd[13790]: error: PAM: User not known to the underlying authentication module for illegal user earlene from 218.108.238.140

Quelqu'un connaît-t-il une bonne méthode pour se débarasser de ces tentatives
de connextion (hormis le déplacement du port 22 à une autre adresse ?) Par
exemple, existe-t-il des listes noires ?

Amicalement,

Personellement, j'utilise deux ports:
- le port 22 est "privé": bloqué sauf pour des IPs spécifiques
- un port "publique": ouvert à toutes les IPs (ou presque)

Pour cela, il suffit de rajouter une deuxième ligne "Port ..." dans la
conf d'openssh, et de faire des règles iptables (ou pf sur un BSD).

Un attaquant acharné pourra certainement trouver le port "publique",
mais si on se débarasse des automates triviaux, c'est déjà ça.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Charles Plessy

29/11/2008 à 10:00

Ça y est, j'ai trouvé ce que je cherchais:

http://packages.debian.org/lenny/denyhosts
http://denyhosts.sourceforge.net/

C'est une liste noire qui semble tout à fait indiquée. On voit d'ailleurs le
pic d'attaque ayant commencé la semaine dernière sur leur page de
statistiques :

http://stats.denyhosts.net/stats.html

Amicalement,

--
Charles Plessy
Tsurumi, Kanagawa, Japan

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

xorox

29/11/2008 à 11:20

------=_Part_42587_12617251.1227953734225
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Si vous êtes peux a utilisez SSH sur cette machine, le port-knocking me
semble le plus fiable.****
--

ID: 0x393F4A08
Fingerprint: 9170 4DD5 31D5 4C01 1EF2 9852 0DB1 A9E5 393F 4A08

------=_Part_42587_12617251.1227953734225
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

 Si vous êtes peux a utilisez SSH sur cette machine, le port-knocking me semble le plus fiable. -- <a href="mailto:xor "></a> ID: 0x393F4A08 Fingerprint: 9170 4DD5 31D5 4C01 1EF2  9852 0DB1 A9E5 393F 4A08 

------=_Part_42587_12617251.1227953734225--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Pascal Hambourg

29/11/2008 à 11:50

Salut,

François Boisson a écrit :

Charles Plessy a écrit:

ça fait quelques jours qu'on est en train de tester un dictionnaire sur mon
serveur ssh, mais avec une adresse IP différente par mot.

[...]

Sans vouloir te décourager, ça dure chez moi depuis le 23 Novembre,

[...]

Les machines tournent, en vrac, des IPS concernées

121.138.216.194
189.43.21.244
189-47-199-6.dsl.telesp.net.br
200141223099.user.veloxzone.com.br
200.248.82.130

[...]
Je vois qu'on a les mêmes (et pour une fois ce ne sont pas des machines
sous Windows, d'après la bannière du service SSH qui tourne dessus il y
a pas mal de Debian). Mais en ce qui me concerne ça fait des années que
ça dure, et ce n'est pas une unique tentative par addresse source mais
des séries entières.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

[HS] Attaque dictionnaire distribuée sur serveur ssh.

10 réponses

Veuillez sélectionner un problème