J'ai une petite machine sous linux Suse 10.3 avec SuFirewall2
Je subis depuis plus de 24 heures des tentatives de connexion en ssh.
Visiblement l'attaquant se cache derrière des IP forgées.
Il y a un essai toutes les 2 à 3 minutes avec un login différent à chaque
fois mais dont le nom croît en ordre alphabétique.
Normalement je bannis pour une heure les IP qui ont plus de trois connexions
infructeuses mais dans ce cas, cela ne marche pas.
Y aurait-il un moyen de détecter l'IP réelle de l'attaquant ???
On Wed, 9 Dec 2009 12:30:08 +0100, "EPiKoiEncore" :
Je subis depuis plus de 24 heures des tentatives de connexion en ssh.
A priori, mes machines en subissent aussi. Rien de bien grave, tant que tu as des mots de passe sérieux.
Je n'ai connu qu'un seul cas où un serveur (pas encore en production, heureusement) est tombé[*] à cause de ça : un guignol avait créé un compte temporaire avec un mot de passe trop facile à deviner. L'identité du guignol en question ? Un employé de l'hébergeur. Grrr... (Il s'agissait d'un serveur "managed" (infogéré ?))
[*] Comprendre : un script-kiddie a réussi à se connecter, donc on considère que la machine est compromise, et il faut réinstaller le système à partir d'un backup antérieur.
On Wed, 9 Dec 2009 12:30:08 +0100, "EPiKoiEncore"
<a.ferriol.inutile@free.inutile.fr.com>:
Je subis depuis plus de 24 heures des tentatives de connexion en ssh.
A priori, mes machines en subissent aussi. Rien de bien grave, tant
que tu as des mots de passe sérieux.
Je n'ai connu qu'un seul cas où un serveur (pas encore en production,
heureusement) est tombé[*] à cause de ça : un guignol avait créé un
compte temporaire avec un mot de passe trop facile à deviner.
L'identité du guignol en question ? Un employé de l'hébergeur. Grrr...
(Il s'agissait d'un serveur "managed" (infogéré ?))
[*] Comprendre : un script-kiddie a réussi à se connecter, donc on
considère que la machine est compromise, et il faut réinstaller le
système à partir d'un backup antérieur.
On Wed, 9 Dec 2009 12:30:08 +0100, "EPiKoiEncore" :
Je subis depuis plus de 24 heures des tentatives de connexion en ssh.
A priori, mes machines en subissent aussi. Rien de bien grave, tant que tu as des mots de passe sérieux.
Je n'ai connu qu'un seul cas où un serveur (pas encore en production, heureusement) est tombé[*] à cause de ça : un guignol avait créé un compte temporaire avec un mot de passe trop facile à deviner. L'identité du guignol en question ? Un employé de l'hébergeur. Grrr... (Il s'agissait d'un serveur "managed" (infogéré ?))
[*] Comprendre : un script-kiddie a réussi à se connecter, donc on considère que la machine est compromise, et il faut réinstaller le système à partir d'un backup antérieur.
Fabien LE LEZ
On Wed, 09 Dec 2009 14:52:13 +0100, Mateusz Viste :
En revanche, une authentification par login/mot de passe, c'est MAL.
Pourquoi ?
par login/mot de passe (méthode simple, mais vulnérable aux attaques brute-force),
Combien de temps faut-il pour trouver un mot de passe de style Z9PQiQ7N ?
On Wed, 09 Dec 2009 14:52:13 +0100, Mateusz Viste :
En revanche, une authentification par login/mot de passe,
c'est MAL.
Pourquoi ?
par login/mot de passe
(méthode simple, mais vulnérable aux attaques brute-force),
Combien de temps faut-il pour trouver un mot de passe de style
Z9PQiQ7N ?
C'est à peu près les mots de passe que j'utilise. Mais pourquoi avoir diffusé mon mot de passe root ci-dessous ???? :-)
Je clos donc le sujet puisque le risque semble faible.
Merci encore pour vos conseils Cordialement Alain
"Fabien LE LEZ" a écrit dans le message de news:
On Wed, 09 Dec 2009 14:52:13 +0100, Mateusz Viste :
En revanche, une authentification par login/mot de passe, c'est MAL.
Pourquoi ?
par login/mot de passe (méthode simple, mais vulnérable aux attaques brute-force),
Combien de temps faut-il pour trouver un mot de passe de style Z9PQiQ7N ?
Stephane Catteau
Mateusz Viste n'était pas loin de dire :
Bah justement - le con, il aura vite fait d'arrêter lorsqu'il s'apercevra qu'il est incapable de tester ne serait-ce qu'un seul couple login/mot de passe. :)
Le con est un botnet qui agit visiblement sur ordre mais sans controle. Du coup il est parfaitement capable de dérouler l'ensemble de son dictionnaire même si ça ne sert strictement à rien.
Mateusz Viste n'était pas loin de dire :
Bah justement - le con, il aura vite fait d'arrêter lorsqu'il s'apercevra
qu'il est incapable de tester ne serait-ce qu'un seul couple login/mot de
passe. :)
Le con est un botnet qui agit visiblement sur ordre mais sans
controle. Du coup il est parfaitement capable de dérouler l'ensemble de
son dictionnaire même si ça ne sert strictement à rien.
Bah justement - le con, il aura vite fait d'arrêter lorsqu'il s'apercevra qu'il est incapable de tester ne serait-ce qu'un seul couple login/mot de passe. :)
Le con est un botnet qui agit visiblement sur ordre mais sans controle. Du coup il est parfaitement capable de dérouler l'ensemble de son dictionnaire même si ça ne sert strictement à rien.
Stephane Catteau
Mateusz Viste n'était pas loin de dire :
En revanche, une authentification par login/mot de passe, c'est MAL. :-)
Pas si c'est vers un compte utilisateur correctement configuré, à savoir sans possibilité d'escalade normale[1], limité à trois process, limité à une connexion et on peut aussi jouer sur la limitation processeur et mémoire pour eviter qu'il puisse servir à un DoS en interne. Avec ça il peut faire une connexion scp[2], mais même un man ferait beugler le système. Idéal pour un bot, pas plus dangeureux que ça (mais plus que pas d'accès du tout évidement) et tellement reposant pour l'admin qui regarde son petit monde bosser pour lui :D Il y a aussi la possibilité, pour les plus programmeurs, d'utiliser un shell dédié ce qui limiterait d'autant plus les possibilités d'action d'une personne qui arriverait à casser le mot de passe.
[1] Une "possibilité d'escalade normale" étant ici d'avoir le droit de faire un p'tit su vers un autre utilisateur ou, pire, root, et de pouvoir utiliser sudo. [2] Dommage qu'il ait besoin d'un shell.
Mateusz Viste n'était pas loin de dire :
En revanche, une authentification par login/mot de passe, c'est MAL. :-)
Pas si c'est vers un compte utilisateur correctement configuré, à
savoir sans possibilité d'escalade normale[1], limité à trois process,
limité à une connexion et on peut aussi jouer sur la limitation
processeur et mémoire pour eviter qu'il puisse servir à un DoS en
interne. Avec ça il peut faire une connexion scp[2], mais même un man
ferait beugler le système. Idéal pour un bot, pas plus dangeureux que
ça (mais plus que pas d'accès du tout évidement) et tellement reposant
pour l'admin qui regarde son petit monde bosser pour lui :D
Il y a aussi la possibilité, pour les plus programmeurs, d'utiliser un
shell dédié ce qui limiterait d'autant plus les possibilités d'action
d'une personne qui arriverait à casser le mot de passe.
[1]
Une "possibilité d'escalade normale" étant ici d'avoir le droit de
faire un p'tit su vers un autre utilisateur ou, pire, root, et de
pouvoir utiliser sudo.
[2]
Dommage qu'il ait besoin d'un shell.
En revanche, une authentification par login/mot de passe, c'est MAL. :-)
Pas si c'est vers un compte utilisateur correctement configuré, à savoir sans possibilité d'escalade normale[1], limité à trois process, limité à une connexion et on peut aussi jouer sur la limitation processeur et mémoire pour eviter qu'il puisse servir à un DoS en interne. Avec ça il peut faire une connexion scp[2], mais même un man ferait beugler le système. Idéal pour un bot, pas plus dangeureux que ça (mais plus que pas d'accès du tout évidement) et tellement reposant pour l'admin qui regarde son petit monde bosser pour lui :D Il y a aussi la possibilité, pour les plus programmeurs, d'utiliser un shell dédié ce qui limiterait d'autant plus les possibilités d'action d'une personne qui arriverait à casser le mot de passe.
[1] Une "possibilité d'escalade normale" étant ici d'avoir le droit de faire un p'tit su vers un autre utilisateur ou, pire, root, et de pouvoir utiliser sudo. [2] Dommage qu'il ait besoin d'un shell.
xavier
Fabien LE LEZ wrote:
Combien de temps faut-il pour trouver un mot de passe de style Z9PQiQ7N ?
Eh ! Comment connais-tu mon pw root ?
Bon, sérieusement, j'ai les mêmes attaques, et à part faire gonfler mes fichiers hosts.denyssh, ça m'en touche une sans remuer l'autre (c)
-- XAv Disponible au 01/06/2010 <http://www.xavierhumbert.net/perso/CV2.html>
Fabien LE LEZ <gramster@gramster.com> wrote:
Combien de temps faut-il pour trouver un mot de passe de style
Z9PQiQ7N ?
Eh ! Comment connais-tu mon pw root ?
Bon, sérieusement, j'ai les mêmes attaques, et à part faire gonfler mes
fichiers hosts.denyssh, ça m'en touche une sans remuer l'autre (c)
--
XAv
Disponible au 01/06/2010
<http://www.xavierhumbert.net/perso/CV2.html>
Combien de temps faut-il pour trouver un mot de passe de style Z9PQiQ7N ?
Eh ! Comment connais-tu mon pw root ?
Bon, sérieusement, j'ai les mêmes attaques, et à part faire gonfler mes fichiers hosts.denyssh, ça m'en touche une sans remuer l'autre (c)
-- XAv Disponible au 01/06/2010 <http://www.xavierhumbert.net/perso/CV2.html>
Fabien LE LEZ
On Wed, 9 Dec 2009 18:45:37 +0100, (Xavier):
et à part faire gonfler mes fichiers hosts.denyssh, ça m'en touche une sans remuer l'autre (c)
Ben justement, s'il s'agit du serveur SSH de l'ordinateur portable qui se trouve sur tes genoux, toutes ces attaques le font chauffer un peu plus, et donc chauffer un peu plus tes testicules. Remarque, c'est une méthode contraceptive comme une autre...
On Wed, 9 Dec 2009 18:45:37 +0100, xavier@groumpf.org (Xavier):
et à part faire gonfler mes
fichiers hosts.denyssh, ça m'en touche une sans remuer l'autre (c)
Ben justement, s'il s'agit du serveur SSH de l'ordinateur portable qui
se trouve sur tes genoux, toutes ces attaques le font chauffer un peu
plus, et donc chauffer un peu plus tes testicules. Remarque, c'est une
méthode contraceptive comme une autre...
et à part faire gonfler mes fichiers hosts.denyssh, ça m'en touche une sans remuer l'autre (c)
Ben justement, s'il s'agit du serveur SSH de l'ordinateur portable qui se trouve sur tes genoux, toutes ces attaques le font chauffer un peu plus, et donc chauffer un peu plus tes testicules. Remarque, c'est une méthode contraceptive comme une autre...
xavier
Fabien LE LEZ wrote:
Remarque, c'est une méthode contraceptive comme une autre...
:-D
-- XAv Disponible au 01/06/2010 <http://www.xavierhumbert.net/perso/CV2.html>
Fabien LE LEZ <gramster@gramster.com> wrote:
Remarque, c'est une méthode contraceptive comme une autre...
:-D
--
XAv
Disponible au 01/06/2010
<http://www.xavierhumbert.net/perso/CV2.html>
Remarque, c'est une méthode contraceptive comme une autre...
:-D
-- XAv Disponible au 01/06/2010 <http://www.xavierhumbert.net/perso/CV2.html>
Thierry
"Stephane Catteau" wrote in message news:
Le con est un botnet qui agit visiblement sur ordre mais sans controle. Du coup il est parfaitement capable de dérouler l'ensemble de son dictionnaire même si ça ne sert strictement à rien.
Avec un blacklistage d'1 heure pour chaque IP ayant 3 echecs, bon courage deja rien que pour trouver le username.
"Stephane Catteau" <steph.nospam@sc4x.net> wrote in message
news:mn.4bda7d9c9e7570bb.30736@sc4x.org...
Le con est un botnet qui agit visiblement sur ordre mais sans
controle. Du coup il est parfaitement capable de dérouler l'ensemble de
son dictionnaire même si ça ne sert strictement à rien.
Avec un blacklistage d'1 heure pour chaque IP ayant 3 echecs, bon courage
deja rien que pour trouver le username.
Le con est un botnet qui agit visiblement sur ordre mais sans controle. Du coup il est parfaitement capable de dérouler l'ensemble de son dictionnaire même si ça ne sert strictement à rien.
Avec un blacklistage d'1 heure pour chaque IP ayant 3 echecs, bon courage deja rien que pour trouver le username.
Jean-Marc Desperrier
Thierry wrote:
Le con est un botnet [...]
Avec un blacklistage d'1 heure pour chaque IP ayant 3 echecs, bon courage deja rien que pour trouver le username.
Sauf que si le botnet dispose de suffisament d'ip, le blacklistage ne sert à rien.
Un blacklistage de quelques minutes valable pour toutes les ip serait peut-être une solution (avec si besoin des plages spécifiques en white-list).
Thierry wrote:
Le con est un botnet [...]
Avec un blacklistage d'1 heure pour chaque IP ayant 3 echecs, bon
courage deja rien que pour trouver le username.
Sauf que si le botnet dispose de suffisament d'ip, le blacklistage ne
sert à rien.
Un blacklistage de quelques minutes valable pour toutes les ip serait
peut-être une solution (avec si besoin des plages spécifiques en
white-list).
