Je constate que depuis le mois dernier les tentatives de connexion en ssh
se font de plus en plus nombreuses sur mes quelques serveurs Linux.
Les IP sources sont le plus souvent non-résolvables (nslookup) et je
suppose que ces adresses sources sont aussi forgées.
Jusqu'à présent sshd en ne tolérant que 3 tentatives, limite un peu les
chances. D'ailleurs c'est après ces 3 tentatives que le plus souvent, mes
amis passent à autre chose.
Récement, une attaque a réalisé pas loin de 2500 tentatives :
..
Aug 30 06:13:20 gazou sshd[6632]: Failed password for root from
65.18.159.245 port 2156 ssh2
Aug 30 06:13:24 gazou sshd[6634]: Failed password for root from
65.18.159.245 port 2440 ssh2
Aug 30 06:13:27 gazou sshd[6636]: Failed password for root from
65.18.159.245 port 2716 ssh2
Aug 30 06:13:36 gazou
sshd[6647]: Failed password for root from 65.18.159.245 port 3393 ssh2
..
Aug 30 08:26:25 gazou sshd[11669]: Failed password for root from
65.18.159.245 port 3050 ssh2
Aug 30 08:26:28 gazou sshd[11671]: Failed password for root from
65.18.159.245 port 3192 ssh2
Aug 30 08:26:31 gazou
sshd[11673]: Failed password for root from 65.18.159.245 port 3323 ssh2
Aug 30 08:26:34 gazou sshd[11675]: Failed password for root from
65.18.159.245 port 3432 ssh2
Aug 30 08:26:38 gazou sshd[11677]: Failed password for root from
65.18.159.245 port 3545 ssh2 ..
----------------
Bug de sshd ?
Outil de scan plus évolué multi-connexions ?
Que me conseillez-vous pour blacklister dynamiquement ces tentatives..j'ai
vu rapidement swatch..
J'avais constaté certains réglages pour limiter la saisie du mot de
passe à une tentative, mais j'ignore comme l'on peut configurer sshd ou
pam pour cela.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Patrice Auffret
On 06 Sep 2004 22:45:13 GMT mathieu wrote: [..]
Aug 30 06:13:20 gazou sshd[6632]: Failed password for root from 65.18.159.245 port 2156 ssh2 [..]
Il n'y a pas lieu de s'inquiéter si `PermitRootLogin' est à `no' dans sshd_config.
Sinon, si ca te gêne qu'un de tes services publiquement accessible est des accès, tu peux toujours filtrer et n'autoriser que certaines des IP que tu utilises pour t'y connecter.
On 06 Sep 2004 22:45:13 GMT
mathieu <mollo@pasdejambon-bghflt.org> wrote:
[..]
Aug 30 06:13:20 gazou sshd[6632]: Failed password for root from
65.18.159.245 port 2156 ssh2
[..]
Il n'y a pas lieu de s'inquiéter si `PermitRootLogin' est à
`no' dans sshd_config.
Sinon, si ca te gêne qu'un de tes services publiquement
accessible est des accès, tu peux toujours filtrer et
n'autoriser que certaines des IP que tu utilises pour t'y
connecter.
Aug 30 06:13:20 gazou sshd[6632]: Failed password for root from 65.18.159.245 port 2156 ssh2 [..]
Il n'y a pas lieu de s'inquiéter si `PermitRootLogin' est à `no' dans sshd_config.
Sinon, si ca te gêne qu'un de tes services publiquement accessible est des accès, tu peux toujours filtrer et n'autoriser que certaines des IP que tu utilises pour t'y connecter.
db
Patrice Auffret wrote:
On 06 Sep 2004 22:45:13 GMT mathieu wrote: [..]
Aug 30 06:13:20 gazou sshd[6632]: Failed password for root from 65.18.159.245 port 2156 ssh2 [..]
Il n'y a pas lieu de s'inquiéter si `PermitRootLogin' est à `no' dans sshd_config. Ce n'est pas tellement cela, le PermitRootLogin est si pratique !
Le tout est d'éviter que les comptes classiquement root ('root', 'toor', 'admin', etc) ne soient accessibles. Un DenyUsers est alors le bienvenu.
Quoi qu'il en soit là n'est pas le problème. Dans ce cas il serait intéressant de mettre en place une procédure (hélas basée sur une analyse de log, il n'y a pas d'exit sur openSSH pour ce genre de manip) qui place un filtre réseau (ipfilter, iptables) lors d'un trop grand nombre de tentatives de ce type effectuées dans un intervalle de temps défini.
Sinon, si ca te gêne qu'un de tes services publiquement accessible est des accès, tu peux toujours filtrer et n'autoriser que certaines des IP que tu utilises pour t'y connecter. Tout à fait,
db -- email : usenet blas net
Patrice Auffret wrote:
On 06 Sep 2004 22:45:13 GMT
mathieu <mollo@pasdejambon-bghflt.org> wrote:
[..]
Aug 30 06:13:20 gazou sshd[6632]: Failed password for root from
65.18.159.245 port 2156 ssh2
[..]
Il n'y a pas lieu de s'inquiéter si `PermitRootLogin' est à
`no' dans sshd_config.
Ce n'est pas tellement cela, le PermitRootLogin est si pratique !
Le tout est d'éviter que les comptes classiquement root ('root', 'toor',
'admin', etc) ne soient accessibles. Un DenyUsers est alors le bienvenu.
Quoi qu'il en soit là n'est pas le problème.
Dans ce cas il serait intéressant de mettre en place une procédure (hélas
basée sur une analyse de log, il n'y a pas d'exit sur openSSH pour ce genre
de manip) qui place un filtre réseau (ipfilter, iptables) lors d'un trop
grand nombre de tentatives de ce type effectuées dans un intervalle de
temps défini.
Sinon, si ca te gêne qu'un de tes services publiquement
accessible est des accès, tu peux toujours filtrer et
n'autoriser que certaines des IP que tu utilises pour t'y
connecter.
Tout à fait,
Aug 30 06:13:20 gazou sshd[6632]: Failed password for root from 65.18.159.245 port 2156 ssh2 [..]
Il n'y a pas lieu de s'inquiéter si `PermitRootLogin' est à `no' dans sshd_config. Ce n'est pas tellement cela, le PermitRootLogin est si pratique !
Le tout est d'éviter que les comptes classiquement root ('root', 'toor', 'admin', etc) ne soient accessibles. Un DenyUsers est alors le bienvenu.
Quoi qu'il en soit là n'est pas le problème. Dans ce cas il serait intéressant de mettre en place une procédure (hélas basée sur une analyse de log, il n'y a pas d'exit sur openSSH pour ce genre de manip) qui place un filtre réseau (ipfilter, iptables) lors d'un trop grand nombre de tentatives de ce type effectuées dans un intervalle de temps défini.
Sinon, si ca te gêne qu'un de tes services publiquement accessible est des accès, tu peux toujours filtrer et n'autoriser que certaines des IP que tu utilises pour t'y connecter. Tout à fait,
db -- email : usenet blas net
Djoume SALVETTI
Dans ce cas il serait intéressant de mettre en place une procédure (hélas basée sur une analyse de log, il n'y a pas d'exit sur openSSH pour ce genre de manip) qui place un filtre réseau (ipfilter, iptables) lors d'un trop grand nombre de tentatives de ce type effectuées dans un intervalle de temps défini.
Prelude sait faire ce genre de choses.
http://www.prelude-ids.org/
-- Djoumé SALVETTI
Dans ce cas il serait intéressant de mettre en place une procédure (hélas
basée sur une analyse de log, il n'y a pas d'exit sur openSSH pour ce genre
de manip) qui place un filtre réseau (ipfilter, iptables) lors d'un trop
grand nombre de tentatives de ce type effectuées dans un intervalle de
temps défini.
Dans ce cas il serait intéressant de mettre en place une procédure (hélas basée sur une analyse de log, il n'y a pas d'exit sur openSSH pour ce genre de manip) qui place un filtre réseau (ipfilter, iptables) lors d'un trop grand nombre de tentatives de ce type effectuées dans un intervalle de temps défini.
Prelude sait faire ce genre de choses.
http://www.prelude-ids.org/
-- Djoumé SALVETTI
Gilles Berger Sabbatel
On Wed, 08 Sep 2004 05:11:13 +0000, Xavier wrote:
mathieu wrote:
Je constate que depuis le mois dernier les tentatives de connexion en ssh se font de plus en plus nombreuses sur mes quelques serveurs Linux.
Pareil, toutes mes machines dont le firewall autorise le port 22 se font tester. Un zero-day sur OpenSSH ? (qui a dit encore, au fond du rade ?)
Non, il s'agit d'une attaque en force brute visant des machines avec des mots de passe triviaux sur les comptes root, admin, user et guest.
Il y a eu une alerte des CERT à ce sujet il y a quelques temps. Si votre compte root a un mot de passe raisonnablement sûr, vous pouvez dormir sur vos deux oreilles...
On Wed, 08 Sep 2004 05:11:13 +0000, Xavier wrote:
mathieu <mollo@pasdejambon-bghflt.org> wrote:
Je constate que depuis le mois dernier les tentatives de connexion en
ssh se font de plus en plus nombreuses sur mes quelques serveurs Linux.
Pareil, toutes mes machines dont le firewall autorise le port 22 se font
tester. Un zero-day sur OpenSSH ? (qui a dit encore, au fond du rade ?)
Non, il s'agit d'une attaque en force brute visant des machines avec des
mots de passe triviaux sur les comptes root, admin, user et guest.
Il y a eu une alerte des CERT à ce sujet il y a quelques temps. Si votre
compte root a un mot de passe raisonnablement sûr, vous pouvez dormir sur
vos deux oreilles...
Je constate que depuis le mois dernier les tentatives de connexion en ssh se font de plus en plus nombreuses sur mes quelques serveurs Linux.
Pareil, toutes mes machines dont le firewall autorise le port 22 se font tester. Un zero-day sur OpenSSH ? (qui a dit encore, au fond du rade ?)
Non, il s'agit d'une attaque en force brute visant des machines avec des mots de passe triviaux sur les comptes root, admin, user et guest.
Il y a eu une alerte des CERT à ce sujet il y a quelques temps. Si votre compte root a un mot de passe raisonnablement sûr, vous pouvez dormir sur vos deux oreilles...
Bruno
Patrice Auffret wrote:
On 06 Sep 2004 22:45:13 GMT mathieu wrote: [..]
Aug 30 06:13:20 gazou sshd[6632]: Failed password for root from 65.18.159.245 port 2156 ssh2
[..]
Il n'y a pas lieu de s'inquiéter si `PermitRootLogin' est à `no' dans sshd_config.
Ce n'est pas tellement cela, le PermitRootLogin est si pratique ! Le tout est d'éviter que les comptes classiquement root ('root', 'toor', 'admin', etc) ne soient accessibles. Un DenyUsers est alors le bienvenu.
Quoi qu'il en soit là n'est pas le problème. Dans ce cas il serait intéressant de mettre en place une procédure (hélas basée sur une analyse de log, il n'y a pas d'exit sur openSSH pour ce genre de manip) qui place un filtre réseau (ipfilter, iptables) lors d'un trop grand nombre de tentatives de ce type effectuées dans un intervalle de temps défini.
Il me semble être tombé (aie, ça fait mal) il y a quelques temps dans un Patch'o'matic de iptables (les fameux pom-xxxxx) sur un add-on's de iptables qui permet de faire un DROP (ou autre) sur les connexions sockets en fonction de critères tel que le nombre de connexion par sec, .... Cela dit, le mieux est de mettre un compte non-trivial (autre que root, admin, ....) uniquement en AllowUsers dans sshd_config et tous les autres users dans DenyUsers.
D'autre système plus évolue (tel que Prelude en effet) peuvent remplir cette fonction, mais bien plus difficile qu'une règle iptables.
Sinon, si ca te gêne qu'un de tes services publiquement accessible est des accès, tu peux toujours filtrer et n'autoriser que certaines des IP que tu utilises pour t'y connecter.
Tout à fait,
db
Brun's.
Patrice Auffret wrote:
On 06 Sep 2004 22:45:13 GMT
mathieu <mollo@pasdejambon-bghflt.org> wrote:
[..]
Aug 30 06:13:20 gazou sshd[6632]: Failed password for root from
65.18.159.245 port 2156 ssh2
[..]
Il n'y a pas lieu de s'inquiéter si `PermitRootLogin' est à
`no' dans sshd_config.
Ce n'est pas tellement cela, le PermitRootLogin est si pratique !
Le tout est d'éviter que les comptes classiquement root ('root', 'toor',
'admin', etc) ne soient accessibles. Un DenyUsers est alors le bienvenu.
Quoi qu'il en soit là n'est pas le problème.
Dans ce cas il serait intéressant de mettre en place une procédure (hélas
basée sur une analyse de log, il n'y a pas d'exit sur openSSH pour ce genre
de manip) qui place un filtre réseau (ipfilter, iptables) lors d'un trop
grand nombre de tentatives de ce type effectuées dans un intervalle de
temps défini.
Il me semble être tombé (aie, ça fait mal) il y a quelques temps dans un
Patch'o'matic de iptables (les fameux pom-xxxxx) sur un add-on's de
iptables qui permet de faire un DROP (ou autre) sur les connexions
sockets en fonction de critères tel que le nombre de connexion par sec,
.... Cela dit, le mieux est de mettre un compte non-trivial (autre que
root, admin, ....) uniquement en AllowUsers dans sshd_config et tous les
autres users dans DenyUsers.
D'autre système plus évolue (tel que Prelude en effet) peuvent remplir
cette fonction, mais bien plus difficile qu'une règle iptables.
Sinon, si ca te gêne qu'un de tes services publiquement
accessible est des accès, tu peux toujours filtrer et
n'autoriser que certaines des IP que tu utilises pour t'y
connecter.
Aug 30 06:13:20 gazou sshd[6632]: Failed password for root from 65.18.159.245 port 2156 ssh2
[..]
Il n'y a pas lieu de s'inquiéter si `PermitRootLogin' est à `no' dans sshd_config.
Ce n'est pas tellement cela, le PermitRootLogin est si pratique ! Le tout est d'éviter que les comptes classiquement root ('root', 'toor', 'admin', etc) ne soient accessibles. Un DenyUsers est alors le bienvenu.
Quoi qu'il en soit là n'est pas le problème. Dans ce cas il serait intéressant de mettre en place une procédure (hélas basée sur une analyse de log, il n'y a pas d'exit sur openSSH pour ce genre de manip) qui place un filtre réseau (ipfilter, iptables) lors d'un trop grand nombre de tentatives de ce type effectuées dans un intervalle de temps défini.
Il me semble être tombé (aie, ça fait mal) il y a quelques temps dans un Patch'o'matic de iptables (les fameux pom-xxxxx) sur un add-on's de iptables qui permet de faire un DROP (ou autre) sur les connexions sockets en fonction de critères tel que le nombre de connexion par sec, .... Cela dit, le mieux est de mettre un compte non-trivial (autre que root, admin, ....) uniquement en AllowUsers dans sshd_config et tous les autres users dans DenyUsers.
D'autre système plus évolue (tel que Prelude en effet) peuvent remplir cette fonction, mais bien plus difficile qu'une règle iptables.
Sinon, si ca te gêne qu'un de tes services publiquement accessible est des accès, tu peux toujours filtrer et n'autoriser que certaines des IP que tu utilises pour t'y connecter.
Tout à fait,
db
Brun's.
Pierre
Xavier wrote:
Dynamiquement, je ne sais pas, mais statiquement, oui : sur Lunix, je ne sais pas, mais sur les BSD, sshd est linké avec tcpwrap, et tu peux donc limiter les IP autorisées dans /etc/hosts.allow
XAv
Sinon il y a un script Perl qui s'appelle Authprogs qui permet de limiter les commandes autorisées dans une console ssh en fonction de l'adresse ip d'origine de l'utilisateur. Plus d'informations ici : http://www.hackinglinuxexposed.com/articles/20030115.html
Xavier wrote:
Dynamiquement, je ne sais pas, mais statiquement, oui : sur Lunix, je ne
sais pas, mais sur les BSD, sshd est linké avec tcpwrap, et tu peux donc
limiter les IP autorisées dans /etc/hosts.allow
XAv
Sinon il y a un script Perl qui s'appelle Authprogs qui permet de
limiter les commandes autorisées dans une console ssh en fonction de
l'adresse ip d'origine de l'utilisateur.
Plus d'informations ici :
http://www.hackinglinuxexposed.com/articles/20030115.html
Dynamiquement, je ne sais pas, mais statiquement, oui : sur Lunix, je ne sais pas, mais sur les BSD, sshd est linké avec tcpwrap, et tu peux donc limiter les IP autorisées dans /etc/hosts.allow
XAv
Sinon il y a un script Perl qui s'appelle Authprogs qui permet de limiter les commandes autorisées dans une console ssh en fonction de l'adresse ip d'origine de l'utilisateur. Plus d'informations ici : http://www.hackinglinuxexposed.com/articles/20030115.html
mathieu
On Mon, 06 Sep 2004 22:45:13 +0000, mathieu wrote:
Bonjour,
Je constate que depuis le mois dernier les tentatives de connexion en ssh se font de plus en plus nombreuses sur mes quelques serveurs Linux.
Merci pour vos réponses.
Je vais regarder "Prelude".. J'ai un petit script en preparation :
tail -f <log> | grep sshd | grep failed | ptite moulinette python qui blackliste au bout de 2 tentatives/ip/heure.
via Iptables ou plutot directement avec la commande que Shorewall met à disposition.. Il peut aussi sauvegarder l'état de sa blacklist ainsi constituée et la recharger rapidement.
Ciao' Mathieu
On Mon, 06 Sep 2004 22:45:13 +0000, mathieu wrote:
Bonjour,
Je constate que depuis le mois dernier les tentatives de connexion en ssh
se font de plus en plus nombreuses sur mes quelques serveurs Linux.
Merci pour vos réponses.
Je vais regarder "Prelude".. J'ai un petit script en preparation :
tail -f <log> | grep sshd | grep failed | ptite moulinette python qui
blackliste au bout de 2 tentatives/ip/heure.
via Iptables ou plutot directement avec la commande que Shorewall met à
disposition.. Il peut aussi sauvegarder l'état de sa blacklist ainsi
constituée et la recharger rapidement.
On Mon, 06 Sep 2004 22:45:13 +0000, mathieu wrote:
Bonjour,
Je constate que depuis le mois dernier les tentatives de connexion en ssh se font de plus en plus nombreuses sur mes quelques serveurs Linux.
Merci pour vos réponses.
Je vais regarder "Prelude".. J'ai un petit script en preparation :
tail -f <log> | grep sshd | grep failed | ptite moulinette python qui blackliste au bout de 2 tentatives/ip/heure.
via Iptables ou plutot directement avec la commande que Shorewall met à disposition.. Il peut aussi sauvegarder l'état de sa blacklist ainsi constituée et la recharger rapidement.
