Je fais tourner une Ubuntu 7.04 24h/24 avec apache2, vsftpd et ssh.
Et je viens d'avoir un problème: j'ai éteint le PC pour rebrancher une
nappe dans le PC et quand j'ai relancé la machine, je n'arrivais plus à
me logguer sous KDE, car certains fichiers avaient vu leurs droits
modifiés.
/dev/null était devenu crw------- , ce qui faisait foiré des test dans
mon ~/.bashrc (j'ai remis crw-rw-rw-)
mon répertoire /home/ftp appartenait à saned (UID=116) au lieu de ftp
(UID=117)
Le problème est que je n'ai aucune idée de quoi regarder dans les logs
pour chercher ce qui a été eventuellement fait sur la machine.
J'ai juste ça dans /var/log/auth.log:
8<-----------8<---------8<----------8<----------8<----------8<----------8<----
Jun 5 12:32:30 Deborah sshd[6521]: Invalid user firebird from 69.50.198.12
Jun 5 12:32:32 Deborah sshd[6521]: Failed password for invalid user firebird
from 69.50.198.12 port 33593 ssh2
Jun 5 12:32:37 Deborah sshd[6523]: Failed password for root from 69.50.198.12
port 33824 ssh2
Jun 5 12:32:38 Deborah sshd[6526]: Invalid user user from 69.50.198.12
Jun 5 12:32:40 Deborah sshd[6526]: Failed password for invalid user user from
69.50.198.12 port 34133 ssh2
[...] essai de 'admin', 'guest', 'sales', 'oracle', ftptest' 'mysql',
'usertest', 'administrator'
Jun 5 12:33:17 Deborah sshd[6544]: Failed password for root from 69.50.198.12
port 36554 ssh2
[...] 20 lignes où seul le port change
Jun 5 12:34:39 Deborah sshd[6728]: Failed password for root from 69.50.198.12
port 42052 ssh2
8<-----------8<---------8<----------8<----------8<----------8<----------8<----
Le simple fait que ce log n'ai pas été nettoyé peut-il me laisser penser
que j'ai eu affaire à un inoffensif script-kiddie ?
L'autre problème (sans doute bien plus grave et qui va en faire hurler
certains), c'est que je ne sais pas sécuriser une machine. J'ai quand
même
PermitRootLogin no
PermitEmptyPasswords no
dans /etc/ssh/sshd.config
mais je n'ai jamais rien compris à la syntaxe d'iptables. Et si un
aimable contributeur du ng pouvait me donner une url pour newbie
complet, je lui en serais reconnaissant.
Il est donc tout à fait possible de créer des username facilement mémorisable pour l'utilisateur mais complexe pour l'attaquant, tout comme un mot de passe puisque beaucoup d'utilisateur crééent des mots de passe facile à mémoriser pour eux mais complexes pour une attaque.
Erreurs de jeunesse, évidemment. Et le fait que 'fred', sur un clavier, c'est pratique à taper... :)
Toi, tuu connais mon nom mais tu auras du mal à trouver benitoler avant de d'attaquer à ben01l3ra1lle5 (exemple simple et non valide sur aucuns de mes comptes, bien sûr ;-)
Ben, 'fred' étant un username assez souvent pris à gauche et à droite, si je tombe sur un site qui demande un login, je me retrouve toujours avec quelque chose d'un peu plus conséquent, tout de même. Là, c'est juste pour la maison et le bureau.
Fred -- Par delà monts et vallées, j'ai chevauché J'ai vu maintes guerres et contrées dévastées Maintenant les hommes pleurent leurs familles déchirées Et moi, comme toujours je ne fais que passer (Merzhin, Par delà)
Il est donc tout à fait possible de créer des username facilement
mémorisable pour l'utilisateur mais complexe pour l'attaquant, tout
comme un mot de passe puisque beaucoup d'utilisateur crééent des mots de
passe facile à mémoriser pour eux mais complexes pour une attaque.
Erreurs de jeunesse, évidemment. Et le fait que 'fred', sur un clavier,
c'est pratique à taper... :)
Toi, tuu connais mon nom mais tu auras du mal à trouver benitoler
avant de d'attaquer à ben01l3ra1lle5 (exemple simple et non valide sur
aucuns de mes comptes, bien sûr ;-)
Ben, 'fred' étant un username assez souvent pris à gauche et à droite,
si je tombe sur un site qui demande un login, je me retrouve toujours
avec quelque chose d'un peu plus conséquent, tout de même. Là, c'est
juste pour la maison et le bureau.
Fred
--
Par delà monts et vallées, j'ai chevauché
J'ai vu maintes guerres et contrées dévastées
Maintenant les hommes pleurent leurs familles déchirées
Et moi, comme toujours je ne fais que passer (Merzhin, Par delà)
Il est donc tout à fait possible de créer des username facilement mémorisable pour l'utilisateur mais complexe pour l'attaquant, tout comme un mot de passe puisque beaucoup d'utilisateur crééent des mots de passe facile à mémoriser pour eux mais complexes pour une attaque.
Erreurs de jeunesse, évidemment. Et le fait que 'fred', sur un clavier, c'est pratique à taper... :)
Toi, tuu connais mon nom mais tu auras du mal à trouver benitoler avant de d'attaquer à ben01l3ra1lle5 (exemple simple et non valide sur aucuns de mes comptes, bien sûr ;-)
Ben, 'fred' étant un username assez souvent pris à gauche et à droite, si je tombe sur un site qui demande un login, je me retrouve toujours avec quelque chose d'un peu plus conséquent, tout de même. Là, c'est juste pour la maison et le bureau.
Fred -- Par delà monts et vallées, j'ai chevauché J'ai vu maintes guerres et contrées dévastées Maintenant les hommes pleurent leurs familles déchirées Et moi, comme toujours je ne fais que passer (Merzhin, Par delà)
F. Senault
Le 08 juin à 16:30, sur fr.comp.securite, j'ai lu :
Mihamina Rakotomandimby (R12y) wrote:
Zut. C'est pourtant vaaaachement plus simple de créer un compte UNIX et l'email qui va avec dans la foulée...
Oui, mais si les gens reçoivent du spam, c'est que leur username est connu. Il n'est donc pas inutile de différencier les deux.
Non. Si les gens reçoivent du spam, dans 99.9% des cas, c'est parce que leur _adresse_ est connue.
De toutes manières, je ne compte pas imposer une adresse mail absconse à mes correspondants alors que je possède un domaine - les spammeurs peuvent aller se faire voir.
Bon, on vire lentement hors-sujet ici...
Fred -- Given that your typical spammer comes from a family line that's so inbred he could be his own father, you can't really expect them to show numerical ability beyond that to be expected of an anencephalic pond- flatworm. (Tanuki in the SDM)
Le 08 juin à 16:30, sur fr.comp.securite, j'ai lu :
Zut. C'est pourtant vaaaachement plus simple de créer un compte UNIX et
l'email qui va avec dans la foulée...
Oui, mais si les gens reçoivent du spam, c'est que leur username est
connu. Il n'est donc pas inutile de différencier les deux.
Non. Si les gens reçoivent du spam, dans 99.9% des cas, c'est parce que
leur _adresse_ est connue.
De toutes manières, je ne compte pas imposer une adresse mail absconse à
mes correspondants alors que je possède un domaine - les spammeurs
peuvent aller se faire voir.
Bon, on vire lentement hors-sujet ici...
Fred
--
Given that your typical spammer comes from a family line that's so
inbred he could be his own father, you can't really expect them to show
numerical ability beyond that to be expected of an anencephalic pond-
flatworm. (Tanuki in the SDM)
Le 08 juin à 16:30, sur fr.comp.securite, j'ai lu :
Mihamina Rakotomandimby (R12y) wrote:
Zut. C'est pourtant vaaaachement plus simple de créer un compte UNIX et l'email qui va avec dans la foulée...
Oui, mais si les gens reçoivent du spam, c'est que leur username est connu. Il n'est donc pas inutile de différencier les deux.
Non. Si les gens reçoivent du spam, dans 99.9% des cas, c'est parce que leur _adresse_ est connue.
De toutes manières, je ne compte pas imposer une adresse mail absconse à mes correspondants alors que je possède un domaine - les spammeurs peuvent aller se faire voir.
Bon, on vire lentement hors-sujet ici...
Fred -- Given that your typical spammer comes from a family line that's so inbred he could be his own father, you can't really expect them to show numerical ability beyond that to be expected of an anencephalic pond- flatworm. (Tanuki in the SDM)
Eric Razny
Le Thu, 07 Jun 2007 15:27:43 +0000, Nicolas George a écrit :
Certains programmes permettent de tester l'existence d'utilisateurs (certains MTA, par exemple), et ne prennent pas cette précaution.
Perso malgré le fait que ça permette de vérifier l'existance d'une adresse valide j'ai choisi cette option. Comme ça je n'ai pas à me poser la question de "dois-je ou pas générer un bounce sur une erreur d'adresse"[1]. Amha il n y a pas de bonne ou mauvaise politique à ce niveau tant que c'est un choix fait en connaissance de cause (avantages et inconvénients).
De même sur certaines machines je laisse un accès root via ssh ; je sais ce que signifie une faille sur ssh au niveau risque mais dans ce cas de figure ce sont souvent des machines qui ne laissent passer ssh que de certaines adresses IP et je gère le risque. Plus grave amha est le cas de celui qui laisse des accès shell non privilégié sur sa machine sans savoir ce qu'est une élévation de privilège :)
Eric
[1] Si c'est un spammeur qui envoit l'email, un bounce va emmerder un utilisateur innocent tandis que l'annonce de "pas de boite bidule" à l'échange entre MTA renseignera un utilisateur qui s'est trompé et ne fera qu'accélérer un spamming en court. Je gère le spamming à part.
Le Thu, 07 Jun 2007 15:27:43 +0000, Nicolas George a écrit :
Certains programmes
permettent de tester l'existence d'utilisateurs (certains MTA, par exemple),
et ne prennent pas cette précaution.
Perso malgré le fait que ça permette de vérifier l'existance d'une
adresse valide j'ai choisi cette option. Comme ça je n'ai pas à me poser
la question de "dois-je ou pas générer un bounce sur une erreur
d'adresse"[1]. Amha il n y a pas de bonne ou mauvaise politique à ce
niveau tant que c'est un choix fait en connaissance de cause (avantages et
inconvénients).
De même sur certaines machines je laisse un accès root via ssh ; je
sais ce que signifie une faille sur ssh au niveau risque mais dans ce cas
de figure ce sont souvent des machines qui ne laissent passer ssh que de
certaines adresses IP et je gère le risque. Plus grave amha est le
cas de celui qui laisse des accès shell non privilégié sur sa machine
sans savoir ce qu'est une élévation de privilège :)
Eric
[1] Si c'est un spammeur qui envoit l'email, un bounce va emmerder un
utilisateur innocent tandis que l'annonce de "pas de boite bidule" à
l'échange entre MTA renseignera un utilisateur qui s'est trompé et ne
fera qu'accélérer un spamming en court. Je gère le spamming à part.
Le Thu, 07 Jun 2007 15:27:43 +0000, Nicolas George a écrit :
Certains programmes permettent de tester l'existence d'utilisateurs (certains MTA, par exemple), et ne prennent pas cette précaution.
Perso malgré le fait que ça permette de vérifier l'existance d'une adresse valide j'ai choisi cette option. Comme ça je n'ai pas à me poser la question de "dois-je ou pas générer un bounce sur une erreur d'adresse"[1]. Amha il n y a pas de bonne ou mauvaise politique à ce niveau tant que c'est un choix fait en connaissance de cause (avantages et inconvénients).
De même sur certaines machines je laisse un accès root via ssh ; je sais ce que signifie une faille sur ssh au niveau risque mais dans ce cas de figure ce sont souvent des machines qui ne laissent passer ssh que de certaines adresses IP et je gère le risque. Plus grave amha est le cas de celui qui laisse des accès shell non privilégié sur sa machine sans savoir ce qu'est une élévation de privilège :)
Eric
[1] Si c'est un spammeur qui envoit l'email, un bounce va emmerder un utilisateur innocent tandis que l'annonce de "pas de boite bidule" à l'échange entre MTA renseignera un utilisateur qui s'est trompé et ne fera qu'accélérer un spamming en court. Je gère le spamming à part.
