[HS] Possible attaque SSH

4 réponses
Avatar
Sil
Bonjour la liste,

Pourriez-vous m'enlever un doute... sur un réseau local derrière une
box, j'ai des postes w$ DHCP et un serveur Debian stable Í  jour. Ce
serveur est accessible via SSH sur le réseau local via le port classique
et depuis l’extérieur sur un autre port via le NAT de la box. Seule
l’authentification par clé est autorisée.

J'ai un utilisateur qui s'est plaint d'avoir été banni par Fail2ban.
Après quelques recherches dans les logs, j'ai trouvé plusieurs
tentatives de connexions SSH via des adresses locales.

Un exemple de log :

/var/log/auth.log.2.gz:Feb  7 09:34:58 monserveur sshd[XXXX]:
Disconnected from invalid user Admin 192.168.X.X port XXXX [preauth]

Est-il possible que l'attaque vienne quand même de l’extérieur ? Ou
faut-il suspecter les postes w$ ?

Par avance merci

Sil

4 réponses

Avatar
Sil
Le 22/02/2022 Í  09:27, Sil a écrit :
/var/log/auth.log.2.gz:Feb 7 09:34:58 monserveur sshd[XXXX]:
Disconnected from invalid user Admin 192.168.X.X port XXXX [preauth]

Mais est-ce que l'IP du fichier log peut provenir de l’extérieur ? Ou
est-ce impossible ?
Est-il possible de différencier les connexions nattées de la box et
celles du réseau local ?
Merci
Sil
Avatar
ajh-valmer
On Tuesday 22 February 2022 09:27:46 Sil wrote:
Bonjour la liste,
Pourriez-vous m'enlever un doute... sur un réseau local derrière une
box, j'ai des postes w$ DHCP et un serveur Debian stable Í  jour. Ce
serveur est accessible via SSH sur le réseau local via le port classique
et depuis l’extérieur sur un autre port via le NAT de la box. Seule
l’authentification par clé est autorisée.
J'ai un utilisateur qui s'est plaint d'avoir été banni par Fail2ban.
Après quelques recherches dans les logs, j'ai trouvé plusieurs
tentatives de connexions SSH via des adresses locales.
Un exemple de log :
/var/log/auth.log.2.gz:Feb  7 09:34:58 monserveur sshd[XXXX]:
Disconnected from invalid user Admin 192.168.X.X port XXXX [preauth]
Est-il possible que l'attaque vienne quand même de l’extérieur ? Ou
faut-il suspecter les postes w$ ?

Hello,
J'ai un serveur, il ne faut pas trop s'inquiéter du fichier "/var/log/auth.log",
ce sont des milliers de tentatives de connexion / jour, sans résultats,
(souvent par une méthode automatique) si le serveur possède
les outils classiques de protection, failban, firewall, connexions que par
clés SSH (publique et privée)...
A. Valmer
Avatar
Bela̓¯d
--000000000000efe10205d899a662
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
Bonjour,
C'est possible que ̓§a vienne de l'ext̓©rieur (a l'̓©poque ca pouvait ̓ªtre une
attaque par IP spoofing/paquet martien). Mais ̓§a ne ce fait plus trop de
nos jours , les routeurs/firewall savent g̓©rer cela
Le mar. 22 f̓©vr. 2022 ̓  11:50, Sil a ̓©crit :
Le 22/02/2022 ̓  09:27, Sil a ̓©crit :
/var/log/auth.log.2.gz:Feb 7 09:34:58 monserveur sshd[XXXX]:
Disconnected from invalid user Admin 192.168.X.X port XXXX [preauth]

Mais est-ce que l'IP du fichier log peut provenir de lÍ¢€™ext̓©rieur ? Ou
est-ce impossible ?
Est-il possible de diff̓©rencier les connexions natt̓©es de la box et
celles du r̓©seau local ?
Merci
Sil

--000000000000efe10205d899a662
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
<div dir="auto">Bonjour,<div dir="auto"><br></div><div dir="auto">C&#39;est possible que ̓§a vienne de l&#39;ext̓©rieur (a l&#39;̓©poque ca pouvait ̓ªtre une attaque par IP spoofing/paquet martien). Mais ̓§a ne ce fait plus trop de nos jours , les routeurs/firewall savent g̓©rer cela͂ </div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le mar. 22 f̓©vr. 2022 ̓  11:50, Sil &lt;<a href="mailto:"></a>&gt; a ̓©crit͂ :<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Le 22/02/2022 ̓  09:27, Sil a ̓©crit͂ :<br>
&gt; /var/log/auth.log.2.gz:Feb 7 09:34:58 monserveur sshd[XXXX]: <br>
&gt; Disconnected from invalid user Admin 192.168.X.X port XXXX [preauth]<br>
<br>
Mais est-ce que l&#39;IP du fichier log peut provenir de lÍ¢€™ext̓©rieur ? Ou <br>
est-ce impossible ?<br>
<br>
Est-il possible de diff̓©rencier les connexions natt̓©es de la box et <br>
celles du r̓©seau local ?<br>
<br>
Merci<br>
<br>
Sil<br>
<br>
</div>
--000000000000efe10205d899a662--
Avatar
Dethegeek
--0000000000001ca11b05d89a0776
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
Bonjour
De mon exp̓©rience avec fail2banet ssh, dans une situation similaire (NAT
derri̓¨re une box) les IP des attaquants sont celles venant de l'ext̓©rieur.
Donc si dans les logs les ip appartiennent au r̓©seau local, c'est que
l'attaquant s'y trouve, ou bien utilise une machine locale pour effectuer
ses attaques.
Idem que pr̓©c̓©demment, fail2ban enregistre de nombreuses attaques par heure
en permanence.
Le mar. 22 f̓©vr. 2022 ̓  12:29, Bela̓¯d a ̓©crit :
Bonjour,
C'est possible que ̓§a vienne de l'ext̓©rieur (a l'̓©poque ca pouvait ̓ªtre
une attaque par IP spoofing/paquet martien). Mais ̓§a ne ce fait plus trop
de nos jours , les routeurs/firewall savent g̓©rer cela
Le mar. 22 f̓©vr. 2022 ̓  11:50, Sil a ̓©crit :
Le 22/02/2022 ̓  09:27, Sil a ̓©crit :
/var/log/auth.log.2.gz:Feb 7 09:34:58 monserveur sshd[XXXX]:
Disconnected from invalid user Admin 192.168.X.X port XXXX [preauth]

Mais est-ce que l'IP du fichier log peut provenir de lÍ¢€™ext̓©rieur ? Ou
est-ce impossible ?
Est-il possible de diff̓©rencier les connexions natt̓©es de la box et
celles du r̓©seau local ?
Merci
Sil


--0000000000001ca11b05d89a0776
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
<div dir="auto">Bonjour<div dir="auto"><br></div><div dir="auto">De mon exp̓©rience avec fail2banet ssh, dans une situation similaire (NAT derri̓¨re une box) les IP des attaquants sont celles venant de l&#39;ext̓©rieur. Donc si dans les logs les ip appartiennent au r̓©seau local, c&#39;est que l&#39;attaquant s&#39;y trouve, ou bien utilise une machine locale pour effectuer ses attaques.</div><div dir="auto"><br></div><div dir="auto">Idem que pr̓©c̓©demment, fail2ban enregistre de nombreuses attaques par heure en permanence.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le mar. 22 f̓©vr. 2022 ̓  12:29, Bela̓¯d &lt;<a href="mailto:"></a>&gt; a ̓©crit͂ :<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto">Bonjour,<div dir="auto"><br></div><div dir="auto">C&#39;est possible que ̓§a vienne de l&#39;ext̓©rieur (a l&#39;̓©poque ca pouvait ̓ªtre une attaque par IP spoofing/paquet martien). Mais ̓§a ne ce fait plus trop de nos jours , les routeurs/firewall savent g̓©rer cela͂ </div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le mar. 22 f̓©vr. 2022 ̓  11:50, Sil &lt;<a href="mailto:" target="_blank" rel="noreferrer"></a>&gt; a ̓©crit͂ :<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Le 22/02/2022 ̓  09:27, Sil a ̓©crit͂ :<br>
&gt; /var/log/auth.log.2.gz:Feb 7 09:34:58 monserveur sshd[XXXX]: <br>
&gt; Disconnected from invalid user Admin 192.168.X.X port XXXX [preauth]<br>
<br>
Mais est-ce que l&#39;IP du fichier log peut provenir de lÍ¢€™ext̓©rieur ? Ou <br>
est-ce impossible ?<br>
<br>
Est-il possible de diff̓©rencier les connexions natt̓©es de la box et <br>
celles du r̓©seau local ?<br>
<br>
Merci<br>
<br>
Sil<br>
<br>
</div>
</div>
--0000000000001ca11b05d89a0776--