Machine scanée, tentatice d'accès par ssh dénié et relay smtp refusé

François Boisson

07/11/2005 à 15:00

Christophe Lincoln a écrit:

Bonjour la liste,

2 petites quetions, ma machine serveur est régulièrement scannée,
et je reçois des rapports régulier de logcheck m'avertissant de tentatives

d'accès echouées par ssh, avec des nom d'utilisateur divers ( des
milliers).
[...

J' ai aussi constaté un tentative échouée d'utilisation de notre serveur
comme relais!

Comme tout le monde, au bout d'un certain temps tu t'habitueras. J'ai
renoncé à faire des signalements, je passerais mon temps à ça. Par
contre, il faut surveiller la machine.

François Boisson

PS: 800 tentatives sur ssh par semaine en gros et 6 à 7 refus de relais
SMTP par jour environ

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

manioul

07/11/2005 à 17:40

--=-hjIqw3D+LYb8ttfIMNYt
Content-Type: text/plain; charset=ISO-8859-15
Content-Transfer-Encoding: quoted-printable

Le lundi 07 novembre 2005 à 13:53 +0100, Christophe Lincoln a écrit :

Bonjour la liste,

Coucou!

2 petites quetions, ma machine serveur est régulièrement scannée,

et je reçois des rapports régulier de logcheck m'avertissant de tenta tives

d'accès echouées par ssh, avec des nom d'utilisateur divers ( des mil liers).

[...]

J' ai aussi constaté un tentative échouée d'utilisation de notre se rveur comme relais!

Mais heureusement Debian est trés bien sécurisée par défaut! Merc i Debian!
(je n'ai pas touché a la config de Postfix sauf pour

Security Events
=-=-=-=-=-=-=-=
Nov 3 01:44:27 localhost postfix/smtpd[14024]: NOQUEUE: reject: RCPT fro m
219-84-8-16-adsl-tpe.dynamic.so-net.net.tw[219.84.8.16]: 554 <dvdr_mail20 :
Relay access denied; from= to= .com.cn>
proto=SMTP

C'est bien une tentative de relay?

oui

Dois-je avertir quelqu'un?

non. Une adresse à taiwan, je doute que tu obtiennes quoi que ce
soit....

Du coup j'ai installé harden, désinstallé le ftp, telnet et des ser vices d'inetd, au profit de ssh en interdisant
la connexion ssh de root, j'utilise plutôt su. J'ai aussi configuré i ptable avec firestarter pour n'ouvrir que
les ports pour Apache , ssh, et dns, mais dans un provhe avenir je vais u tiliser le smtp et le pop.

Que puis-je faire de plus pour sécutisé ma Debian chérie? et surtou t ssh car depuis le message du 2 nov ci-dessus
j'ai eu encore pleins de tentatives!

modifier les ports d'écoute? Mais il y a des ports standards, autant les
utiliser; ce qui compte vraiment c'est que ton système soit à jour et
bien configuré.
Par contre il peut etre intéressant de loguer/droper les paquets qui
viennent d'ip [de groupes d'ip] qui reviennent souvent; par ex:

whois 219.84.8.16

% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 219.84.0.0 - 219.85.255.255
netname: SONET-NET
country: TW
descr: Sony Network Taiwan Limited
descr: 2Fl., Building E, No. 19-13, San Chung Road
descr: Taipei Taiwan 115
admin-c: JC417-AP
tech-c: CC115-AP
status: ALLOCATED PORTABLE
changed: 20031125
mnt-by: MAINT-TW-TWNIC
source: APNIC

Si tu n'es pas censé recevoir de connexion de taiwan, tu drop les
paquets provenant de la classe d'adresses retournée:

#iptables -t filter -A INPUT -i eth0 -s 219.84.0.0/15 -j DROP

Ou si les ip depuis lesquelles tu te connectes au ssh sont connues, tu
les autorises explicitement et tu drop toutes les autres:

#iptables -t filter -A INPUT -i eth0 -s !w.x.y.z --dport 22 -j DROP

J'espère avoir été assez clair.

Christophe

++ ;)

--
-----------------------------------------------------------------------
Ma clé GPG est disponible sur http://www.keyserver.net (F15B8BAD)
-----------------------------------------------------------------------
_____________________________________________________
| Protégez votre vie privée: |
|||/ | - Signez/chiffrez vos messages. __|
q o - p | Respectez celle des autres: | /
__mn___^_/_nm__| - Masquez les destinataires de vos mailings |/
|__________________________________________________/

--=-hjIqw3D+LYb8ttfIMNYt
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: This is a digitally signed message part

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQBDb4FYCXnTgfFbi60RAlR9AKCEvEaSVcpTlUu+2y8SFCIZjh+X0ACferHZ
YE7H+1wfD4j+1V5Rs2pJwwI =ia5D
-----END PGP SIGNATURE-----

--=-hjIqw3D+LYb8ttfIMNYt--

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

--=-hjIqw3D+LYb8ttfIMNYt
Content-Type: text/plain; charset=ISO-8859-15
Content-Transfer-Encoding: quoted-printable

Le lundi 07 novembre 2005 à 13:53 +0100, Christophe Lincoln a écrit :

Bonjour la liste,

Coucou!

2 petites quetions, ma machine serveur est régulièrement scannée,

et je reçois des rapports régulier de logcheck m'avertissant de tenta tives

d'accès echouées par ssh, avec des nom d'utilisateur divers ( des mil liers).

[...]

J' ai aussi constaté un tentative échouée d'utilisation de notre se rveur comme relais!

Mais heureusement Debian est trés bien sécurisée par défaut! Merc i Debian!
(je n'ai pas touché a la config de Postfix sauf pour

Security Events
=-=-=-=-=-=-=-=
Nov 3 01:44:27 localhost postfix/smtpd[14024]: NOQUEUE: reject: RCPT fro m
219-84-8-16-adsl-tpe.dynamic.so-net.net.tw[219.84.8.16]: 554 <dvdr_mail20 00@yahoo.com.cn>:
Relay access denied; from=<lee@msa.hinet.net> to=<dvdr_mail2000@yahoo .com.cn>
proto=SMTP

C'est bien une tentative de relay?

oui

Dois-je avertir quelqu'un?

non. Une adresse à taiwan, je doute que tu obtiennes quoi que ce
soit....

Du coup j'ai installé harden, désinstallé le ftp, telnet et des ser vices d'inetd, au profit de ssh en interdisant
la connexion ssh de root, j'utilise plutôt su. J'ai aussi configuré i ptable avec firestarter pour n'ouvrir que
les ports pour Apache , ssh, et dns, mais dans un provhe avenir je vais u tiliser le smtp et le pop.

Que puis-je faire de plus pour sécutisé ma Debian chérie? et surtou t ssh car depuis le message du 2 nov ci-dessus
j'ai eu encore pleins de tentatives!

modifier les ports d'écoute? Mais il y a des ports standards, autant les
utiliser; ce qui compte vraiment c'est que ton système soit à jour et
bien configuré.
Par contre il peut etre intéressant de loguer/droper les paquets qui
viennent d'ip [de groupes d'ip] qui reviennent souvent; par ex:

whois 219.84.8.16

% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 219.84.0.0 - 219.85.255.255
netname: SONET-NET
country: TW
descr: Sony Network Taiwan Limited
descr: 2Fl., Building E, No. 19-13, San Chung Road
descr: Taipei Taiwan 115
admin-c: JC417-AP
tech-c: CC115-AP
status: ALLOCATED PORTABLE
changed: hm-changed@apnic.net 20031125
mnt-by: MAINT-TW-TWNIC
source: APNIC

Si tu n'es pas censé recevoir de connexion de taiwan, tu drop les
paquets provenant de la classe d'adresses retournée:

#iptables -t filter -A INPUT -i eth0 -s 219.84.0.0/15 -j DROP

Ou si les ip depuis lesquelles tu te connectes au ssh sont connues, tu
les autorises explicitement et tu drop toutes les autres:

#iptables -t filter -A INPUT -i eth0 -s !w.x.y.z --dport 22 -j DROP

J'espère avoir été assez clair.

Christophe

++ ;)

--
-----------------------------------------------------------------------
Ma clé GPG est disponible sur http://www.keyserver.net (F15B8BAD)
-----------------------------------------------------------------------
_____________________________________________________
| Protégez votre vie privée: |
|||/ | - Signez/chiffrez vos messages. __|
q o - p | Respectez celle des autres: | /
__mn___^_/_nm__| - Masquez les destinataires de vos mailings |/
|__________________________________________________/

--=-hjIqw3D+LYb8ttfIMNYt
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: This is a digitally signed message part

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQBDb4FYCXnTgfFbi60RAlR9AKCEvEaSVcpTlUu+2y8SFCIZjh+X0ACferHZ
YE7H+1wfD4j+1V5Rs2pJwwI =ia5D
-----END PGP SIGNATURE-----

--=-hjIqw3D+LYb8ttfIMNYt--

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Vous avez filtré cet utilisateur ! Consultez son message

--=-hjIqw3D+LYb8ttfIMNYt
Content-Type: text/plain; charset=ISO-8859-15
Content-Transfer-Encoding: quoted-printable

Le lundi 07 novembre 2005 à 13:53 +0100, Christophe Lincoln a écrit :

Bonjour la liste,

Coucou!

2 petites quetions, ma machine serveur est régulièrement scannée,

et je reçois des rapports régulier de logcheck m'avertissant de tenta tives

d'accès echouées par ssh, avec des nom d'utilisateur divers ( des mil liers).

[...]

J' ai aussi constaté un tentative échouée d'utilisation de notre se rveur comme relais!

Mais heureusement Debian est trés bien sécurisée par défaut! Merc i Debian!
(je n'ai pas touché a la config de Postfix sauf pour

Security Events
=-=-=-=-=-=-=-=
Nov 3 01:44:27 localhost postfix/smtpd[14024]: NOQUEUE: reject: RCPT fro m
219-84-8-16-adsl-tpe.dynamic.so-net.net.tw[219.84.8.16]: 554 <dvdr_mail20 :
Relay access denied; from= to= .com.cn>
proto=SMTP

C'est bien une tentative de relay?

oui

Dois-je avertir quelqu'un?

non. Une adresse à taiwan, je doute que tu obtiennes quoi que ce
soit....

Du coup j'ai installé harden, désinstallé le ftp, telnet et des ser vices d'inetd, au profit de ssh en interdisant
la connexion ssh de root, j'utilise plutôt su. J'ai aussi configuré i ptable avec firestarter pour n'ouvrir que
les ports pour Apache , ssh, et dns, mais dans un provhe avenir je vais u tiliser le smtp et le pop.

Que puis-je faire de plus pour sécutisé ma Debian chérie? et surtou t ssh car depuis le message du 2 nov ci-dessus
j'ai eu encore pleins de tentatives!

modifier les ports d'écoute? Mais il y a des ports standards, autant les
utiliser; ce qui compte vraiment c'est que ton système soit à jour et
bien configuré.
Par contre il peut etre intéressant de loguer/droper les paquets qui
viennent d'ip [de groupes d'ip] qui reviennent souvent; par ex:

whois 219.84.8.16

% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 219.84.0.0 - 219.85.255.255
netname: SONET-NET
country: TW
descr: Sony Network Taiwan Limited
descr: 2Fl., Building E, No. 19-13, San Chung Road
descr: Taipei Taiwan 115
admin-c: JC417-AP
tech-c: CC115-AP
status: ALLOCATED PORTABLE
changed: 20031125
mnt-by: MAINT-TW-TWNIC
source: APNIC

Si tu n'es pas censé recevoir de connexion de taiwan, tu drop les
paquets provenant de la classe d'adresses retournée:

#iptables -t filter -A INPUT -i eth0 -s 219.84.0.0/15 -j DROP

Ou si les ip depuis lesquelles tu te connectes au ssh sont connues, tu
les autorises explicitement et tu drop toutes les autres:

#iptables -t filter -A INPUT -i eth0 -s !w.x.y.z --dport 22 -j DROP

J'espère avoir été assez clair.

Christophe

++ ;)

--
-----------------------------------------------------------------------
Ma clé GPG est disponible sur http://www.keyserver.net (F15B8BAD)
-----------------------------------------------------------------------
_____________________________________________________
| Protégez votre vie privée: |
|||/ | - Signez/chiffrez vos messages. __|
q o - p | Respectez celle des autres: | /
__mn___^_/_nm__| - Masquez les destinataires de vos mailings |/
|__________________________________________________/

--=-hjIqw3D+LYb8ttfIMNYt
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: This is a digitally signed message part

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQBDb4FYCXnTgfFbi60RAlR9AKCEvEaSVcpTlUu+2y8SFCIZjh+X0ACferHZ
YE7H+1wfD4j+1V5Rs2pJwwI =ia5D
-----END PGP SIGNATURE-----

--=-hjIqw3D+LYb8ttfIMNYt--

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

christophe Lincoln (leks)

08/11/2005 à 00:00

Merci pour les réponses, je suis rassuré!

J'ajouterais que Debian mérite amplement sa réputation, de distro sécurisée.

J'crois que je pourrais même écrire un poème sur ma distro chérie

tellement je suis content d'elle.

Christophe

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Charles Plessy

08/11/2005 à 00:30

On Mon, Nov 07, 2005 at 05:31:21PM +0100, manioul wrote :

Par contre il peut etre intéressant de loguer/droper les paquets qui
viennent d'ip [de groupes d'ip] qui reviennent souvent; par ex:

Bonjour à tous,

ça fait quelques semaines que je blackliste avec shorewall les ips des
machines déblatérant leur dictionnaire de mots de passe à mon serveur
ssh, et j'ai configuré shorewall pour qu'il journalise les nouvelles
tentatives de connexion.

Dans l'immense majorité des cas, il n'y en a pas. J'ai l'impression de
perdre mon temps, mais je vais continuer un tout petit peu, pour voir si
ça pourrait valoir le coup de mettre tout un sous-réseau sur liste
noire.

À ce propos, n'y a-t-il pas de liste noire publique ?

--
Charles

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Claude Reveret

09/11/2005 à 00:30

Le Lundi 07 Novembre 2005 23:28, christophe Lincoln (leks) a écrit :

Merci pour les réponses, je suis rassuré!

J'ajouterais que Debian mérite amplement sa réputation, de distro
sécurisée.

J'crois que je pourrais même écrire un poème sur ma distro chérie

tellement je suis content d'elle.

Christophe

Vérifie tout de même que dans le fichier
/etc/ssh/sshd_config
la valeur
PermitRootLogin est bien à no
Il me semble que par défaut la valeur est à yes.

On est jamais trop prudent.

--
@+, claude

Mieux vaut s'attendre au prévisible que d'être surpris par l'inattendu.
-+- Pierre Dac -+-

christophe Lincoln (leks)

09/11/2005 à 02:10

Claude Reveret a écrit :

Le Lundi 07 Novembre 2005 23:28, christophe Lincoln (leks) a écrit :

Merci pour les réponses, je suis rassuré!

J'ajouterais que Debian mérite amplement sa réputation, de distro
sécurisée.

J'crois que je pourrais même écrire un poème sur ma distro chérie

tellement je suis content d'elle.

Christophe

Vérifie tout de même que dans le fichier
/etc/ssh/sshd_config
la valeur
PermitRootLogin est bien à no
Il me semble que par défaut la valeur est à yes.

Effectivement la valeur est à yes par défaut, j'avais déjà changé et j'utilise

su ou sudo.

On est jamais trop prudent.

C'est juste.

Merci encore à tous pour les réponses

Christophe

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Machine scanée, tentatice d'accès par ssh dénié et relay smtp refusé

6 réponses

Veuillez sélectionner un problème