Que faire d'un log d'une attaque sur ssh ?

Si c est une vrai tentative d'intrusion
Envoyez un mail + copie du log a abuse@ton_fai.com
Si l attaque provient effectivement de cette IP je parie sur un
boutonneux en mal de faire des conneries ;-)





Le lundi 17 octobre 2005 à 22:56 +0200, Jody a écrit :

Bonjour,

J'ai dans mon auth.log une liste de tentatives de connection à un
serveur ssh, une par seconde.

L'adresse ip provient d'un FAI français (d'aprés le résult at de whois)

Impressionnant le nombre d'identifiants utilisateurs testés en quelq ues
temps.

Que puis-je, que dois je faire de ces journaux ?

D'avance, merci.



Jody

Le Mon, 17 Oct 2005 22:56:16 +0200
Jody <jody.noury@linucie.net> a écrit:

Bonjour,

J'ai dans mon auth.log une liste de tentatives de connection à un
serveur ssh, une par seconde.

L'adresse ip provient d'un FAI français (d'aprés le résultat de whois)

Impressionnant le nombre d'identifiants utilisateurs testés en quelques
temps.

Que puis-je, que dois je faire de ces journaux ?

francois@cerbere:~$ grep -c " Failed password" /var/log/auth.log
650
francois@cerbere:~$ grep -c " Failed password" /var/log/auth.log.0
2263
francois@cerbere:~$ grep " Failed password" /var/log/auth.log.0
| awk '{print $11}' |uniq | grep -c ""
20
francois@cerbere:~$ grep " Failed password" /var/log/auth.log
| awk '{print $11}' |uniq | grep -c ""
16
francois@cerbere:~$

En clair chez moi, un 20 de gus par semaine essaye d'entrer sur la
machine avec en gros une cantaine d'essais à chaque fois. En gros 10%
ont un programme de test suffisament complet pour que 95% de mes comptes
soient testés. Les adressses IP sur la dernière semaine sont les
suivantes:

147.46.132.237
158.42.204.26
202.141.1.21
202.194.3.67
210.51.189.186
218.153.147.92
220.133.80.16
59.120.58.248
65.66.145.145
66.221.74.212
66.90.73.235
82.33.118.31
83.17.58.154

Bref, du très banal. Tu peux toujours envoyer au FAI mais ça sera
confié à l'inspecteur Aupanier...


François Boisson


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Le lundi 17 octobre 2005 à 23:21 +0200, François Boisson a é crit :

Bref, du très banal. Tu peux toujours envoyer au FAI mais ça se ra
confié à l'inspecteur Aupanier...

C est sur ! a moins de deposer une plainte et d'envoyer la copie au fai

Le Mon, 17 Oct 2005 23:00:12 +0200, Jody a écrit :

Bonjour,

J'ai dans mon auth.log une liste de tentatives de connection à un
serveur ssh, une par seconde.

L'adresse ip provient d'un FAI français (d'aprés le résultat de whois)

Impressionnant le nombre d'identifiants utilisateurs testés en quelques
temps.

Que puis-je, que dois je faire de ces journaux ?

D'avance, merci.



Jody

Pas grand-chose, ces attaques sont je pense dues à des vers qui se
propagent sur les postes Windows par le réseau, et donc c'est difficile
de savoir d'où elles proviennent. Une chose est sûre, les personnes a
qui correspondent ces IP n'y sont pour rien, il sont comme toi des
victimes. Moi même je reçois beaucoup de tentatives de connexion sur mon
serveur web, d'adresses IP free. La seule chose à faire est, je pense, de
s'assurer le la solidité de la sécurité sur ton serveur, qui je pense
est bonne (sinon tu aurais déjà eu des soucis !)

--
Clément Plantier


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Clément Plantier a écrit :

Le Mon, 17 Oct 2005 23:00:12 +0200, Jody a écrit :

Bonjour,

J'ai dans mon auth.log une liste de tentatives de connection à un
serveur ssh, une par seconde.

L'adresse ip provient d'un FAI français (d'aprés le résultat de
whois)

Impressionnant le nombre d'identifiants utilisateurs testés en
quelques temps.

Que puis-je, que dois je faire de ces journaux ?

D'avance, merci.



Jody

Pas grand-chose, ces attaques sont je pense dues à des vers qui se
propagent sur les postes Windows par le réseau, et donc c'est
difficile de savoir d'où elles proviennent. Une chose est sûre, les
personnes a qui correspondent ces IP n'y sont pour rien, il sont
comme toi des victimes. Moi même je reçois beaucoup de tentatives
de connexion sur mon serveur web, d'adresses IP free. La seule
chose à faire est, je pense, de s'assurer le la solidité de la
sécurité sur ton serveur, qui je pense est bonne (sinon tu aurais
déjà eu des soucis !)

Effectivement...
J'avais lu sur le web una rticle sur un script permettant de bannir
temporairement
l'acces au serveur depuis ces ip.

je sais plus si c'etait en bash, ou perl... peu importe, je pense que
ce genre de script
va devenir de plus en plus pratique avec le temps.

Certains parmis vous ont des infos ou des liens dessus avant que je
m'y mette depuis zero?

- ----
Nicolas Martinez
http://www.generation-libre.com
Site d'entraide et d'informations sur les logiciels libres.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFDVBn2TjhuX2IovwsRAr5FAJ9cQ6ZafizosnVaSgDn92ebZtH9QgCgg2M6
nmg4tlOlsVXdS4ln1PnVIxE =sSgD
-----END PGP SIGNATURE-----


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Jody wrote:

Bonjour,

J'ai dans mon auth.log une liste de tentatives de connection à un
serveur ssh, une par seconde.

L'adresse ip provient d'un FAI français (d'aprés le résultat de whois)

Impressionnant le nombre d'identifiants utilisateurs testés en
quelques temps.

Que puis-je, que dois je faire de ces journaux ?

D'avance, merci.



Jody

Change le port de ssh, n'utilise pas le 22
Leurs script sont assez primaires, un changement de port et ils sont
perdu.
ils testent des login du genre login: admin pwd: admin
C'est stupid mais ca marche trop souvent.

Georges


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

--=-uZcsBmLDGeDeoJ2HUUxN
Content-Type: text/plain; charset=ISO-8859-15
Content-Transfer-Encoding: quoted-printable

Le lundi 17 octobre 2005 à 23:39 +0200, Martinez Nicolas a écrit :

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Clément Plantier a écrit :

> Le Mon, 17 Oct 2005 23:00:12 +0200, Jody a écrit :
>
>> Bonjour,
>>
>> J'ai dans mon auth.log une liste de tentatives de connection à un
>> serveur ssh, une par seconde.
>>
>> L'adresse ip provient d'un FAI français (d'aprés le résultat de
>> whois)
>>
>> Impressionnant le nombre d'identifiants utilisateurs testés en
>> quelques temps.
>>
>> Que puis-je, que dois je faire de ces journaux ?

tu peux toujours rechercher à quel fai appartient l'ip et envoyer un
mail à abuse@fai-de-l'intrus; ça ne servira pas forcément à grand
chose...

>>
Effectivement...
J'avais lu sur le web una rticle sur un script permettant de bannir
temporairement
l'acces au serveur depuis ces ip.

portsentry peut, je pense faire l'affaire; il permet de bannir les ip
qui tentent des scans en ajoutant des règles au fw.
Sinon, tu grep auth.log et tu ajoutes les règles au fw; ça peut se
scripter facilement. Mais dans la mesure où il ne s'agit pas vraiment
d'attaque (ça reste ponctuel dans le temps), tu risques de bloquer des
ip d'innocents... C'est pourquoi, je pense qu'une solution plus réactive
(portsentry) est mieux adaptée.

je sais plus si c'etait en bash, ou perl... peu importe, je pense que
ce genre de script
va devenir de plus en plus pratique avec le temps.

Certains parmis vous ont des infos ou des liens dessus avant que je
m'y mette depuis zero?

- ----
Nicolas Martinez
http://www.generation-libre.com
Site d'entraide et d'informations sur les logiciels libres.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFDVBn2TjhuX2IovwsRAr5FAJ9cQ6ZafizosnVaSgDn92ebZtH9QgCgg2M6
nmg4tlOlsVXdS4ln1PnVIxE=
=sSgD
-----END PGP SIGNATURE-----

--
-----------------------------------------------------------------------
Ma clé GPG est disponible sur http://www.keyserver.net
-----------------------------------------------------------------------
_____________________________________________________
| Protégez votre vie privée: |
|||/ | - Signez/chiffrez vos messages. __|
q o - p | Respectez celle des autres: | /
__mn___^_/_nm__| - Masquez les destinataires de vos mailings |/
|__________________________________________________/


--=-uZcsBmLDGeDeoJ2HUUxN
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: This is a digitally signed message part

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQBDVCSccsdrgK9aigMRAhzsAKDAi8MVyVe9wPG3bQtqdsrK84Dv9wCfbn8c
ezYwB7G1kNRAkEWJkpvRbb0 =BO1y
-----END PGP SIGNATURE-----

--=-uZcsBmLDGeDeoJ2HUUxN--


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Georges Roux a écrit :

Jody wrote:

Bonjour,

J'ai dans mon auth.log une liste de tentatives de connection à un
serveur ssh, une par seconde.

L'adresse ip provient d'un FAI français (d'aprés le résultat de whois)

Impressionnant le nombre d'identifiants utilisateurs testés en
quelques temps.

Que puis-je, que dois je faire de ces journaux ?

D'avance, merci.



Jody

Change le port de ssh, n'utilise pas le 22
Leurs script sont assez primaires, un changement de port et ils sont
perdu.
ils testent des login du genre login: admin pwd: admin
C'est stupid mais ca marche trop souvent.

Georges

il me semble aussi que changer le port devrait suffir à tromper la
plupart des vers. J'ai aussi un serveur ssh et ftp sur des ports en
30000 et 40000 et je n'ai jamais eu de pareils logs...

Sylvain


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Install fail2ban avec apt-get c'est outil qui résoudra tes problèmes...


Decastel Sylvain a écrit :

Georges Roux a écrit :

Jody wrote:

Bonjour,

J'ai dans mon auth.log une liste de tentatives de connection à un
serveur ssh, une par seconde.

L'adresse ip provient d'un FAI français (d'aprés le résultat de whois)

Impressionnant le nombre d'identifiants utilisateurs testés en
quelques temps.

Que puis-je, que dois je faire de ces journaux ?

D'avance, merci.



Jody

Change le port de ssh, n'utilise pas le 22
Leurs script sont assez primaires, un changement de port et ils sont
perdu.
ils testent des login du genre login: admin pwd: admin
C'est stupid mais ca marche trop souvent.

Georges

il me semble aussi que changer le port devrait suffir à tromper la
plupart des vers. J'ai aussi un serveur ssh et ftp sur des ports en
30000 et 40000 et je n'ai jamais eu de pareils logs...

Sylvain

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

manioul a écrit :

Le lundi 17 octobre 2005 à 23:39 +0200, Martinez Nicolas a écrit :

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Clément Plantier a écrit :

...

Effectivement...
J'avais lu sur le web una rticle sur un script permettant de bannir
temporairement
l'acces au serveur depuis ces ip.

portsentry peut, je pense faire l'affaire; il permet de bannir les ip
qui tentent des scans en ajoutant des règles au fw.
Sinon, tu grep auth.log et tu ajoutes les règles au fw; ça peut se
scripter facilement. Mais dans la mesure où il ne s'agit pas vraiment
d'attaque (ça reste ponctuel dans le temps), tu risques de bloquer des
ip d'innocents... C'est pourquoi, je pense qu'une solution plus réactive
(portsentry) est mieux adaptée.

la cible *recent* d'ipables permet de le faire simplement. Il faut que
le module soit compilé dans le noyau.
Un petit lien en anglais : http://www.debian-administration.org/articles/187

--
Looking for open-xchange packages for debian sarge?
Look at http://debian.gallet.info/search.do?config=htdig&words=mirror+open-xchange+org.


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org