tentative Force Brute sur mon ftp

Le Sat, 21 Mar 2009 22:35:02 +0100
Vincent Besse <vincent@ouhena.org> a écrit:

On Sat, 21 Mar 2009 13:53:34 +0100
dju` <dju@elegiac.net> wrote:

> julien@nura.eu a écrit :
> > Salut,
> >
> > As-tu mis un bon mot de passe root ? root123 ?

C' était un savant mélange de chiffres/minuscules/majuscules
sur 8 caractères. Ce qui me laisse penser que c' est pas une simple
force brute de djeuns qui en est venue à bout (mais je peux tout à fait
pêcher par naïveté). D' où ma question sur comment reconnaitre une
attaque menée sur plusieurs fronts, si j' ai bien compris F. Boisson.

Bizarre quand même, j'imagine que tu as changé ton mot de passe et
qu'il est définitevement cramé. Dans l'épisode dont je parle, les gars
ont essayé des dizaines de milliers de logins avec 2 ou 3 mots de passe,
les chances de tomber sur un mot de passe bon avec le bon login sont
nulles chez moi (mettons comme mes chances de gagner au loto (si
j'y jouais))

Extrait des logs de l'époque (qui étaient kilométrique):

Le 26 Novembre:
59.6.185.39: 1 time
carlen/keyboard-interactive/pam: 1 time
59.37.75.23: 4 times
broderick/keyboard-interactive/pam: 1 time
cala/keyboard-interactive/pam: 1 time
carlos/keyboard-interactive/pam: 1 time
carmen/keyboard-interactive/pam: 1 time
59.124.224.95 (59-124-224-95.HINET-IP.hinet.net): 6 times
brinley/keyboard-interactive/pam: 1 time
brody/keyboard-interactive/pam: 1 time
caitlyn/keyboard-interactive/pam: 1 time
callista/keyboard-interactive/pam: 1 time
candra/keyboard-interactive/pam: 1 time
ceri/keyboard-interactive/pam: 1 time
61.4.210.33: 2 times
callia/keyboard-interactive/pam: 1 time
carolos/keyboard-interactive/pam: 1 time
61.47.31.130: 3 times
bryant/keyboard-interactive/pam: 1 time
cam/keyboard-interactive/pam: 1 time
cavan/keyboard-interactive/pam: 1 time
61.135.234.7: 1 time
capucine/keyboard-interactive/pam: 1 time
61.152.107.62: 1 time
brittania/keyboard-interactive/pam: 1 time
61.172.200.198: 2 times

le 20 décembre:

71.63.229.140 (c-71-63-229-140.hsd1.mn.comcast.net): 6 times
nimrod/keyboard-interactive/pam: 1 time
nituna/keyboard-interactive/pam: 1 time
niyati/keyboard-interactive/pam: 1 time
nodin/keyboard-interactive/pam: 1 time
nora/keyboard-interactive/pam: 1 time
nu/keyboard-interactive/pam: 1 time
72.66.191.175 (static-72-66-191-175.ronkva.east.verizon.net): 1 time
noland/keyboard-interactive/pam: 1 time
74.95.165.97 (74-95-165-97-Philadelphia.hfc.comcastbusiness.net): 2 times
ninon/keyboard-interactive/pam: 1 time
noma/keyboard-interactive/pam: 1 time
75.22.172.193 (adsl-75-22-172-193.dsl.sndg02.sbcglobal.net): 3 times
nina/keyboard-interactive/pam: 1 time
nolan/keyboard-interactive/pam: 1 time
norton/keyboard-interactive/pam: 1 time
79.120.226.174: 3 times
ninarika/keyboard-interactive/pam: 1 time
norris/keyboard-interactive/pam: 1 time
nox/keyboard-interactive/pam: 1 time
80.34.55.88 (88.Red-80-34-55.staticIP.rima-tde.net): 1 time
nydia/keyboard-interactive/pam: 1 time
80.38.150.53 (53.Red-80-38-150.staticIP.rima-tde.net): 1 time
nuala/keyboard-interactive/pam: 1 time

Le 31 décembre
211.138.112.242: 3 times
skyla/keyboard-interactive/pam: 2 times
socrates/keyboard-interactive/pam: 1 time
217.96.70.66: 4 times
skylar/keyboard-interactive/pam: 1 time
solana/keyboard-interactive/pam: 1 time
sondra/keyboard-interactive/pam: 1 time
sonya/keyboard-interactive/pam: 1 time
220.194.201.208: 1 time
snowy/keyboard-interactive/pam: 1 time
221.8.255.134: 3 times
skule/keyboard-interactive/pam: 1 time
sohalia/keyboard-interactive/pam: 1 time
sonny/keyboard-interactive/pam: 1 time

J'ai eu droit à tout l'alphabet. Chaque machine faisait 3 connexions au plus
et les logins étaient concertés (par ordre alphabétique). Ça s'est arrêté au
premier Janvier 2009 pile.

>
> Il est aussi possible de mettre en place l'accès SSH par clé asymétrique
> (RSA ou DSA) et de désactiver l'accès par mot de passe.

Ca sera quelque chose dans ce goût-là après réinstallation du bouzin.
Avec sauvegarde de mon trousseau de clefs numériques sur clef USB
attachée à mon trousseau de clefs physiques. Ca devrait me permettre l'
accés SSH depuis n' importe où, à condition que j' y sois :)

Le port-knocking, que je ne connaissais pas, me semble difficilement
compatible avec des accès mobiles. Me trompe-je?

C'est faisable mais si tu veux pouvoir y accéder à partir d'une machine windows
et putty, c'est faisable (avec telnet pour toquer à la porte) mais pas pratique pratique.

François Boisson

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

--001636c5a723bc9b840465a973bd
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

C'est pas pratique car tu dois connaitre la séquence, et si tu est parano ,
la séquence change a chaque connexion, mais la sécurité est a ce prix .

Port-knocking est paramétrable a souhaits ... il y a moyen de faire quelq ue
chose de bien sécuriser ... il suffi de noter les séquences sur un bout de
papier.

J'avais pas mal de tentative de connexion par force brute sur mon serveur
eDonkey, et je dois dire, que c'est la seul technique fiable et simple a
mettre en place que j'ai trouver.

--
In The Donkey We Trust.
xorox5025@gmail.com
ID: 0x393F4A08
Fingerprint: 9170 4DD5 31D5 4C01 1EF2 9852 0DB1 A9E5 393F 4A08

--001636c5a723bc9b840465a973bd
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

C&#39;est pas pratique car tu dois connaitre la séquence, et si tu est pa rano, la séquence change a chaque connexion, mais la sécurité est a c e prix.<br><br>Port-knocking est paramétrable a souhaits ... il y a moyen de faire quelque chose de bien sécuriser ... il suffi de noter les séq uences sur un bout de papier.<br>
<br>J&#39;avais pas mal de tentative de connexion par force brute sur mon s erveur eDonkey, et je dois dire, que c&#39;est la seul technique fiable et simple a mettre en place que j&#39;ai trouver.<br><br>-- <br>In The Donkey We Trust.<br>
<a href="mailto:xorox5025@gmail.com">xorox5025@gmail.com</a><br>ID: 0x393 F4A08<br>Fingerprint: 9170 4DD5 31D5 4C01 1EF2  9852 0DB1 A9E5 393F 4A08< br>

--001636c5a723bc9b840465a973bd--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

Attention avec le port knock,
C'est tres efficace, mais effectivement quand on est mobile, ca peux
etre bloquant.
Si un firewall que tu ne maitrise pas est en place sur ton lieu de
connexion, rien ne dit que tu pourra envoyer la sequence d'ouverture.
De plus si tu mets de l'udp en sequence, windows ne pourra plus tapper
(à moins que t'es les outils d'admin avec portquery, ou que tu te
balade avec netcat111.zip )

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

Bonjour à tous,
Utilisant depuis peu un serveur "perso à la maison" voici se que j'ai mis en place :

j'utilise fail2ban et pure-ftp, à chaque tentative fail2ban bloque les ip pour une heure.
Voici comment je procédé :
Fail2ban bloque l'ip
Je la récupère dans le log de fail2ban ou le log du ftp
Je me rend ici : http://whois.domaintools.com/
Je recherche avec l'ip donné par fail2ban ou le ftp
Je récupère la plage ip (range)
Je la passe à iptables :
/sbin/iptables -A INPUT -m iprange --src-range *********-******* -j DROP

on peux faire de même avec ssh, apache etc.
j'ai eut des tentatives de force brutes venant de Chine, Corée, Liban, Inde, Kasackstan, Usa, Allemagne.

Si ça peut aider.

Martin Jean-Fabrice

--
Using Opera's revolutionary e-mail client: http://www.opera.com/mail/



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

xorox a écrit :

J'utilise port-knocking avec des séquences différente a chaque connexion
pour éviter qu'elle ne puisse être récupérer.

et comment fonctionne ce changement de séquence?
la nouvelle séquence est-elle envoyée par mail, ou communiquée par une
autre méthode?

--
Léon.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

--001636c5ad1b78ad250465bc1e38
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

comment fonctionne ce changement de séquence?
la nouvelle séquence est-elle envoyée par mail, ou communiquée par u ne

autre méthode?

Je n'ai pas vu si il y a cette fonctionnalité, mais il dois être possib le de
créer un petit truc pour ce faire envoyer la séquence suivante , ou de ce la
faire afficher au début de connexion, voir les deux. :)

--
xorox5025@gmail.com
ID: 0x393F4A08
Fingerprint: 9170 4DD5 31D5 4C01 1EF2 9852 0DB1 A9E5 393F 4A08

--001636c5ad1b78ad250465bc1e38
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

&gt;comment fonctionne ce changement de séquence?<br>
&gt;la nouvelle séquence est-elle envoyée par mail, ou communiquée pa r une autre méthode?<br>
<br>Je n&#39;ai pas vu si il y a cette fonctionnalité, mais il dois êtr e possible de créer un petit truc pour ce faire envoyer la séquence sui vante , ou de ce la faire afficher au début de connexion, voir les deux. :)<br clear="all">
<br>-- <br><a href="mailto:xorox5025@gmail.com">xorox5025@gmail.com</a><b r>ID: 0x393F4A08<br>Fingerprint: 9170 4DD5 31D5 4C01 1EF2  9852 0DB1 A9E5 393F 4A08<br>

--001636c5ad1b78ad250465bc1e38--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

> Bonjour à tous,

Bonjour,

Utilisant depuis peu un serveur "perso à la maison" voici se que j'ai m is en
place :

j'utilise fail2ban et pure-ftp, à chaque tentative fail2ban bloque les ip
pour une heure.

Je confirme. Fail2ban fonctionne très efficacement - si les regex sont
à jour. Au pire, ça n'est pas très difficile à trouver via le
repository volatile (de mémoire).
Pour les attaques SSH, j'utilise denyhost.

R.O.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org