J'ai grand besoin de vos connaissances pour tenter de comprendre
certaines lignes de mes fichiers log.
J'ai une centaine de passerelle linux installées dans des écoles
primaires rémoises et alentour. 2 cartes réseau, iptables,
squid+squidguard, openssh...etc..rien que de très classique.
Sur la plupart de ces passerelles je relève dans /var/log/messages ce
genre de lignes répétées des dizaines de fois par intervalles quasiment
réguliers de 2 ou 3 s (051xxxx c'est le nom netbios)
Mais j'ai aussi ça (ds les même conditions (spleen c'est le nom netbios)
Oct 28 18:37:16 spleen sshd[5552]: Illegal user data from 212.98.241.4
Oct 28 18:37:18 spleen sshd[5554]: Illegal user user from 212.98.241.4
Oct 28 18:37:19 spleen sshd[5556]: Illegal user user from 212.98.241.4
Oct 28 18:37:20 spleen sshd[5558]: Illegal user user from 212.98.241.4
Oct 28 18:37:22 spleen sshd[5560]: Illegal user web from 212.98.241.4
Oct 28 18:37:23 spleen sshd[5562]: Illegal user web from 212.98.241.4
Oct 28 18:37:25 spleen sshd[5564]: Illegal user oracle from 212.98.241.4
Oct 28 18:37:26 spleen sshd[5566]: Illegal user sybase from 212.98.241.4
Oct 28 18:37:27 spleen sshd[5568]: Illegal user master from 212.98.241.4
Oct 28 18:37:29 spleen sshd[5570]: Illegal user account from 212.98.241.4
etc...
et très souvent aussi ça:
Oct 28 18:36:13 spleen sshd[5462]: Failed password for root from
212.98.241.4 port 51785 ssh2
Oct 28 18:36:14 spleen sshd[5464]: Failed password for root from
212.98.241.4 port 51817 ssh2
Oct 28 18:36:15 spleen sshd[5466]: Failed password for root from
212.98.241.4 port 51840 ssh2
Oct 28 18:36:17 spleen sshd[5468]: Failed password for root from
212.98.241.4 port 51869 ssh2
Oct 28 18:36:18 spleen sshd[5470]: Failed password for root from
212.98.241.4 port 51899 ssh2
Oct 28 18:36:19 spleen sshd[5472]: Failed password for root from
212.98.241.4 port 51921 ssh2
Oct 28 18:36:21 spleen sshd[5474]: Failed password for root from
212.98.241.4 port 51950 ssh2
Oct 28 18:36:22 spleen sshd[5476]: Failed password for root from
212.98.241.4 port 51972 ssh2
Oct 28 18:36:24 spleen sshd[5478]: Failed password for root from
212.98.241.4 port 51997 ssh2
Oct 28 18:36:25 spleen sshd[5480]: Failed password for root from
212.98.241.4 port 52032 ssh2
Oct 28 18:36:26 spleen sshd[5482]: Failed password for root from
212.98.241.4 port 52057 ssh2
Oct 28 18:36:28 spleen sshd[5484]: Failed password for root from
212.98.241.4 port 52082 ssh2
Je crois comprendre que c'est qqun qui essaie de rentrer par ssh mais
pourquoi les lignes sont-elles différentes? Est ce une appli qui fait ça?
Est-il possible d'expliquer en qq mots de quoi il s'agit ou de
m'orienter vers un site où je pourrai tenter de comprendre.
Merci de votre aide
VG
Ce sont les logs de PAM qui est le système d'authentification de Linux. Il t'informe donc que l'utilisateur root n'a pas pu se connecter.
Oct 28 18:37:16 spleen sshd[5552]: Illegal user data from 212.98.241.4 Oct 28 18:37:18 spleen sshd[5554]: Illegal user user from 212.98.241.4 Oct 28 18:37:19 spleen sshd[5556]: Illegal user user from 212.98.241.4 Oct 28 18:37:20 spleen sshd[5558]: Illegal user user from 212.98.241.4 Oct 28 18:37:22 spleen sshd[5560]: Illegal user web from 212.98.241.4 Oct 28 18:37:23 spleen sshd[5562]: Illegal user web from 212.98.241.4 Oct 28 18:37:25 spleen sshd[5564]: Illegal user oracle from 212.98.241.4 Oct 28 18:37:26 spleen sshd[5566]: Illegal user sybase from 212.98.241.4 Oct 28 18:37:27 spleen sshd[5568]: Illegal user master from 212.98.241.4 Oct 28 18:37:29 spleen sshd[5570]: Illegal user account from 212.98.241.4 etc...
Ça, ce sont les logs de ssh qui indiquent que quelqu'un a tenté de se connecter avec un utilisateur inexistant.
et très souvent aussi ça: Oct 28 18:36:13 spleen sshd[5462]: Failed password for root from 212.98.241.4 port 51785 ssh2 Oct 28 18:36:14 spleen sshd[5464]: Failed password for root from 212.98.241.4 port 51817 ssh2 Oct 28 18:36:15 spleen sshd[5466]: Failed password for root from 212.98.241.4 port 51840 ssh2
Ça, c'est ssh qui fait remonter l'erreur de PAM.
Ce genre d'attaques est très courant actuellement. Tu ne dois t'inquiéter que si leur fréquence est trop élevée (ici, je les reçois une fois toutes les 2 heures). Il est probable que ce soit un robot qui moissonne en cherchant des comptes mal protégés. Note que sur ta machine, root a le droit de se logguer en ssh. C'est peut-être superflu. -- GARLIC GUM IS NOT FUNNY GARLIC GUM IS NOT FUNNY GARLIC GUM IS NOT FUNNY -+- Bart Simpson on chalkboard in episode 7G13
OoO En cette matinée ensoleillée du vendredi 29 octobre 2004, vers
09:26, Vincent GAUVIN <vincent.gauvin.invalid@ac-reims.invalid.fr>
disait:
Ce sont les logs de PAM qui est le système d'authentification de
Linux. Il t'informe donc que l'utilisateur root n'a pas pu se
connecter.
Oct 28 18:37:16 spleen sshd[5552]: Illegal user data from 212.98.241.4
Oct 28 18:37:18 spleen sshd[5554]: Illegal user user from 212.98.241.4
Oct 28 18:37:19 spleen sshd[5556]: Illegal user user from 212.98.241.4
Oct 28 18:37:20 spleen sshd[5558]: Illegal user user from 212.98.241.4
Oct 28 18:37:22 spleen sshd[5560]: Illegal user web from 212.98.241.4
Oct 28 18:37:23 spleen sshd[5562]: Illegal user web from 212.98.241.4
Oct 28 18:37:25 spleen sshd[5564]: Illegal user oracle from 212.98.241.4
Oct 28 18:37:26 spleen sshd[5566]: Illegal user sybase from 212.98.241.4
Oct 28 18:37:27 spleen sshd[5568]: Illegal user master from 212.98.241.4
Oct 28 18:37:29 spleen sshd[5570]: Illegal user account from 212.98.241.4
etc...
Ça, ce sont les logs de ssh qui indiquent que quelqu'un a tenté de se
connecter avec un utilisateur inexistant.
et très souvent aussi ça:
Oct 28 18:36:13 spleen sshd[5462]: Failed password for root from
212.98.241.4 port 51785 ssh2
Oct 28 18:36:14 spleen sshd[5464]: Failed password for root from
212.98.241.4 port 51817 ssh2
Oct 28 18:36:15 spleen sshd[5466]: Failed password for root from
212.98.241.4 port 51840 ssh2
Ça, c'est ssh qui fait remonter l'erreur de PAM.
Ce genre d'attaques est très courant actuellement. Tu ne dois
t'inquiéter que si leur fréquence est trop élevée (ici, je les reçois
une fois toutes les 2 heures). Il est probable que ce soit un robot
qui moissonne en cherchant des comptes mal protégés. Note que sur ta
machine, root a le droit de se logguer en ssh. C'est peut-être
superflu.
--
GARLIC GUM IS NOT FUNNY
GARLIC GUM IS NOT FUNNY
GARLIC GUM IS NOT FUNNY
-+- Bart Simpson on chalkboard in episode 7G13
Ce sont les logs de PAM qui est le système d'authentification de Linux. Il t'informe donc que l'utilisateur root n'a pas pu se connecter.
Oct 28 18:37:16 spleen sshd[5552]: Illegal user data from 212.98.241.4 Oct 28 18:37:18 spleen sshd[5554]: Illegal user user from 212.98.241.4 Oct 28 18:37:19 spleen sshd[5556]: Illegal user user from 212.98.241.4 Oct 28 18:37:20 spleen sshd[5558]: Illegal user user from 212.98.241.4 Oct 28 18:37:22 spleen sshd[5560]: Illegal user web from 212.98.241.4 Oct 28 18:37:23 spleen sshd[5562]: Illegal user web from 212.98.241.4 Oct 28 18:37:25 spleen sshd[5564]: Illegal user oracle from 212.98.241.4 Oct 28 18:37:26 spleen sshd[5566]: Illegal user sybase from 212.98.241.4 Oct 28 18:37:27 spleen sshd[5568]: Illegal user master from 212.98.241.4 Oct 28 18:37:29 spleen sshd[5570]: Illegal user account from 212.98.241.4 etc...
Ça, ce sont les logs de ssh qui indiquent que quelqu'un a tenté de se connecter avec un utilisateur inexistant.
et très souvent aussi ça: Oct 28 18:36:13 spleen sshd[5462]: Failed password for root from 212.98.241.4 port 51785 ssh2 Oct 28 18:36:14 spleen sshd[5464]: Failed password for root from 212.98.241.4 port 51817 ssh2 Oct 28 18:36:15 spleen sshd[5466]: Failed password for root from 212.98.241.4 port 51840 ssh2
Ça, c'est ssh qui fait remonter l'erreur de PAM.
Ce genre d'attaques est très courant actuellement. Tu ne dois t'inquiéter que si leur fréquence est trop élevée (ici, je les reçois une fois toutes les 2 heures). Il est probable que ce soit un robot qui moissonne en cherchant des comptes mal protégés. Note que sur ta machine, root a le droit de se logguer en ssh. C'est peut-être superflu. -- GARLIC GUM IS NOT FUNNY GARLIC GUM IS NOT FUNNY GARLIC GUM IS NOT FUNNY -+- Bart Simpson on chalkboard in episode 7G13
Gilles Berger Sabbatel
On Fri, 29 Oct 2004 07:43:44 +0000, Vincent Bernat wrote:
Ce genre d'attaques est très courant actuellement. Tu ne dois t'inquiéter que si leur fréquence est trop élevée (ici, je les reçois une fois toutes les 2 heures).
Toutes les machines ne sont pas égales devant ce type d'attaque : sur 4 machines dont je surveille régulièrement les logs, il y a une qui est particulièrement visée, avec ce genre de tentatives sur root toutes les trois secondes. Les autres ont des attaques moins intensives et moins fréquentes... Je pense que le ver qui lance ses attaques doit avoir un petit défaut dans son algorithme de génération des adresses!
Il est probable que ce soit un robot qui moissonne en cherchant des comptes mal protégés.
C'est cela, en effet.
Note que sur ta machine, root a le droit de se logguer en ssh. C'est peut-être superflu.
Quelques règles à mettre dans /etc/sshd_config pour limiter les risques (qui sont quasiment nuls si les mots de passe sont sérieux) :
- si root n'a pas besoin de se logger par ssh : PermitRootLogin no - sinon : PermitRootLogin without-password Cela ne signifie pas que root peut se logger sans mot de passe, cela signifie que root n'est autorisé que pour les utilisateurs dont la clef publique est enregistrée dans ~root/.ssh/authorized_keys.
AllowGroups xxx yyy N'autoriser que les utilisateurs des groupes xxx et yyy à se connecter (ce qui exclue en particulier tous les comptes administratifs).
VerifyReverseMapping yes Vérifie que l'adresse de la machine cliente correspond bien à un nom, et que ce nom correspond bien à l'adresse.
On Fri, 29 Oct 2004 07:43:44 +0000, Vincent Bernat wrote:
Ce genre d'attaques est très courant actuellement. Tu ne dois
t'inquiéter que si leur fréquence est trop élevée (ici, je les
reçois une fois toutes les 2 heures).
Toutes les machines ne sont pas égales devant ce type d'attaque : sur 4
machines dont je surveille régulièrement les logs, il y a une qui est
particulièrement visée, avec ce genre de tentatives sur root toutes les
trois secondes. Les autres ont des attaques moins intensives et moins
fréquentes... Je pense que le ver qui lance ses attaques doit avoir un
petit défaut dans son algorithme de génération des adresses!
Il est probable que ce soit un
robot qui moissonne en cherchant des comptes mal protégés.
C'est cela, en effet.
Note que
sur ta machine, root a le droit de se logguer en ssh. C'est
peut-être superflu.
Quelques règles à mettre dans /etc/sshd_config pour limiter les risques
(qui sont quasiment nuls si les mots de passe sont sérieux) :
- si root n'a pas besoin de se logger par ssh :
PermitRootLogin no
- sinon :
PermitRootLogin without-password
Cela ne signifie pas que root peut se logger sans mot de passe, cela
signifie que root n'est autorisé que pour les utilisateurs dont la clef
publique est enregistrée dans ~root/.ssh/authorized_keys.
AllowGroups xxx yyy
N'autoriser que les utilisateurs des groupes xxx et yyy à se connecter
(ce qui exclue en particulier tous les comptes administratifs).
VerifyReverseMapping yes
Vérifie que l'adresse de la machine cliente correspond bien à un nom, et
que ce nom correspond bien à l'adresse.
On Fri, 29 Oct 2004 07:43:44 +0000, Vincent Bernat wrote:
Ce genre d'attaques est très courant actuellement. Tu ne dois t'inquiéter que si leur fréquence est trop élevée (ici, je les reçois une fois toutes les 2 heures).
Toutes les machines ne sont pas égales devant ce type d'attaque : sur 4 machines dont je surveille régulièrement les logs, il y a une qui est particulièrement visée, avec ce genre de tentatives sur root toutes les trois secondes. Les autres ont des attaques moins intensives et moins fréquentes... Je pense que le ver qui lance ses attaques doit avoir un petit défaut dans son algorithme de génération des adresses!
Il est probable que ce soit un robot qui moissonne en cherchant des comptes mal protégés.
C'est cela, en effet.
Note que sur ta machine, root a le droit de se logguer en ssh. C'est peut-être superflu.
Quelques règles à mettre dans /etc/sshd_config pour limiter les risques (qui sont quasiment nuls si les mots de passe sont sérieux) :
- si root n'a pas besoin de se logger par ssh : PermitRootLogin no - sinon : PermitRootLogin without-password Cela ne signifie pas que root peut se logger sans mot de passe, cela signifie que root n'est autorisé que pour les utilisateurs dont la clef publique est enregistrée dans ~root/.ssh/authorized_keys.
AllowGroups xxx yyy N'autoriser que les utilisateurs des groupes xxx et yyy à se connecter (ce qui exclue en particulier tous les comptes administratifs).
VerifyReverseMapping yes Vérifie que l'adresse de la machine cliente correspond bien à un nom, et que ce nom correspond bien à l'adresse.
Pascal
Salut,
Gilles Berger Sabbatel wrote:
Quelques règles à mettre dans /etc/sshd_config pour limiter les risques (qui sont quasiment nuls si les mots de passe sont sérieux) : [...]
VerifyReverseMapping yes Vérifie que l'adresse de la machine cliente correspond bien à un nom, et que ce nom correspond bien à l'adresse.
Quel est l'intérêt de cette vérification, et que se passe-t-il si elle échoue ? Je me connecte régulièrement sur mon serveur depuis une adresse IP qui n'a pas de reverse (c'est peut-être mal mais c'est comme ça et je n'ai aucun contrôle dessus).
Salut,
Gilles Berger Sabbatel wrote:
Quelques règles à mettre dans /etc/sshd_config pour limiter les risques
(qui sont quasiment nuls si les mots de passe sont sérieux) :
[...]
VerifyReverseMapping yes
Vérifie que l'adresse de la machine cliente correspond bien à un nom, et
que ce nom correspond bien à l'adresse.
Quel est l'intérêt de cette vérification, et que se passe-t-il si elle
échoue ?
Je me connecte régulièrement sur mon serveur depuis une adresse IP qui
n'a pas de reverse (c'est peut-être mal mais c'est comme ça et je n'ai
aucun contrôle dessus).
Quelques règles à mettre dans /etc/sshd_config pour limiter les risques (qui sont quasiment nuls si les mots de passe sont sérieux) : [...]
VerifyReverseMapping yes Vérifie que l'adresse de la machine cliente correspond bien à un nom, et que ce nom correspond bien à l'adresse.
Quel est l'intérêt de cette vérification, et que se passe-t-il si elle échoue ? Je me connecte régulièrement sur mon serveur depuis une adresse IP qui n'a pas de reverse (c'est peut-être mal mais c'est comme ça et je n'ai aucun contrôle dessus).
Vincent Bernat
OoO Pendant le journal télévisé du vendredi 29 octobre 2004, vers 20:31, "" disait:
VerifyReverseMapping yes Vérifie que l'adresse de la machine cliente correspond bien à un nom, et que ce nom correspond bien à l'adresse.
Quel est l'intérêt de cette vérification, et que se passe-t-il si elle échoue ?
Imagine que tu autorises tout le domaine machin.fr à se connecter en SSH. Si un attaquant peut contrôler le reverse de son IP, il peut faire croire que son IP appartient au domaine machin.fr. D'où l'utilité de vérifier auprès du domaine machin.fr que c'est bien la bonne IP qui est associée au nom. -- printk("What? oldfid != cii->c_fid. Call 911.n"); 2.4.3 linux/fs/coda/cnode.c
OoO Pendant le journal télévisé du vendredi 29 octobre 2004, vers
20:31, "Pascal@plouf" <pascal@plouf.invalid> disait:
VerifyReverseMapping yes
Vérifie que l'adresse de la machine cliente correspond bien à un nom, et
que ce nom correspond bien à l'adresse.
Quel est l'intérêt de cette vérification, et que se passe-t-il si
elle échoue ?
Imagine que tu autorises tout le domaine machin.fr à se connecter en
SSH. Si un attaquant peut contrôler le reverse de son IP, il peut
faire croire que son IP appartient au domaine machin.fr. D'où
l'utilité de vérifier auprès du domaine machin.fr que c'est bien la
bonne IP qui est associée au nom.
--
printk("What? oldfid != cii->c_fid. Call 911.n");
2.4.3 linux/fs/coda/cnode.c
OoO Pendant le journal télévisé du vendredi 29 octobre 2004, vers 20:31, "" disait:
VerifyReverseMapping yes Vérifie que l'adresse de la machine cliente correspond bien à un nom, et que ce nom correspond bien à l'adresse.
Quel est l'intérêt de cette vérification, et que se passe-t-il si elle échoue ?
Imagine que tu autorises tout le domaine machin.fr à se connecter en SSH. Si un attaquant peut contrôler le reverse de son IP, il peut faire croire que son IP appartient au domaine machin.fr. D'où l'utilité de vérifier auprès du domaine machin.fr que c'est bien la bonne IP qui est associée au nom. -- printk("What? oldfid != cii->c_fid. Call 911.n"); 2.4.3 linux/fs/coda/cnode.c
Vincent GAUVIN
Ce genre d'attaques est très courant actuellement. Tu ne dois t'inquiéter que si leur fréquence est trop élevée (ici, je les reçois une fois toutes les 2 heures). Il est probable que ce soit un robot qui moissonne en cherchant des comptes mal protégés. Note que sur ta machine, root a le droit de se logguer en ssh. C'est peut-être superflu. Merci Vincent, Gilles et Pascal de vos réponses fort intéressantes et,
surtout, à peu près accessibles au néophyte que je suis. Vincent, effectivement j'avais fait la même remarque que toi concernant ces attaques. Certaines machines en reçoivent systématiquement et d'autres quasiment jamais. De plus elles ont toujours été sans succès depuis près de 2 ans sur nos 120 machines....sauf récemment où j'ai bien l'impression qu'un petit malin a réussi à trouver notre passwd et l'a changé;-( Cela vous paraît-il possible? (évidemment le passwd ne respectait pas les règles d'usage..il était composé de uniquement 10 caractères alpha:-) A ce sujet, est ce vraiment une sécurité supplémentaire d'avoir un passwd de root de la forme Yle4T56Bnj? paske c'est ch.. à mémoriser!! Ceci dit il n'y a vraiment pas mort d'homme sur ce coup là, comme vous vous en doutez il n'y a aucune données sur ces machines elles ne font que routage filtrage firewall proxy....
Existe t-il un/des sites (en français:-( pour se former aux règles essentielles de ce domaine de la sécurité? Encore merci de votre aide. VG
Ce genre d'attaques est très courant actuellement. Tu ne dois
t'inquiéter que si leur fréquence est trop élevée (ici, je les reçois
une fois toutes les 2 heures). Il est probable que ce soit un robot
qui moissonne en cherchant des comptes mal protégés. Note que sur ta
machine, root a le droit de se logguer en ssh. C'est peut-être
superflu.
Merci Vincent, Gilles et Pascal de vos réponses fort intéressantes et,
surtout, à peu près accessibles au néophyte que je suis.
Vincent, effectivement j'avais fait la même remarque que toi concernant
ces attaques. Certaines machines en reçoivent systématiquement et
d'autres quasiment jamais.
De plus elles ont toujours été sans succès depuis près de 2 ans sur nos
120 machines....sauf récemment où j'ai bien l'impression qu'un petit
malin a réussi à trouver notre passwd et l'a changé;-( Cela vous
paraît-il possible? (évidemment le passwd ne respectait pas les règles
d'usage..il était composé de uniquement 10 caractères alpha:-)
A ce sujet, est ce vraiment une sécurité supplémentaire d'avoir un
passwd de root de la forme Yle4T56Bnj? paske c'est ch.. à mémoriser!!
Ceci dit il n'y a vraiment pas mort d'homme sur ce coup là, comme vous
vous en doutez il n'y a aucune données sur ces machines elles ne font
que routage filtrage firewall proxy....
Existe t-il un/des sites (en français:-( pour se former aux règles
essentielles de ce domaine de la sécurité?
Encore merci de votre aide.
VG
Ce genre d'attaques est très courant actuellement. Tu ne dois t'inquiéter que si leur fréquence est trop élevée (ici, je les reçois une fois toutes les 2 heures). Il est probable que ce soit un robot qui moissonne en cherchant des comptes mal protégés. Note que sur ta machine, root a le droit de se logguer en ssh. C'est peut-être superflu. Merci Vincent, Gilles et Pascal de vos réponses fort intéressantes et,
surtout, à peu près accessibles au néophyte que je suis. Vincent, effectivement j'avais fait la même remarque que toi concernant ces attaques. Certaines machines en reçoivent systématiquement et d'autres quasiment jamais. De plus elles ont toujours été sans succès depuis près de 2 ans sur nos 120 machines....sauf récemment où j'ai bien l'impression qu'un petit malin a réussi à trouver notre passwd et l'a changé;-( Cela vous paraît-il possible? (évidemment le passwd ne respectait pas les règles d'usage..il était composé de uniquement 10 caractères alpha:-) A ce sujet, est ce vraiment une sécurité supplémentaire d'avoir un passwd de root de la forme Yle4T56Bnj? paske c'est ch.. à mémoriser!! Ceci dit il n'y a vraiment pas mort d'homme sur ce coup là, comme vous vous en doutez il n'y a aucune données sur ces machines elles ne font que routage filtrage firewall proxy....
Existe t-il un/des sites (en français:-( pour se former aux règles essentielles de ce domaine de la sécurité? Encore merci de votre aide. VG
Nicob
On Fri, 29 Oct 2004 19:21:42 +0000, Vincent Bernat wrote:
Imagine que tu autorises tout le domaine machin.fr à se connecter en SSH. Si un attaquant peut contrôler le reverse de son IP, il peut faire croire que son IP appartient au domaine machin.fr. D'où l'utilité de vérifier auprès du domaine machin.fr que c'est bien la bonne IP qui est associée au nom.
Incroyable ... Ca me rappelle ma jeunesse, rsh et tous les r*
Qu'on me rassure, personne n'autorise les connexions SSH en se basant uniquement sur le domaine auquel appartient l'IP source, si ?
Nicob
On Fri, 29 Oct 2004 19:21:42 +0000, Vincent Bernat wrote:
Imagine que tu autorises tout le domaine machin.fr à se connecter en
SSH. Si un attaquant peut contrôler le reverse de son IP, il peut
faire croire que son IP appartient au domaine machin.fr. D'où
l'utilité de vérifier auprès du domaine machin.fr que c'est bien la
bonne IP qui est associée au nom.
Incroyable ... Ca me rappelle ma jeunesse, rsh et tous les r*
Qu'on me rassure, personne n'autorise les connexions SSH en se basant
uniquement sur le domaine auquel appartient l'IP source, si ?
On Fri, 29 Oct 2004 19:21:42 +0000, Vincent Bernat wrote:
Imagine que tu autorises tout le domaine machin.fr à se connecter en SSH. Si un attaquant peut contrôler le reverse de son IP, il peut faire croire que son IP appartient au domaine machin.fr. D'où l'utilité de vérifier auprès du domaine machin.fr que c'est bien la bonne IP qui est associée au nom.
Incroyable ... Ca me rappelle ma jeunesse, rsh et tous les r*
Qu'on me rassure, personne n'autorise les connexions SSH en se basant uniquement sur le domaine auquel appartient l'IP source, si ?
Nicob
Vincent Bernat
OoO En ce début d'après-midi nuageux du samedi 30 octobre 2004, vers 14:02, Nicob disait:
Imagine que tu autorises tout le domaine machin.fr à se connecter en SSH. Si un attaquant peut contrôler le reverse de son IP, il peut faire croire que son IP appartient au domaine machin.fr. D'où l'utilité de vérifier auprès du domaine machin.fr que c'est bien la bonne IP qui est associée au nom.
Incroyable ... Ca me rappelle ma jeunesse, rsh et tous les r*
Qu'on me rassure, personne n'autorise les connexions SSH en se basant uniquement sur le domaine auquel appartient l'IP source, si ?
Pas uniquement, mais en plus, pourquoi pas ? -- J'y connait rien en usenet, je sais pas comment on fait pour supprimer tout les newsgroups -+- FM in GNU : Pour tout casser, ya un howto ? -+-
OoO En ce début d'après-midi nuageux du samedi 30 octobre 2004, vers
14:02, Nicob <nicob@I.hate.spammers.com> disait:
Imagine que tu autorises tout le domaine machin.fr à se connecter en
SSH. Si un attaquant peut contrôler le reverse de son IP, il peut
faire croire que son IP appartient au domaine machin.fr. D'où
l'utilité de vérifier auprès du domaine machin.fr que c'est bien la
bonne IP qui est associée au nom.
Incroyable ... Ca me rappelle ma jeunesse, rsh et tous les r*
Qu'on me rassure, personne n'autorise les connexions SSH en se basant
uniquement sur le domaine auquel appartient l'IP source, si ?
Pas uniquement, mais en plus, pourquoi pas ?
--
J'y connait rien en usenet, je sais pas comment on fait pour
supprimer tout les newsgroups
-+- FM in GNU : Pour tout casser, ya un howto ? -+-
OoO En ce début d'après-midi nuageux du samedi 30 octobre 2004, vers 14:02, Nicob disait:
Imagine que tu autorises tout le domaine machin.fr à se connecter en SSH. Si un attaquant peut contrôler le reverse de son IP, il peut faire croire que son IP appartient au domaine machin.fr. D'où l'utilité de vérifier auprès du domaine machin.fr que c'est bien la bonne IP qui est associée au nom.
Incroyable ... Ca me rappelle ma jeunesse, rsh et tous les r*
Qu'on me rassure, personne n'autorise les connexions SSH en se basant uniquement sur le domaine auquel appartient l'IP source, si ?
Pas uniquement, mais en plus, pourquoi pas ? -- J'y connait rien en usenet, je sais pas comment on fait pour supprimer tout les newsgroups -+- FM in GNU : Pour tout casser, ya un howto ? -+-
Arnaud Gomes-do-Vale
Vincent GAUVIN writes:
De plus elles ont toujours été sans succès depuis près de 2 ans sur nos 120 machines....sauf récemment où j'ai bien l'impression qu'un petit malin a réussi à trouver notre passwd et l'a changé;-( Cela vous paraît-il possible? (évidemment le passwd ne respectait pas les règles d'usage..il était composé de uniquement 10 caractères alpha:-)
Oui, c'est possible. Par contre, ton « j'ai bien l'impression » me fait peur. Si c'est effectivement arrivé, il faut réinstaller la machine le plus vite possible.
A ce sujet, est ce vraiment une sécurité supplémentaire d'avoir un passwd de root de la forme Yle4T56Bnj? paske c'est ch.. à mémoriser!!
La plupart des programmes qui attaquent les serveurs ssh (ou tout ce qui peut être protégé par un mot de passe) utilisent des dictionnaires. Si ton mot de passe est vraiment tordu, il ne sera pas dans les dits dictionnaires, cqfd.
Ceci dit il n'y a vraiment pas mort d'homme sur ce coup là, comme vous vous en doutez il n'y a aucune données sur ces machines elles ne font que routage filtrage firewall proxy....
Ça ne change pas grand chose. Dans les quelques cas de piratage que j'ai pu voir, l'intrus ne s'intéressait pas aux données stockées sur la machine (qui étaient pourtant plutôt sensibles dans au moins un cas), mais s'en servait comme base pour attaquer autre chose.
-- Arnaud
Vincent GAUVIN <vincent.gauvin.invalid@ac-reims.invalid.fr> writes:
De plus elles ont toujours été sans succès depuis près de 2 ans sur
nos 120 machines....sauf récemment où j'ai bien l'impression qu'un
petit malin a réussi à trouver notre passwd et l'a changé;-( Cela vous
paraît-il possible? (évidemment le passwd ne respectait pas les règles
d'usage..il était composé de uniquement 10 caractères alpha:-)
Oui, c'est possible. Par contre, ton « j'ai bien l'impression » me
fait peur. Si c'est effectivement arrivé, il faut réinstaller la
machine le plus vite possible.
A ce sujet, est ce vraiment une sécurité supplémentaire d'avoir un
passwd de root de la forme Yle4T56Bnj? paske c'est ch.. à mémoriser!!
La plupart des programmes qui attaquent les serveurs ssh (ou tout ce
qui peut être protégé par un mot de passe) utilisent des
dictionnaires. Si ton mot de passe est vraiment tordu, il ne sera pas
dans les dits dictionnaires, cqfd.
Ceci dit il n'y a vraiment pas mort d'homme sur ce coup là, comme vous
vous en doutez il n'y a aucune données sur ces machines elles ne font
que routage filtrage firewall proxy....
Ça ne change pas grand chose. Dans les quelques cas de piratage que
j'ai pu voir, l'intrus ne s'intéressait pas aux données stockées sur
la machine (qui étaient pourtant plutôt sensibles dans au moins un
cas), mais s'en servait comme base pour attaquer autre chose.
De plus elles ont toujours été sans succès depuis près de 2 ans sur nos 120 machines....sauf récemment où j'ai bien l'impression qu'un petit malin a réussi à trouver notre passwd et l'a changé;-( Cela vous paraît-il possible? (évidemment le passwd ne respectait pas les règles d'usage..il était composé de uniquement 10 caractères alpha:-)
Oui, c'est possible. Par contre, ton « j'ai bien l'impression » me fait peur. Si c'est effectivement arrivé, il faut réinstaller la machine le plus vite possible.
A ce sujet, est ce vraiment une sécurité supplémentaire d'avoir un passwd de root de la forme Yle4T56Bnj? paske c'est ch.. à mémoriser!!
La plupart des programmes qui attaquent les serveurs ssh (ou tout ce qui peut être protégé par un mot de passe) utilisent des dictionnaires. Si ton mot de passe est vraiment tordu, il ne sera pas dans les dits dictionnaires, cqfd.
Ceci dit il n'y a vraiment pas mort d'homme sur ce coup là, comme vous vous en doutez il n'y a aucune données sur ces machines elles ne font que routage filtrage firewall proxy....
Ça ne change pas grand chose. Dans les quelques cas de piratage que j'ai pu voir, l'intrus ne s'intéressait pas aux données stockées sur la machine (qui étaient pourtant plutôt sensibles dans au moins un cas), mais s'en servait comme base pour attaquer autre chose.
-- Arnaud
T0t0
"Vincent GAUVIN" wrote in message news:4183438e$0$28709$
A ce sujet, est ce vraiment une sécurité supplémentaire d'avoir un passwd de root de la forme Yle4T56Bnj? paske c'est ch.. à mémoriser!!
C'est préférable de ne pas utiliser de noms communs ou propres car les attaques par dictionnaire les utilisent. Une méthode assez simple pour se rappeler un mot de passe fort est de créer une phrase de X mots pour X caractères, de prendre la première lettre de chaque mot et d'alterner minuscules majuscules avec quelques caractères spéciaux ou alphanumériques. Par exmeple: "Je te donne un mot de passe fort facile à memoriser!" Peut donner: JtD1mDpFf4m! (on remplace un par 1 et a par 4, H4x0r Rul3z) Il suffit de se rappeler de la phrase, et hop !
Ceci dit il n'y a vraiment pas mort d'homme sur ce coup là, comme vous vous en doutez il n'y a aucune données sur ces machines elles ne font que routage filtrage firewall proxy....
Heu, ben un firewall compromis, il ne protège plus grand chose, non ? Si tu penses qu'il y a compromission, il serait bien d'investiguer et de réinstaller la machine complètement.
Existe t-il un/des sites (en français:-( pour se former aux règles essentielles de ce domaine de la sécurité?
C'est un domaine tellement vaste qu'il serait difficile de le résumer en un site :-)
Bon courage.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Vincent GAUVIN" <vincent.gauvin.invalid@ac-reims.invalid.fr> wrote in
message news:4183438e$0$28709$636a15ce@news.free.fr
A ce sujet, est ce vraiment une sécurité supplémentaire d'avoir un
passwd de root de la forme Yle4T56Bnj? paske c'est ch.. à mémoriser!!
C'est préférable de ne pas utiliser de noms communs ou propres car les
attaques par dictionnaire les utilisent.
Une méthode assez simple pour se rappeler un mot de passe fort est de
créer une phrase de X mots pour X caractères, de prendre la première
lettre de chaque mot et d'alterner minuscules majuscules avec quelques
caractères spéciaux ou alphanumériques.
Par exmeple:
"Je te donne un mot de passe fort facile à memoriser!"
Peut donner:
JtD1mDpFf4m! (on remplace un par 1 et a par 4, H4x0r Rul3z)
Il suffit de se rappeler de la phrase, et hop !
Ceci dit il n'y a vraiment pas mort d'homme sur ce coup là, comme vous
vous en doutez il n'y a aucune données sur ces machines elles ne font
que routage filtrage firewall proxy....
Heu, ben un firewall compromis, il ne protège plus grand chose, non ?
Si tu penses qu'il y a compromission, il serait bien d'investiguer et
de réinstaller la machine complètement.
Existe t-il un/des sites (en français:-( pour se former aux règles
essentielles de ce domaine de la sécurité?
C'est un domaine tellement vaste qu'il serait difficile de le résumer
en un site :-)
Bon courage.
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Vincent GAUVIN" wrote in message news:4183438e$0$28709$
A ce sujet, est ce vraiment une sécurité supplémentaire d'avoir un passwd de root de la forme Yle4T56Bnj? paske c'est ch.. à mémoriser!!
C'est préférable de ne pas utiliser de noms communs ou propres car les attaques par dictionnaire les utilisent. Une méthode assez simple pour se rappeler un mot de passe fort est de créer une phrase de X mots pour X caractères, de prendre la première lettre de chaque mot et d'alterner minuscules majuscules avec quelques caractères spéciaux ou alphanumériques. Par exmeple: "Je te donne un mot de passe fort facile à memoriser!" Peut donner: JtD1mDpFf4m! (on remplace un par 1 et a par 4, H4x0r Rul3z) Il suffit de se rappeler de la phrase, et hop !
Ceci dit il n'y a vraiment pas mort d'homme sur ce coup là, comme vous vous en doutez il n'y a aucune données sur ces machines elles ne font que routage filtrage firewall proxy....
Heu, ben un firewall compromis, il ne protège plus grand chose, non ? Si tu penses qu'il y a compromission, il serait bien d'investiguer et de réinstaller la machine complètement.
Existe t-il un/des sites (en français:-( pour se former aux règles essentielles de ce domaine de la sécurité?
C'est un domaine tellement vaste qu'il serait difficile de le résumer en un site :-)
Bon courage.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
xavier
T0t0 wrote:
Existe t-il un/des sites (en français:-( pour se former aux règles essentielles de ce domaine de la sécurité?
C'est un domaine tellement vaste qu'il serait difficile de le résumer en un site :-)
Oui, mais on peut ccommencer par le plus ancien et expérimenté dans le domaine : <http://www.hsc.fr>