J'ai grand besoin de vos connaissances pour tenter de comprendre
certaines lignes de mes fichiers log.
J'ai une centaine de passerelle linux installées dans des écoles
primaires rémoises et alentour. 2 cartes réseau, iptables,
squid+squidguard, openssh...etc..rien que de très classique.
Sur la plupart de ces passerelles je relève dans /var/log/messages ce
genre de lignes répétées des dizaines de fois par intervalles quasiment
réguliers de 2 ou 3 s (051xxxx c'est le nom netbios)
Mais j'ai aussi ça (ds les même conditions (spleen c'est le nom netbios)
Oct 28 18:37:16 spleen sshd[5552]: Illegal user data from 212.98.241.4
Oct 28 18:37:18 spleen sshd[5554]: Illegal user user from 212.98.241.4
Oct 28 18:37:19 spleen sshd[5556]: Illegal user user from 212.98.241.4
Oct 28 18:37:20 spleen sshd[5558]: Illegal user user from 212.98.241.4
Oct 28 18:37:22 spleen sshd[5560]: Illegal user web from 212.98.241.4
Oct 28 18:37:23 spleen sshd[5562]: Illegal user web from 212.98.241.4
Oct 28 18:37:25 spleen sshd[5564]: Illegal user oracle from 212.98.241.4
Oct 28 18:37:26 spleen sshd[5566]: Illegal user sybase from 212.98.241.4
Oct 28 18:37:27 spleen sshd[5568]: Illegal user master from 212.98.241.4
Oct 28 18:37:29 spleen sshd[5570]: Illegal user account from 212.98.241.4
etc...
et très souvent aussi ça:
Oct 28 18:36:13 spleen sshd[5462]: Failed password for root from
212.98.241.4 port 51785 ssh2
Oct 28 18:36:14 spleen sshd[5464]: Failed password for root from
212.98.241.4 port 51817 ssh2
Oct 28 18:36:15 spleen sshd[5466]: Failed password for root from
212.98.241.4 port 51840 ssh2
Oct 28 18:36:17 spleen sshd[5468]: Failed password for root from
212.98.241.4 port 51869 ssh2
Oct 28 18:36:18 spleen sshd[5470]: Failed password for root from
212.98.241.4 port 51899 ssh2
Oct 28 18:36:19 spleen sshd[5472]: Failed password for root from
212.98.241.4 port 51921 ssh2
Oct 28 18:36:21 spleen sshd[5474]: Failed password for root from
212.98.241.4 port 51950 ssh2
Oct 28 18:36:22 spleen sshd[5476]: Failed password for root from
212.98.241.4 port 51972 ssh2
Oct 28 18:36:24 spleen sshd[5478]: Failed password for root from
212.98.241.4 port 51997 ssh2
Oct 28 18:36:25 spleen sshd[5480]: Failed password for root from
212.98.241.4 port 52032 ssh2
Oct 28 18:36:26 spleen sshd[5482]: Failed password for root from
212.98.241.4 port 52057 ssh2
Oct 28 18:36:28 spleen sshd[5484]: Failed password for root from
212.98.241.4 port 52082 ssh2
Je crois comprendre que c'est qqun qui essaie de rentrer par ssh mais
pourquoi les lignes sont-elles différentes? Est ce une appli qui fait ça?
Est-il possible d'expliquer en qq mots de quoi il s'agit ou de
m'orienter vers un site où je pourrai tenter de comprendre.
Merci de votre aide
VG
On Sat, 30 Oct 2004 17:02:21 +0000, Vincent Bernat wrote:
Qu'on me rassure, personne n'autorise les connexions SSH en se basant uniquement sur le domaine auquel appartient l'IP source, si ?
Pas uniquement, mais en plus, pourquoi pas ?
Effectivement, pourquoi ne pas faire du "en plus" ...
En fait, c'est que ton post a ravivé chez moi des souvenirs vieux d'une dizaine d'années où les authentifications par domaine DNS étaient légions (commandes r*) et où les problèmes engendrés étaient énormes.
Nicob
On Sat, 30 Oct 2004 17:02:21 +0000, Vincent Bernat wrote:
Qu'on me rassure, personne n'autorise les connexions SSH en se basant
uniquement sur le domaine auquel appartient l'IP source, si ?
Pas uniquement, mais en plus, pourquoi pas ?
Effectivement, pourquoi ne pas faire du "en plus" ...
En fait, c'est que ton post a ravivé chez moi des souvenirs vieux d'une
dizaine d'années où les authentifications par domaine DNS étaient
légions (commandes r*) et où les problèmes engendrés étaient énormes.
On Sat, 30 Oct 2004 17:02:21 +0000, Vincent Bernat wrote:
Qu'on me rassure, personne n'autorise les connexions SSH en se basant uniquement sur le domaine auquel appartient l'IP source, si ?
Pas uniquement, mais en plus, pourquoi pas ?
Effectivement, pourquoi ne pas faire du "en plus" ...
En fait, c'est que ton post a ravivé chez moi des souvenirs vieux d'une dizaine d'années où les authentifications par domaine DNS étaient légions (commandes r*) et où les problèmes engendrés étaient énormes.
Nicob
Kevin Denis
Le 30-10-2004, Vincent GAUVIN a écrit :
De plus elles ont toujours été sans succès depuis près de 2 ans sur nos 120 machines....sauf récemment où j'ai bien l'impression qu'un petit malin a réussi à trouver notre passwd et l'a changé;-( Cela vous paraît-il possible?
Qu'une machine soit piratee? oui. Maintenant il faut 1. trouver comment il est rentre et s'il est encore la: par audit, rootkit, etc.. 2. re-securiser la machine reinstallation from scratch apres sauvegarde, et fermeture de la faille avant de la remettre in-line
Ensuite, est-ce possible que quelqu'un trouve le mot de passe? Il n'a pas obligatoirement besoin de ca pour passer root. Ex: les vieilles versions de sshd ont un exploit qui permet de passer root directement.
(évidemment le passwd ne respectait pas les règles d'usage..il était composé de uniquement 10 caractères alpha:-) A ce sujet, est ce vraiment une sécurité supplémentaire d'avoir un passwd de root de la forme Yle4T56Bnj?
man passwd a un gros paragraphe a ce sujet
paske c'est ch.. à mémoriser!! Ceci dit il n'y a vraiment pas mort d'homme sur ce coup là, comme vous vous en doutez il n'y a aucune données sur ces machines elles ne font que routage filtrage firewall proxy....
Oui, mais si elles se transforment en relais a spam, ca peut etre
desagreable. Idem pour des serveurs de warez, etc..
Existe t-il un/des sites (en français:-( pour se former aux règles essentielles de ce domaine de la sécurité?
Pour une passerelle, la blinder (aucun service inutile qui tourne),
et penser a proteger ET l'interieur ET l'exterieur. Mettre un linux qui masquerade betement n'empechera pas une machine du lan interne d'arroser de spam les quatres coins de l'internet et des attaques types zombies, etc.
-- Kevin
Le 30-10-2004, Vincent GAUVIN a écrit :
De plus elles ont toujours été sans succès depuis près de 2 ans sur nos
120 machines....sauf récemment où j'ai bien l'impression qu'un petit
malin a réussi à trouver notre passwd et l'a changé;-( Cela vous
paraît-il possible?
Qu'une machine soit piratee? oui.
Maintenant il faut
1. trouver comment il est rentre et s'il est encore la:
par audit, rootkit, etc..
2. re-securiser la machine
reinstallation from scratch apres sauvegarde, et fermeture de la
faille avant de la remettre in-line
Ensuite, est-ce possible que quelqu'un trouve le mot de passe? Il
n'a pas obligatoirement besoin de ca pour passer root. Ex: les
vieilles versions de sshd ont un exploit qui permet de passer root
directement.
(évidemment le passwd ne respectait pas les règles
d'usage..il était composé de uniquement 10 caractères alpha:-)
A ce sujet, est ce vraiment une sécurité supplémentaire d'avoir un
passwd de root de la forme Yle4T56Bnj?
man passwd a un gros paragraphe a ce sujet
paske c'est ch.. à mémoriser!!
Ceci dit il n'y a vraiment pas mort d'homme sur ce coup là, comme vous
vous en doutez il n'y a aucune données sur ces machines elles ne font
que routage filtrage firewall proxy....
Oui, mais si elles se transforment en relais a spam, ca peut etre
desagreable. Idem pour des serveurs de warez, etc..
Existe t-il un/des sites (en français:-( pour se former aux règles
essentielles de ce domaine de la sécurité?
Pour une passerelle, la blinder (aucun service inutile qui tourne),
et penser a proteger ET l'interieur ET l'exterieur.
Mettre un linux qui masquerade betement n'empechera pas une machine
du lan interne d'arroser de spam les quatres coins de l'internet
et des attaques types zombies, etc.
De plus elles ont toujours été sans succès depuis près de 2 ans sur nos 120 machines....sauf récemment où j'ai bien l'impression qu'un petit malin a réussi à trouver notre passwd et l'a changé;-( Cela vous paraît-il possible?
Qu'une machine soit piratee? oui. Maintenant il faut 1. trouver comment il est rentre et s'il est encore la: par audit, rootkit, etc.. 2. re-securiser la machine reinstallation from scratch apres sauvegarde, et fermeture de la faille avant de la remettre in-line
Ensuite, est-ce possible que quelqu'un trouve le mot de passe? Il n'a pas obligatoirement besoin de ca pour passer root. Ex: les vieilles versions de sshd ont un exploit qui permet de passer root directement.
(évidemment le passwd ne respectait pas les règles d'usage..il était composé de uniquement 10 caractères alpha:-) A ce sujet, est ce vraiment une sécurité supplémentaire d'avoir un passwd de root de la forme Yle4T56Bnj?
man passwd a un gros paragraphe a ce sujet
paske c'est ch.. à mémoriser!! Ceci dit il n'y a vraiment pas mort d'homme sur ce coup là, comme vous vous en doutez il n'y a aucune données sur ces machines elles ne font que routage filtrage firewall proxy....
Oui, mais si elles se transforment en relais a spam, ca peut etre
desagreable. Idem pour des serveurs de warez, etc..
Existe t-il un/des sites (en français:-( pour se former aux règles essentielles de ce domaine de la sécurité?
Pour une passerelle, la blinder (aucun service inutile qui tourne),
et penser a proteger ET l'interieur ET l'exterieur. Mettre un linux qui masquerade betement n'empechera pas une machine du lan interne d'arroser de spam les quatres coins de l'internet et des attaques types zombies, etc.
