Le samedi 31 janvier 2009 13:30, Jerome Kieffer a écrit : | On Fri, 30 Jan 2009 22:47:38 +0100 | Alain Vaugham <[email protected]> wrote: | | > Le mardi 20 janvier 2009 16:30, Paul Marques Mota a écrit : | > | Le 20 janvier 2009 08:26, Jerome Kieffer | > | <[email protected]> a écrit : | > | > On Tue, 20 Jan 2009 01:48:42 +0100 | > | > Alain Vaugham <[email protected]> wrote: | > | > | > | >> J'ai listé toutes les réponses reçues : | > | >> - le changement du port du sshd | > | > | > | > C'est con, un coup de nmap et on le retrouve ton port. | > | | > | Oui. Le but de cette partie de la manip n'est pas vraiment de rajouter | > | plus de sécurité, mais de diminuer le volume des attaques. | > | | > | > Pour info : | > Il y a une semaine j'ai pu faire changer le port 22 sur la box. | > | > C'est passé brusquement de 20-22 tentatives à la minute à 0. | > Je ne consulte que les /var/log/auth.log.* | | cette méthode ne tient pas 1 minute face à un utilisateur avec nmap | en main. Je crois qu'on en est tous convaincus. Il n'y a aucun doute à ce sujet.
Le changement du port n'était que la première étape pour réagir dans l'urgence. La mise en place progressive de plusieurs conseils qui m'ont été donnés ici va suivre dès que possible. --- Ce qui suit est juste mon analyse --- La victime change d'ip selon les besoins de France Télécom/Orange. Mon analyse est que si elle était victime d'un seul acharné celui-ci aurait déjà scanné tous les ports. J'aurai vu une trace dans les logs depuis une semaine. Une fois que la machine victime est sous une autre ip je peux raisonnablement penser que cet acharné-là continue ses tentatives sur la même ip, donc sur une autre machine lorsque l'ip sera à nouveau en service. Donc je ne crois pas qu'il s'agisse d'un seul utilisateur acharné mais plutôt de scripts qui tentent leur chance sur le port qui statistiquement a le plus de probabilité d'être à l'écoute. Toutes les ip doivent y passer plus ou moins régulièrement. Ceux qui vont tenter leur chance sur les 65000 et quelques ports vont devoir passer plus de temps sur la même ip. Trouver le bon login sur le bon port... Je n'ai pas d'expérience, mais ça doit se voir gros comme le nez au milieu du visage dans les logs avant que le bon mot de passe ne soit utilisé. Après, si l'escalade dans les droits a pu se faire, les logs risquent d'être muets. Ce n'est peut-être pas une bonne tactique pour eux car ils doivent aller vite pour compromettre leur victimes et ne pas trop éveiller les souçons de quelques admins un peu nerveux qui verraient tous leurs ports scannés ou du moins une grosse partie. Je me demande quand même ce que ces admins peuvent faire une fois qu'ils ont mis en place toute la panoplie de contre mesures réglées aux petits oignons sur leur ip fixe. Tout ça, ça leur a fait une drôle de découverte à mes deux novices! -- Cordialement Alain Vaugham -------------------------------------------------------- [PUB] Signature numérique GPG de ce courrier: 0xD26D18BC
pgpsAPPbujxxL.pgp
Description: PGP signature
_________________________________ Linux mailing list [email protected] http://lists.parinux.org/mailman/listinfo/linux
