Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
Thierry Chatelet a écrit : Tong dans la mail list en anglais a le même problème. Quelqu' un qui connait le problème et la langue anglaise pourrait-il l' aider. Nom do post: How can I stop an active network connection, de Tong, en date du 2-12 à 23h et des bricolles. Étonnant que personne n'ai répondu, ça doit être plus compliqué. Les connexions se visualisent avec netstat (avec les args -taupe en gal), un sed|grep&cut|awk sur la sortie donne l'ip ou le processus, et ensuite reste à àjouter une règle iptable sur l'ip ou un kill sur le process (suivant ce que l'on veut et de quel process il s'agit). -- Daniel -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
On Saturday 29 November 2008 05:22:55 Charles Plessy wrote: Pour partager: Tong dans la mail list en anglais a le même problème. Quelqu' un qui connait le problème et la langue anglaise pourrait-il l' aider. Nom do post: How can I stop an active network connection, de Tong, en date du 2-12 à 23h et des bricolles. Merci -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
Le Tue, 02 Dec 2008 18:43:52 +0100
Daniel Caillibaud <[EMAIL PROTECTED]> a écrit:
> François Boisson a écrit :
> > sed -e '1,$s/^.*[ |\.]\([^\.]*\.[^\.]*\)$/\1/g' /tmp/SSH_douteux | sort -u
> > | grep "[a-z]" > /tmp/domainesFAI
>
> je comprends que tu prends les deux dernières sous-chaînes du fqdn (j'ai pas
> le même format de log, et seulement les ip, pas encore adapté ton script
> pour voir), mais du coup ça marche pas pour les domain.co.uk et tous les
> autres domain.sstld.tld (j'ai par exemple du .com.gh, m'enfin, si ça fait
> tous les autres, c'est déjà pas mal).
Tu peux faire un
whois > /tmp/IP
if grep -q abuse /tmp/IP ; then
ABUSE=`grep abuse /tmp/IP | grep abuse@ | awk '{print $3}' | head -n 1`
else
ABUSE=`grep @ /tmp/IP | head -n 1 | awk '{print $3}' `
fi
Mais les formats des whois varient...
François Boisson
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
François Boisson a écrit :
Moi c'est assez primaire:
Script général
J'ai adapté à mes logs, du genre
Dec 1 03:56:47 h5 sshd[1154]: Failed password for root from 93.62.0.122 port
10058 ssh2
Dec 2 14:22:01 h5 sshd[14234]: Failed password for invalid user nicoara from
80.87.64.115 port 60029 ssh2
grep 'Failed password for ' /var/log/auth.log.0 >/tmp/SSH_douteux
grep 'Failed password for ' /var/log/auth.log>>/tmp/SSH_douteux
# on récupère la liste d'ip
awk '/Failed password for invalid user/ {print $13} /Failed password for root/ {print
$11}' < /tmp/SSH_douteux |sort -u > /tmp/SSH_ips
# et on veut les fqdn
while read ip; do echo "$ip $(host $ip)"; done /tmp/SSH_ips_fqdn
# ceux qui en ont un
awk '/domain name pointer/ {print $1" "$6}' < /tmp/SSH_ips_fqdn >
/tmp/SSH_ips_fqdn_trouves
# Ensuite, on veut le FAI
awk -F . '{
ip=$1"."$2"."$3"."$4;
if ($NF=="arpa") {next}
if ($NF=="") {itld=NF-1}
else {itld=NF}
if ($(itld - 1)=="com" || $(itld - 1) == "net" || $(itld - 1)"."$itld=="co.uk") {print ip"
"$(itld-2)"."$(itld-1)"."$itld}
else {print ip" "$(itld-1)"."$(itld)}
}' < /tmp/SSH_ips_fqdn_trouves |sort -k 2 > /tmp/SSH_ip_FAI
Il reste un bug car j'ai
$ head /tmp/SSH_ip_FAI
117.18.224.147 ns2 mycitycell.com
121.243.0.153 121 vsnl.net.in
123.220.252.2 p58002-ipbffx02marunouchi ne.jp
125.64.96.186 186 163data.com.cn
140.128.127.224 pc224 edu.tw
143.239.159.63 student ucc.ie
63.159.239.143 in-addr.arpa
150.185.222.163 vibora luz.ve
163.222.185.150 in-addr.arpa
152.104.125.13 static-ip-13-125-104-152 dyxnet.com
Plus trop le temps ce soir... on verra p't' demain (plutôt semaine prochaine).
--
Daniel
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
François Boisson a écrit : sed -e '1,$s/^.*[ |\.]\([^\.]*\.[^\.]*\)$/\1/g' /tmp/SSH_douteux | sort -u | grep "[a-z]" > /tmp/domainesFAI je comprends que tu prends les deux dernières sous-chaînes du fqdn (j'ai pas le même format de log, et seulement les ip, pas encore adapté ton script pour voir), mais du coup ça marche pas pour les domain.co.uk et tous les autres domain.sstld.tld (j'ai par exemple du .com.gh, m'enfin, si ça fait tous les autres, c'est déjà pas mal). for i in `grep $1 /tmp/pasbeaux.0` ; do ^^^ (je suppose la liste des hosts). Voilà tout y est Anglais approximatif compris. J'ai fait ça hier en 1/4 d'heure donc ça n'est guère sophistiqué mais ça a marché. C'est le principal ;-) (tu peux juste remplacer les cat par des <, mais c'est histoire de pinailler ;-) ) Merci, ça va servir. -- Daniel -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
Le Tue, 02 Dec 2008 15:16:19 +0100
Daniel Caillibaud <[EMAIL PROTECTED]> a écrit:
> François Boisson a écrit :
> > Voilà, à chacun des 128 domaines moins les 15 gérés par des abrutis qui
> > utilisent des listes noires à la c.. me considèrant comme un spammeur,
> > j'ai envoyé un mail avec les machines concernées (souvent guère plus de 3-4
> > d'ailleurs) en ne conservant que celles dont j'avais encore les heures et
> > dates des tentatives.
>
> Tu as un script partageable pour faire ça (récup des ips, du fai concerné et
> mail [EMAIL PROTECTED] avec les lignes de logs) ?
Moi c'est assez primaire:
Script général
#!/bin/sh
ls -tr /var/log/auth.log*gz | grep "error: PAM: User not know" >
/tmp/SSH_douteux
grep "error: PAM: User not know" /var/log/auth.log.0 >> /tmp/SSH_douteux
grep "error: PAM: User not know" /var/log/auth.log >> /tmp/SSH_douteux
sed -e '1,$s/^.*[ |\.]\([^\.]*\.[^\.]*\)$/\1/g' /tmp/SSH_douteux | sort -u |
grep "[a-z]" > /tmp/domainesFAI
cat /tmp/SSH_douteux | awk '{print $1" "$2" "$3" "$21}' > /tmp/SSH_date
cat /tmp/domainesFAI | xargs -n 1 ~/message.sh
où ~/message.sh est le script
#!/bin/sh
[EMAIL PROTECTED]
echo "Hey" > /tmp/mailFAI
echo "" >> /tmp/mailFAI
echo "Excuse me for this message, it's an automatic one, in bad English." >>
/tmp/mailFAI
echo "Computers with IP on your domain try to intruse on my server using" >>
/tmp/mailFAI
echo "brut force on server SSH. It's quite sure that these computers are " >>
/tmp/mailFAI
echo "themselves compromised perhaps by intrusion by ssh." >> /tmp/mailFAI
echo "" >> /tmp/mailFAI
echo "Following the name of these computers and the date of the attack
(UTC+1)." >> /tmp/mailFAI
echo "Is it possible to send a message to the admins of these computers." >>
/tmp/mailFAI
echo "" >> /tmp/mailFAI
echo "Thanks a lot" >> /tmp/mailFAI
echo "Regards" >> /tmp/mailFAI
echo "F. Boisson" >> /tmp/mailFAI
echo "Paris" >> /tmp/mailFAI
echo "France" >> /tmp/mailFAI
echo $MONEMAIL >> /tmp/mailFAI
MAIL=""
echo "Computers and date (UTC+1):" >> /tmp/mailFAI
for i in `grep $1 /tmp/pasbeaux.0` ; do
if grep -q $i /tmp/SSH_date ; then
echo "machine $i" >> /tmp/mailFAI
echo >> /tmp/mailFAI
grep $i /tmp/SSH_date >> /tmp/mailFAI
echo >> /tmp/mailFAI
MAIL=X$MAIL
fi
done
if [ -z $MAIL ] ; then
echo Pas de mail a [EMAIL PROTECTED]
else
echo Mail a [EMAIL PROTECTED]
cat /tmp/mailFAI | mail -s "Attaque SSH from your domain" [EMAIL PROTECTED]
fi
Voilà tout y est Anglais approximatif compris. J'ai fait ça hier en 1/4
d'heure donc
ça n'est guère sophistiqué mais ça a marché. Pour les IP sans reverse DNS, on
peut s'en sortir avec un whois mais je n'ai pas automatisé la chose.
François Boisson
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
François Boisson a écrit : Voilà, à chacun des 128 domaines moins les 15 gérés par des abrutis qui utilisent des listes noires à la c.. me considèrant comme un spammeur, j'ai envoyé un mail avec les machines concernées (souvent guère plus de 3-4 d'ailleurs) en ne conservant que celles dont j'avais encore les heures et dates des tentatives. Mon serveur de courrier bosse dessus. Ce message arrivera après donc. J'ignore si cela sera utile mais ça a été amusant à faire... Bon, *c'est* utile. J'ai reçu deux mails de remerciements dès ce matin, un pour dire que le pbm avait déjà été perçu, un autre pour dire qu'ils allaient s'occuper du problème. Beaucoup de réponses automatiques sinon et qques messages type «go f..k!» montrant que les gars s'en moquent. Les «go f..k!» c'est sur abuse ? Si c'est le provider qui répond ça, il serait peut-être bon de blacklister leurs plages d'IP (donc de les faire suivre), sinon faut faire suivre au abuse de leur provider. Régis. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
François Boisson a écrit :
Voilà, à chacun des 128 domaines moins les 15 gérés par des abrutis qui
utilisent des listes noires à la c.. me considèrant comme un spammeur,
j'ai envoyé un mail avec les machines concernées (souvent guère plus de 3-4
d'ailleurs) en ne conservant que celles dont j'avais encore les heures et
dates des tentatives.
Tu as un script partageable pour faire ça (récup des ips, du fai concerné et
mail [EMAIL PROTECTED] avec les lignes de logs) ?
J'utilise
LANG=en
DATEEN=$(date --date '1 days ago' '+%Y-%m-%d')
sed -ne "/$DATEEN/"' s/.*\[\([a-z-]\+\)\] Ban \([0-9\.]*\)$/\1 \2/p' <
/var/log/fail2ban.log |awk '
{ips[$1" "$2]++}
END {
for (ip in ips) {
print "echo \"" ips[ip] "\t" ip "\t$(host $(expr match \"" ip "\" \"[a-z]*
([0-9.]*)\"))\"";
}
}'|sort -r -k 1|sh
qui me sort une liste du genre
10 dovecot-auth 71.120.94.55
static-71-120-94-55.frstil.dsl-w.verizon.net.
4 ssh 80.87.64.115115.64.87.80.in-addr.arpa domain name pointer
nms.ghanatel.com.gh.
1 ssh 93.62.0.122 122.0.62.93.in-addr.arpa domain name pointer
93-62-0-122.ip20.fastwebnet.it.
1 ssh 85.183.246.35 Host 35.246.183.85.in-addr.arpa. not found:
3(NXDOMAIN)
mais je ne pensais pas qu'envoyer les lignes de logs à abuse servait à grand
chose.
Tu fais un whois sur l'ip pour récupérer les mails ?
Le pb est que ça récupère parfois des emails @ripe.net, qui ne servent pas à
grand chose.
Et un host sur l'ip ne remonte pas toujours un fqdn.
J'ai regardé ce que donnait
while read ip
do
echo -e "\n$ip :"
whois $ip |awk '/e-mail:/ {print $2}'|sort -u
done < ip_penibles.list
mais j'ai des mails @ripe et pas mal de non-réponse.
Je suppose que tu as automatisé la chose un peu mieux...
--
Daniel
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
> > Voilà, à chacun des 128 domaines moins les 15 gérés par des abrutis qui > utilisent des listes noires à la c.. me considèrant comme un spammeur, > j'ai envoyé un mail avec les machines concernées (souvent guère plus de 3-4 > d'ailleurs) en ne conservant que celles dont j'avais encore les heures et > dates des tentatives. Mon serveur de courrier bosse dessus. Ce message > arrivera après donc. > J'ignore si cela sera utile mais ça a été amusant à faire... > Bon, *c'est* utile. J'ai reçu deux mails de remerciements dès ce matin, un pour dire que le pbm avait déjà été perçu, un autre pour dire qu'ils allaient s'occuper du problème. Beaucoup de réponses automatiques sinon et qques messages type «go f..k!» montrant que les gars s'en moquent. F.B -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
Le Mon, 1 Dec 2008 18:39:32 +0100 Sylvain Sauvage <[EMAIL PROTECTED]> a écrit: > Peut-être déjà, les grouper par FAI ? d’autant que plusieurs > IP peuvent correspondre à une seule machine (vu le temps entre > les tentatives). > > Bon courage… Voilà, à chacun des 128 domaines moins les 15 gérés par des abrutis qui utilisent des listes noires à la c.. me considèrant comme un spammeur, j'ai envoyé un mail avec les machines concernées (souvent guère plus de 3-4 d'ailleurs) en ne conservant que celles dont j'avais encore les heures et dates des tentatives. Mon serveur de courrier bosse dessus. Ce message arrivera après donc. J'ignore si cela sera utile mais ça a été amusant à faire... François Boisson -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
François Boisson, lundi 1 décembre 2008, 18:24:09 CET > > Le Mon, 01 Dec 2008 17:26:57 +0100 > Régis Grison <[EMAIL PROTECTED]> a écrit: > > > Si quelqu'un a les IP de ces machines, ça serait pas > > possible de faire un rapport à leur provider pour qu'il > > prévienne les propriétaires ? Je pense qu'un certain nombre > > ignorent ce qui se passe. Pour les autres, il reste l'abuse. > > J'ai, il y a 600 machines, je vais essayer d'automatiser la > chose... (avec 600 ce serait souhaitable :)) Peut-être déjà, les grouper par FAI ? d’autant que plusieurs IP peuvent correspondre à une seule machine (vu le temps entre les tentatives). Bon courage… -- Sylvain Sauvage -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
Le Mon, 01 Dec 2008 17:26:57 +0100 Régis Grison <[EMAIL PROTECTED]> a écrit: > Si quelqu'un a les IP de ces machines, ça serait pas possible de faire > un rapport à leur provider pour qu'il prévienne les propriétaires ? Je > pense qu'un certain nombre ignorent ce qui se passe. Pour les autres, il > reste l'abuse. J'ai, il y a 600 machines, je vais essayer d'automatiser la chose... (avec 600 ce serait souhaitable :)) François Boisson -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
Pascal Hambourg a écrit : François Boisson a écrit : 445 serveurs ssh ont répondus sur 594 machines. [...] Merci pour cette petite enquête. Quant au moyen qui a permis de compromettre ces machines, je pense qu'il ne faut pas chercher loin et que c'est le même que celui par lequel elles tentent de compromettre d'autres machines : attaques par force brute contre des mots de passe faibles. Si quelqu'un a les IP de ces machines, ça serait pas possible de faire un rapport à leur provider pour qu'il prévienne les propriétaires ? Je pense qu'un certain nombre ignorent ce qui se passe. Pour les autres, il reste l'abuse. Régis. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
François Boisson a écrit : 445 serveurs ssh ont répondus sur 594 machines. [...] Merci pour cette petite enquête. Quant au moyen qui a permis de compromettre ces machines, je pense qu'il ne faut pas chercher loin et que c'est le même que celui par lequel elles tentent de compromettre d'autres machines : attaques par force brute contre des mots de passe faibles. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
445 serveurs ssh ont répondus sur 594 machines. parmi ceux là 178 serveurs Debian (du moins avec ssh bannières Debian) dont 132 sous sarge. 11 serveurs Ubuntu. Les versions des serveurs SSH sont les suivantes (avec les fréquences): OpenSSH_3.7 10 OpenSSH_3.8 169 OpenSSH_3.9 21 OpenSSH_4.1 56 OpenSSH_4.2 61 OpenSSH_4.3 38 OpenSSH_4.4 36 OpenSSH_4.5 4 OpenSSH_4.6 28 OpenSSH_4.7 13 OpenSSH_5.0 4 OpenSSH_5.1 7 Un sondage sur les premiers résultats de nmap donne en gros une machine sur 2 comme un routeur avec noyau linux. François Boisson -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
Bonjour François, Le samedi 29 novembre 2008 12:27, François Boisson a écrit : > Il me semble que Sarge était touché par la faille des clefs ssh. Pour information, le wiki debian affirme le contraire: [citation]La première version vulnérable, 0.9.8c-1, a été téléchargée dans la distribution instable le 17 septembre 2006, et s'est depuis cette date propagée aux versions de test et stable actuelle (Etch). L'ancienne distribution stable (Sarge) n'est pas affectée.[fin citation] source http://www.debian.org/security/2008/dsa-1571 La même page dit que le problème existe depuis la version 0.9.8c-1 de openssl. En cherchant dans la page des paquets [1], j'ai trouvé un paquet openssl sous etch en v 0.9.8c-4etch3, mais aucun paquet openssl pour sarge. Si ça peut aider. Cordialement, -- Serge -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
L> Je vois qu'on a les mêmes (et pour une fois ce ne sont pas des machines > sous Windows, d'après la bannière du service SSH qui tourne dessus il y > a pas mal de Debian). Mais en ce qui me concerne ça fait des années que > ça dure, et ce n'est pas une unique tentative par addresse source mais > des séries entières. J'ai lancé un script nmap -O -F sur ces machines, pour le moment j'ai 4 type de réponses: * Un Windows * Une non réponse (machine down) * Des routeurs WIFI souvent sous linux * linux Les lnux s'avèrent une debian sarge à chaque fois surtout SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.4 Il me semble que Sarge était touché par la faille des clefs ssh. Seraient ce des machines corrompues à l'aide de cette faille: Quasi que des debian, et des sarge (il y a une Ubuntu). Je fais un script qui interroge tout les ports SSH... Résultats à venir. François Boisson -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
Salut, François Boisson a écrit : Charles Plessy <[EMAIL PROTECTED]> a écrit: ça fait quelques jours qu'on est en train de tester un dictionnaire sur mon serveur ssh, mais avec une adresse IP différente par mot. [...] Sans vouloir te décourager, ça dure chez moi depuis le 23 Novembre, [...] Les machines tournent, en vrac, des IPS concernées 121.138.216.194 189.43.21.244 189-47-199-6.dsl.telesp.net.br 200141223099.user.veloxzone.com.br 200.248.82.130 [...] Je vois qu'on a les mêmes (et pour une fois ce ne sont pas des machines sous Windows, d'après la bannière du service SSH qui tourne dessus il y a pas mal de Debian). Mais en ce qui me concerne ça fait des années que ça dure, et ce n'est pas une unique tentative par addresse source mais des séries entières. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
Si vous êtes peux a utilisez SSH sur cette machine, le port-knocking me semble le plus fiable. -- [EMAIL PROTECTED] ID: 0x393F4A08 Fingerprint: 9170 4DD5 31D5 4C01 1EF2 9852 0DB1 A9E5 393F 4A08
Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
Charles Plessy a écrit : > Bonjour tout le monde, > > ça fait quelques jours qu'on est en train de tester un dictionnaire sur mon > serveur ssh, mais avec une adresse IP différente par mot. C'est très énervant > car j'utilise logcheck, qui m'envoie des tonnes de notifications du genre > suivant : > > Nov 29 12:12:14 kunpuu sshd[13789]: pam_unix(sshd:auth): authentication > failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=75.24.138.85 > Nov 29 12:12:17 kunpuu sshd[13787]: error: PAM: User not known to the > underlying authentication module for illegal user earl from 75.24.138.85 > Nov 29 12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): check pass; user > unknown > Nov 29 12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): authentication > failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.108.238.140 > Nov 29 12:14:28 kunpuu sshd[13790]: error: PAM: User not known to the > underlying authentication module for illegal user earlene from 218.108.238.140 > > Quelqu'un connaît-t-il une bonne méthode pour se débarasser de ces tentatives > de connextion (hormis le déplacement du port 22 à une autre adresse ?) Par > exemple, existe-t-il des listes noires ? > > Amicalement, > Personellement, j'utilise deux ports: - le port 22 est "privé": bloqué sauf pour des IPs spécifiques - un port "publique": ouvert à toutes les IPs (ou presque) Pour cela, il suffit de rajouter une deuxième ligne "Port ..." dans la conf d'openssh, et de faire des règles iptables (ou pf sur un BSD). Un attaquant acharné pourra certainement trouver le port "publique", mais si on se débarasse des automates triviaux, c'est déjà ça. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
Le Sat, 29 Nov 2008 13:22:55 +0900 Charles Plessy <[EMAIL PROTECTED]> a écrit: > Bonjour tout le monde, > > ça fait quelques jours qu'on est en train de tester un dictionnaire sur mon > serveur ssh, mais avec une adresse IP différente par mot. C'est très énervant > car j'utilise logcheck, qui m'envoie des tonnes de notifications du genre > suivant : > > Nov 29 12:12:14 kunpuu sshd[13789]: pam_unix(sshd:auth): authentication > failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=75.24.138.85 Nov 29 > 12:12:17 kunpuu sshd[13787]: error: PAM: User not known to the underlying > authentication module for illegal user earl from 75.24.138.85 Nov 29 > 12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): check pass; user unknown > Nov 29 12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): authentication > failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.108.238.140 Nov 29 > 12:14:28 kunpuu sshd[13790]: error: PAM: User not known to the underlying > authentication module for illegal user earlene from 218.108.238.140 > > Quelqu'un connaît-t-il une bonne méthode pour se débarasser de ces tentatives > de connextion (hormis le déplacement du port 22 à une autre adresse ?) Par > exemple, existe-t-il des listes noires ? Sans vouloir te décourager, ça dure chez moi depuis le 23 Novembre, ça a commencé avec des logins commençant par «aadi», là j'en suis à «edwina», le tout avec un rythme pas extraordinaire mais régulier et des logs qui explosent donc. Les machines tournent, en vrac, des IPS concernées 121.138.216.194 189.43.21.244 189-47-199-6.dsl.telesp.net.br 200141223099.user.veloxzone.com.br 200.248.82.130 200.29.137.117 200.93.147.114 201.161.28.9 203.70.179.113 211.154.254.120 211.35.142.37 213.136.105.130 218.108.238.140 220.199.6.2 61.172.200.198 61.47.31.130 65.203.231.41 81-208-90-63.ip.fastwebnet.it 88-199-28-3.tktelekom.pl 89-96-172-100.ip13.fastwebnet.it 91-64-130-61-dynip.superkabel.de adsl-75-24-138-85.dsl.chcgil.sbcglobal.net bno-84-242-66-10.karneval.cz c90678d3.static.spo.virtua.com.br dum11.internetdsl.tpnet.pl host226-252-static.39-85-b.business.telecomitalia.it host81-149-101-27.in-addr.btopenworld.com robert71.lnk.telstra.net static-adsl200-75-83-104.epm.net.co mais aussi 10.230.102-84.rev.gaoland.net 115.41.148.16 116.39.30.124 120.red-80-59-254.staticip.rima-tde.net 121.138.216.194 121.33.199.37 121.33.199.39 121.33.199.40 130.red-80-37-213.staticip.rima-tde.net 154.red-80-35-196.staticip.rima-tde.net 161.red-217-126-90.staticip.rima-tde.net 169.red-80-32-193.staticip.rima-tde.net 170.56.255.20 179.26-246-81.adsl-static.isp.belgacom.be 188-120-207-85.vychcechy.adsl-llu.static.bluetone.cz 189.16.248.251 189.17.23.210 189.43.21.244 189-47-199-6.dsl.telesp.net.br 189-54-102-228-nd.cpe.vivax.com.br 190.144.61.58 190.34.148.178 190.34.164.139 193.224.93.3 193.41.235.225 193.86.111.6 194.224.118.61 Bref un robot sur des milliers de machines qui scannent des milliers de machines en même temps. Qu'ils fassent joujou, le seul souci est que je m'habitue chaque matin à avoir dans le rapport des tas de bazars et je risque de passer à coté d'autre chose. François Boisson -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
Charles Plessy wrote: Bonjour tout le monde, Bonjour, Quelqu'un connaît-t-il une bonne méthode pour se débarasser de ces tentatives de connextion (hormis le déplacement du port 22 à une autre adresse ?) Par exemple, existe-t-il des listes noires ? Je connais deux outils pour limiter les tentatives : - fail2ban : qui bloque pour une certaine durée une adresse IP suite à 5 (c'est paramétrable) tentatives infructueuses dans un temps maxi donné - knockd : qui permet d'ouvrir un port pour une IP donnée suite à une séquence prédéterminée de tentatives sur différents ports Amicalement, -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
On Saturday 29 November 2008 05:22:55 Charles Plessy wrote: > Bonjour tout le monde, > > ça fait quelques jours qu'on est en train de tester un dictionnaire sur mon > serveur ssh, mais avec une adresse IP différente par mot. C'est très > énervant car j'utilise logcheck, qui m'envoie des tonnes de notifications > du genre suivant : > > Nov 29 12:12:14 kunpuu sshd[13789]: pam_unix(sshd:auth): authentication > failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=75.24.138.85 Nov 29 > 12:12:17 kunpuu sshd[13787]: error: PAM: User not known to the underlying > authentication module for illegal user earl from 75.24.138.85 Nov 29 > 12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): check pass; user unknown > Nov 29 12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): authentication > failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.108.238.140 Nov 29 > 12:14:28 kunpuu sshd[13790]: error: PAM: User not known to the underlying > authentication module for illegal user earlene from 218.108.238.140 > > Quelqu'un connaît-t-il une bonne méthode pour se débarasser de ces > tentatives de connextion (hormis le déplacement du port 22 à une autre > adresse ?) Par exemple, existe-t-il des listes noires ? > > Amicalement, > > -- > Charles Plessy > Tsurumi, Kanagawa, Japan openssh-blacklist -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
