Re: Blacklistage d'ip par ssh ?
Benjamin RIOU wrote: c'est pas ça qui charge le serveur... ué mais après les logs de lastb sont pas jolis :-) disons que ça demande une commande sup (sed ou grep au choix) pour les lire ;-) Daniel -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Blacklistage d'ip par ssh ?
On Wed, Jun 06, 2007 at 12:10:03AM +0200, mouss wrote: [...] certes, mais beaucoup de script kiddies font des tentatives aveugles. et trouver un port parmi un peu moins de 6 (en supposant que le gars devine qu'on va le mettre plus haut que 5000, ce qui n'est d'ailleurs pas necessaire), ça prend du temps. et surtout, faut faire du scan, et ça, ça se voit (sauf si le mec fait du scan distribué, mais ça c'est un autre problème...). Cela se voit, cela depend de ta configuration reseau. Une xxxbox peut aussi avoir un firewall et ne laisser passer que ce que tu veux. Du coup le poste situe sur ton reseau ne verra que ce que la xxbox laissera passer. Ainsi, si seul ton service SSH tourne sur un port particulier, un scan le mettra en evidence sans trop de probleme. meme si cela doit prendre du temps. de toute façon, rien n'empêche de combiner plusieurs approches. C'est pas interdit. -- Franck Joncourt http://www.debian.org - http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE signature.asc Description: Digital signature
Re: Blacklistage d'ip par ssh ?
Le Tue, 5 Jun 2007 15:01:11 + (GMT) BOURGEOIS Christophe [EMAIL PROTECTED] a écrit: Bonjour, J'ai un serveur qui a été 'victime' d'une attaque par ssh. Pendant plusieurs heures il y a eu des tentatives de connexion avec des comptes qui n'existent pas. Est-ce qu'il y a un paramétrage du serveur ssh pour blacklister automatiquement une adresse ip après un certain nombre de tentatives de connexion infructueuses ? Christophe. J'utilise avec succès ipt_recent pour ssh et ftp iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j DROP iptables -A INPUT -p tcp --dport 21 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 21 -m state --state NEW -m recent --update --seconds 90 --hitcount 10 -j DROP Très efficace. François Boisson François Boisson -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Blacklistage d'ip par ssh ?
BOURGEOIS Christophe wrote: Bonjour, J'ai un serveur qui a été 'victime' d'une attaque par ssh. Pendant plusieurs heures il y a eu des tentatives de connexion avec des comptes qui n'existent pas. Est-ce qu'il y a un paramétrage du serveur ssh pour blacklister automatiquement une adresse ip après un certain nombre de tentatives de connexion infructueuses ? Christophe. ça existe (me rappelle plus le package), mais ça ne sert pas à grand chose à cause des adresses IP dynamiques. j'installerais plutôt knockd, qui ouvre le port de ton choix suite à un envoi de packets particuliers sur des ports particuliers, le tout dans un ordre particulier : c'est plus professionnel :-) -- Obviously the only rational solution to your problem is suicide.
Re: Blacklistage d'ip par ssh ?
Le mardi 5 juin 2007 17:01, BOURGEOIS Christophe a écrit : Bonjour, Bonjour, J'ai un serveur qui a été 'victime' d'une attaque par ssh. Pendant plusieurs heures il y a eu des tentatives de connexion avec des comptes qui n'existent pas. Est-ce qu'il y a un paramétrage du serveur ssh pour blacklister automatiquement une adresse ip après un certain nombre de tentatives de connexion infructueuses ? fail2ban est idéal, il me semble Christophe. Dams ___ __ Ne gardez plus qu'une seule adresse mail ! Copiez vos mails vers Yahoo! Mail Quelle nouveauté !? :) -- pgpTptEfHVWwH.pgp Description: PGP signature
Re: Blacklistage d'ip par ssh ?
BOURGEOIS Christophe wrote: Bonjour, J'ai un serveur qui a été 'victime' d'une attaque par ssh. Pendant plusieurs heures il y a eu des tentatives de connexion avec des comptes qui n'existent pas. Et où est le pb ? Est-ce qu'il y a un paramétrage du serveur ssh pour blacklister automatiquement une adresse ip après un certain nombre de tentatives de connexion infructueuses ? La meilleure des sécurité est d'avoir des mot de passe solide, voir de n'accepter que les clés (sauf pour un user de secours quand même), et de ne pas le laisser trainer sur un post-it. Ensuite, les tentatives de connexions, j'en ai aussi des milliers mais ça ne me chagrine pas plus que ça, c'est pas ça qui charge le serveur... -- Daniel R: Parce que ça renverse bêtement l'ordre naturel de lecture! Q: Mais pourquoi citer en fin de message est-il si effroyable? R: Répondre au dessus de la citation Q: Quelle est la chose la plus désagréable dans un message ? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Blacklistage d'ip par ssh ?
On Tue, Jun 05, 2007 at 05:32:39PM +0200, François Boisson wrote: Le Tue, 5 Jun 2007 15:01:11 + (GMT) [...] J'utilise avec succès ipt_recent pour ssh et ftp iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j DROP iptables -A INPUT -p tcp --dport 21 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 21 -m state --state NEW -m recent --update --seconds 90 --hitcount 10 -j DROP Très efficace. En considerant que tu as trois tentatives pour chaque nouvelle connexion, pour le FTP on obtient : 9 * 3 = 27 tentatives en 1 min 30. 9 utilisateurs differents peuvent se connecter dans un laps de 1 min 30, mais un seul petit malin peu tenter 27 mots de passe dans ce meme laps de temps. Les limites dependent de chacun :p -- Franck Joncourt http://www.debian.org - http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE signature.asc Description: Digital signature
Re: Blacklistage d'ip par ssh ?
On Tue, Jun 05, 2007 at 05:35:16PM +0200, Jean-Yves F. Barbier wrote: BOURGEOIS Christophe wrote: Bonjour, J'ai un serveur qui a été 'victime' d'une attaque par ssh. Pendant plusieurs heures il y a eu des tentatives de connexion avec des comptes qui n'existent pas. Est-ce qu'il y a un paramétrage du serveur ssh pour blacklister automatiquement une adresse ip après un certain nombre de tentatives de connexion infructueuses ? Christophe. ça existe (me rappelle plus le package), mais ça ne sert pas à grand chose à cause des adresses IP dynamiques. j'installerais plutôt knockd, qui ouvre le port de ton choix suite à un envoi de packets particuliers sur des ports particuliers, le tout dans un ordre particulier : c'est plus professionnel :-) Tu peux aussi choisir les flags et le protocole a utiliser. Arriver la, c'est deja pas mal en matiere de securite. Et si tu veux t'amuser un peu, tu peux aussi regarder du cote du module recent avec iptables pour creer ton propre knockd. -- Franck Joncourt http://www.debian.org - http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE signature.asc Description: Digital signature
Re: Blacklistage d'ip par ssh ?
Le Tue, 5 Jun 2007 20:03:41 +0200 Franck Joncourt [EMAIL PROTECTED] a écrit: 9 utilisateurs differents peuvent se connecter dans un laps de 1 min 30, mais un seul petit malin peu tenter 27 mots de passe dans ce meme laps de temps. Les limites dependent de chacun :p Mon record est un gugus, dont l'IP est 201.243.110.27, qui a essayé sans discontinuer à raison d'un essai toutes les 5 secondes en moyenne du 13 Février 04:51:03 au 16 Février à 06:43:45 des mots de passe sur mon serveur pour un total de 28638 essais Depuis, je n'ai plus de tentatives qui s'éternise au delà de quelques minutes, c'est ce que je voulais. En fait j'ai du mettre ce seuil assez haut pour le ftp à cause des sessions d'apt-get qui ouvrent beaucoup de connexions en peu de temps... François Boisson -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Blacklistage d'ip par ssh ?
On Tue, Jun 05, 2007 at 08:23:00PM +0200, François Boisson wrote: Le Tue, 5 Jun 2007 20:03:41 +0200 Franck Joncourt [EMAIL PROTECTED] a écrit: 9 utilisateurs differents peuvent se connecter dans un laps de 1 min 30, mais un seul petit malin peu tenter 27 mots de passe dans ce meme laps de temps. Les limites dependent de chacun :p Mon record est un gugus, dont l'IP est 201.243.110.27, qui a essayé sans discontinuer à raison d'un essai toutes les 5 secondes en moyenne du 13 Février 04:51:03 au 16 Février à 06:43:45 des mots de passe sur mon serveur pour un total de 28638 essais Depuis, je n'ai plus de tentatives qui s'éternise au delà de quelques minutes, c'est ce que je voulais. Ca m'a l'air pas mal du tout dis donc. Il a fait dans la discretion :p! En fait j'ai du mettre ce seuil assez haut pour le ftp à cause des sessions d'apt-get qui ouvrent beaucoup de connexions en peu de temps... C'est ce que je disais, cela depend de ce que l'on fait avec son serveur. Je n'ai que mon serveur perso et pas l'utilite d'autoriser de nombreuses connexions donc je verrouille la bete. Mon firewall ne loggue rien, ce sont les services sollicites qui le font et l'IDS qui me previent par mail des tentatives d'intrusions. -- Franck Joncourt http://www.debian.org - http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE signature.asc Description: Digital signature
Re: Blacklistage d'ip par ssh ?
Le Tue, 05 Jun 2007 18:02:19 +0200, Daniel Caillibaud [EMAIL PROTECTED] a écrit : c'est pas ça qui charge le serveur... ué mais après les logs de lastb sont pas jolis :-) ++ Ben -- Grace à ses technologies pointues, nous pouvons dire que notre système ne plantera jamais. Il est parfaitement stable et ne craint plus non plus les virus informatiques. -- Jayce - Mes chaussures me serrent un peu --
Re: Blacklistage d'ip par ssh ?
vous faites fort ! moi j'ai changer de port ssh et depuis je dors mais je dors :- Guy Franck Joncourt a écrit : On Tue, Jun 05, 2007 at 05:35:16PM +0200, Jean-Yves F. Barbier wrote: BOURGEOIS Christophe wrote: Bonjour, J'ai un serveur qui a été 'victime' d'une attaque par ssh. Pendant plusieurs heures il y a eu des tentatives de connexion avec des comptes qui n'existent pas. Est-ce qu'il y a un paramétrage du serveur ssh pour blacklister automatiquement une adresse ip après un certain nombre de tentatives de connexion infructueuses ? Christophe. ça existe (me rappelle plus le package), mais ça ne sert pas à grand chose à cause des adresses IP dynamiques. j'installerais plutôt knockd, qui ouvre le port de ton choix suite à un envoi de packets particuliers sur des ports particuliers, le tout dans un ordre particulier : c'est plus professionnel :-) Tu peux aussi choisir les flags et le protocole a utiliser. Arriver la, c'est deja pas mal en matiere de securite. Et si tu veux t'amuser un peu, tu peux aussi regarder du cote du module recent avec iptables pour creer ton propre knockd. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Blacklistage d'ip par ssh ?
mardi 05 juin 2007 à 23:07:30 De Leeuw Guy a ecrit : vous faites fort ! moi j'ai changer de port ssh et depuis je dors mais je dors :- c est une solution mais des fois on se fait avoir si le port de sortie qu on a choisi est ferme sur la machine a partir de laquelle on essaie de se connecter... alors que le 22 est souvent ouvert lui... sinon on peut rajouter une ou 2 regles iptables qui permettent de bloquer une ip pour 1min si elle fait plus d un certain nombre de tentatives en un lapse de tps (on peut definir tous ces parametres...) B- Guy Franck Joncourt a écrit : On Tue, Jun 05, 2007 at 05:35:16PM +0200, Jean-Yves F. Barbier wrote: BOURGEOIS Christophe wrote: Bonjour, J'ai un serveur qui a été 'victime' d'une attaque par ssh. Pendant plusieurs heures il y a eu des tentatives de connexion avec des comptes qui n'existent pas. Est-ce qu'il y a un paramétrage du serveur ssh pour blacklister automatiquement une adresse ip après un certain nombre de tentatives de connexion infructueuses ? Christophe. ça existe (me rappelle plus le package), mais ça ne sert pas à grand chose à cause des adresses IP dynamiques. j'installerais plutôt knockd, qui ouvre le port de ton choix suite à un envoi de packets particuliers sur des ports particuliers, le tout dans un ordre particulier : c'est plus professionnel :-) Tu peux aussi choisir les flags et le protocole a utiliser. Arriver la, c'est deja pas mal en matiere de securite. Et si tu veux t'amuser un peu, tu peux aussi regarder du cote du module recent avec iptables pour creer ton propre knockd. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Le mot de démocratie a déjà tellement servi qu'il a perdu toute signification, c'est probablement le mot le plus prostitué de toutes les langues. G. Bernanos -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Blacklistage d'ip par ssh ?
On Tue, Jun 05, 2007 at 11:07:30PM +0200, De Leeuw Guy wrote: vous faites fort ! moi j'ai changer de port ssh et depuis je dors mais je dors :- Guy Ce qui me deplait dans cette methode c'est qu'un simple telnet sur le nouveau port ou le serveur SSH ecoute, nous diras gentiment coucou en nous presentant la banniere SSH :p! Simplement pour dire que si quelqu'un cherche ton port SSH, il le trouvera, et on se retrouve dans le meme contexte que sur le port 22. Bonne nuit ! -- Franck Joncourt http://www.debian.org - http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE signature.asc Description: Digital signature
Re: Blacklistage d'ip par ssh ?
Jean-Yves F. Barbier wrote: BOURGEOIS Christophe wrote: Bonjour, J'ai un serveur qui a été 'victime' d'une attaque par ssh. Pendant plusieurs heures il y a eu des tentatives de connexion avec des comptes qui n'existent pas. Est-ce qu'il y a un paramétrage du serveur ssh pour blacklister automatiquement une adresse ip après un certain nombre de tentatives de connexion infructueuses ? Christophe. ça existe (me rappelle plus le package), mais ça ne sert pas à grand chose à cause des adresses IP dynamiques. tu parles peut-etre de denyhosts http://denyhosts.sourceforge.net/ ? j'installerais plutôt knockd, qui ouvre le port de ton choix suite à un envoi de packets particuliers sur des ports particuliers, le tout dans un ordre particulier : c'est plus professionnel :-) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Blacklistage d'ip par ssh ?
Le Tue, 05 Jun 2007 17:40:11 +0200, Damien Ulrich a écrit: Le mardi 5 juin 2007 17:01, BOURGEOIS Christophe a écrit : J'ai un serveur qui a été 'victime' d'une attaque par ssh. Pendant plusieurs heures il y a eu des tentatives de connexion avec des comptes qui n'existent pas. Est-ce qu'il y a un paramétrage du serveur ssh pour blacklister automatiquement une adresse ip après un certain nombre de tentatives de connexion infructueuses ? fail2ban est idéal, il me semble J'approuve. Il a d'ailleurs été « paquet debian du jour » il n'y a pas bien longtemps. C'est très pratique à mettre en place : dans la config par défaut, il bloque pendant 5 minutes toute IP qui fait plus de trois tentatives infructueuses de connexion ssh en moins de 5 minutes. Il faut savoir que 99% des agresseurs ne reviendront pas après seulement 5 minutes, et que pour un utilisateur malchanceux c'est pas très gênant non plus. C'est très simple à configurer (dans jail.conf qui se lit comme un roman) et ça peut prendre en charge les tentatives de connexions sur tes autres services (ftp, mail...) si tu en as. Manuel. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Blacklistage d'ip par ssh ?
Franck Joncourt wrote: On Tue, Jun 05, 2007 at 11:07:30PM +0200, De Leeuw Guy wrote: vous faites fort ! moi j'ai changer de port ssh et depuis je dors mais je dors :- je confirme. plus de logs ssh, et pourtant les salauds tentent d'autres ports dont le 22 (mais pas à Asnières:) [j'avais envie de la sortir celle-la]. Ce qui me deplait dans cette methode c'est qu'un simple telnet sur le nouveau port ou le serveur SSH ecoute, nous diras gentiment coucou en nous presentant la banniere SSH :p! Simplement pour dire que si quelqu'un cherche ton port SSH, il le trouvera, et on se retrouve dans le meme contexte que sur le port 22. certes, mais beaucoup de script kiddies font des tentatives aveugles. et trouver un port parmi un peu moins de 6 (en supposant que le gars devine qu'on va le mettre plus haut que 5000, ce qui n'est d'ailleurs pas necessaire), ça prend du temps. et surtout, faut faire du scan, et ça, ça se voit (sauf si le mec fait du scan distribué, mais ça c'est un autre problème...). de toute façon, rien n'empêche de combiner plusieurs approches. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Blacklistage d'ip par ssh ?
de toute façon, rien n'empêche de combiner plusieurs approches. ca c'est la bonne approche effectivement :-) po pu m'empecher non plus :-) a++ Guy -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Blacklistage d'ip par ssh ?
Bonsoir Franck Tu as tout a fait raison Cependant j'ai mis en place cette approche en fevrier grace a mon pote daniel. Et je dois t'avouer que depuis j'ai plus rien dans mes logs. alors wait and see mais pour l'instant c'est fonctionnel. a++ Guy Franck Joncourt a écrit : On Tue, Jun 05, 2007 at 11:07:30PM +0200, De Leeuw Guy wrote: vous faites fort ! moi j'ai changer de port ssh et depuis je dors mais je dors :- Guy Ce qui me deplait dans cette methode c'est qu'un simple telnet sur le nouveau port ou le serveur SSH ecoute, nous diras gentiment coucou en nous presentant la banniere SSH :p! Simplement pour dire que si quelqu'un cherche ton port SSH, il le trouvera, et on se retrouve dans le meme contexte que sur le port 22. Bonne nuit ! -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]