Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1520 connectés 

 


 Mot :   Pseudo :  
 
 Page :   1  2
Page Suivante
Auteur Sujet :

attaques brute force sur sshd, que faire ?

n°611267
ory
Posté le 27-12-2004 à 10:11:15  profilanswer
 

Reprise du message précédent :

tomate a écrit :

oue bon en même temps sur nos pitites becannes ADSL on risque pas grand chose :p


 
 
Bah, le Kevin qui s'amuse à scanner des plages d'ip avec son ToOlZ, que ca soit une LS ou une ADSL, il a la gaule pareil,il a HaCkE une machine, phEaR !!

mood
Publicité
Posté le 27-12-2004 à 10:11:15  profilanswer
 

n°611271
Tomate
Posté le 27-12-2004 à 10:16:10  profilanswer
 

ory a écrit :

Bah, le Kevin qui s'amuse à scanner des plages d'ip avec son ToOlZ, que ca soit une LS ou une ADSL, il a la gaule pareil,il a HaCkE une machine, phEaR !!


meu nan :o
 
spa avec son script à la con qu'il passera :p


---------------
:: Light is Right ::
n°611294
netswitch
minet ?
Posté le 27-12-2004 à 11:02:35  profilanswer
 

en attedant kevin la gaule, il remplit mes logs et il m'enerve..
 
 
enfin il m'enervait car depuis le no root login, le changement de port ssh et le maxauthtries = 3  il a l'air de s'être trouvé une autre cible..
 
mais j'en suis toujours pas revnu que les dev d'openssh ,'aient pas prévu le blacklistage d'ip automatique..

n°611295
ory
Posté le 27-12-2004 à 11:06:42  profilanswer
 

netswitch a écrit :

en attedant kevin la gaule, il remplit mes logs et il m'enerve..
 
 
enfin il m'enervait car depuis le no root login, le changement de port ssh et le maxauthtries = 3  il a l'air de s'être trouvé une autre cible..
 
mais j'en suis toujours pas revnu que les dev d'openssh ,'aient pas prévu le blacklistage d'ip automatique..]


 
C'est quand même le minimum vital, lis n'importe quel guide de sécurisation de sshd, ca sera écrit de faire ca.
 
Quand au blacklistage des ip, c'est pas à ssh de faire ca. T'as déjà vu un serveur apache ou un serveur mysql blacklister des ip en cas de mauvaise authentification répétée ?

n°611307
Snipe Foo
Head Shot !!!
Posté le 27-12-2004 à 11:20:33  profilanswer
 

tomate a écrit :

spa avec son script à la con qu'il passera :p


Effectivement, c'est pas avec son script bidon qu'il passera (sauf si l'acces root est autorisé et que le mot de passe est 12345...) mais son script à la con bouffe du cpu et rempli les logs. Rien que pour ça, ça merite d'etre regardé de plus près.
 
J'ai vu un projet (qui date du 18/12/2004 !!!) sur sourceforge, il a pour but de blacklister au niveau iptables les ip qui provoquent des auth failure. Pour l'instant il n'y a rien dans le projet mais je pense que ça peut etre une solution (a condition que ce soit fiable ...)

n°611308
Tomate
Posté le 27-12-2004 à 11:21:16  profilanswer
 

ory a écrit :

C'est quand même le minimum vital, lis n'importe quel guide de sécurisation de sshd, ca sera écrit de faire ca.
 
Quand au blacklistage des ip, c'est pas à ssh de faire ca. T'as déjà vu un serveur apache ou un serveur mysql blacklister des ip en cas de mauvaise authentification répétée ?


le pb c'est qu'il n'y a rien de simple pour pour blacklister


---------------
:: Light is Right ::
n°611310
Tomate
Posté le 27-12-2004 à 11:22:42  profilanswer
 

Snipe Foo a écrit :

Effectivement, c'est pas avec son script bidon qu'il passera (sauf si l'acces root est autorisé et que le mot de passe est 12345...) mais son script à la con bouffe du cpu et rempli les logs. Rien que pour ça, ça merite d'etre regardé de plus près.
 
J'ai vu un projet (qui date du 18/12/2004 !!!) sur sourceforge, il a pour but de blacklister au niveau iptables les ip qui provoquent des auth failure. Pour l'instant il n'y a rien dans le projet mais je pense que ça peut etre une solution (a condition que ce soit fiable ...)


j'ai vu qu'il y a un patch pour ssh (ou iptables ??) pour blacklister les IP, mais bon ça n'a pas l'air très suivi/abouti :/


---------------
:: Light is Right ::
n°611312
Dark_Schne​ider
Close the World, Open the Net
Posté le 27-12-2004 à 11:24:17  profilanswer
 

netswitch> en effet. tu blacklistes avec un firewall car le firewall qui plus est pourra détecter certaines techniques d'IP spoofing, etc ...


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
n°611333
Snipe Foo
Head Shot !!!
Posté le 27-12-2004 à 12:04:20  profilanswer
 

Pour info, le projet en question (blacklister les ip a partir des logs d'authentification) c'est authfail : http://sourceforge.net/projects/authfail/ reste a attendre que ça avance :)

n°611334
Tomate
Posté le 27-12-2004 à 12:06:02  profilanswer
 

Snipe Foo a écrit :

Pour info, le projet en question (blacklister les ip a partir des logs d'authentification) c'est authfail : http://sourceforge.net/projects/authfail/ reste a attendre que ça avance :)


Citation :

This Project Has Not Released Any Files


 
:D


---------------
:: Light is Right ::
mood
Publicité
Posté le 27-12-2004 à 12:06:02  profilanswer
 

n°611335
ory
Posté le 27-12-2004 à 12:08:35  profilanswer
 

Snipe Foo a écrit :

Pour info, le projet en question (blacklister les ip a partir des logs d'authentification) c'est authfail : http://sourceforge.net/projects/authfail/ reste a attendre que ça avance :)


 
 
ou contribuer

n°611336
Tomate
Posté le 27-12-2004 à 12:09:40  profilanswer
 

ory a écrit :

ou contribuer


 :jap:


---------------
:: Light is Right ::
n°611338
Snipe Foo
Head Shot !!!
Posté le 27-12-2004 à 12:12:37  profilanswer
 

ory a écrit :

ou contribuer


C'est ce que je comptais faire ;) mais j'ai peur que si je contribue, ça ne soit pas fiable :D


Message édité par Snipe Foo le 27-12-2004 à 12:13:10
n°611572
Snipe Foo
Head Shot !!!
Posté le 27-12-2004 à 20:56:36  profilanswer
 

Concernant ton kevin : Mon kevin a moi il se servait d'un serveur web qui hebergeait ... un forum PHPBB :pfff:
 
On a pas fini d'en chier avec les milliers de serveurs corrompu :(

n°614543
bucheron_s​auvage
Posté le 03-01-2005 à 13:51:21  profilanswer
 

Une alternative à authfail :  
 
http://sourceforge.net/projects/fail2ban

n°614975
weed
Posté le 04-01-2005 à 00:16:44  profilanswer
 

pas mal le coup du :
MaxStartups
MaxAuthTries
 
je vais peut etre conf ca

n°618102
pkdev
Posté le 10-01-2005 à 15:55:16  profilanswer
 

salut je viens de lire vite fait les réponses à ta question et j ai vu personne proposé un truc genre blacklisté dans le /etc/hosts.deny ?? ca pourrais pas etre la solution si ca viens toujours de la meme ip ?
 
enfin c juste une idée comme ca :)
 
bon courage
 
++
PkDeV

n°618103
Tomate
Posté le 10-01-2005 à 15:55:58  profilanswer
 

pkdev a écrit :

salut je viens de lire vite fait les réponses à ta question et j ai vu personne proposé un truc genre blacklisté dans le /etc/hosts.deny ?? ca pourrais pas etre la solution si ca viens toujours de la meme ip ?
 
enfin c juste une idée comme ca :)
 
bon courage
 
++
PkDeV


bah le pb c'est que c'est pas automatisé :D


---------------
:: Light is Right ::
n°618107
black_lord
Modérateur
Truth speaks from peacefulness
Posté le 10-01-2005 à 16:03:22  profilanswer
 

MaxAuthTries n'apparait pas dans le man sshd_config :??:


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
n°618112
Tomate
Posté le 10-01-2005 à 16:19:31  profilanswer
 

black_lord a écrit :

MaxAuthTries n'apparait pas dans le man sshd_config :??:


effectivement
 
option cachée ? :D


---------------
:: Light is Right ::
n°618284
splurf
Rm -Rf / && oops :o
Posté le 10-01-2005 à 21:47:26  profilanswer
 

idées en vrac
 
portknocking
pam_tally
changement de port

n°621834
Cruchot
Posté le 17-01-2005 à 18:18:01  profilanswer
 

Pour ma part j'ai fait un script vite fait en bash qui scanne les logs et applique les règles iptables qui vont bien. Par contre ça tourne une fois par heure seulement (cron) :/ Enfin bon c'est fait à l'arrache aussi :/


Message édité par Cruchot le 17-01-2005 à 18:27:54
n°621837
Sly Angel
Architecte / Développeur principal
Posté le 17-01-2005 à 18:22:53  profilanswer
 

Le danger que j'y trouve à ce genre de script, c'est qu'il faut aussi se protéger soi même, si un mec balance une merde qui te bloque toi avec, c'est pas la joie non plus :/

n°621841
Cruchot
Posté le 17-01-2005 à 18:30:58  profilanswer
 

D'ailleurs il m'a servi cette nuit, +2800 tentatives en 1H. Mais il faut que je l'améliore, sinon pour ce que tu disais via mon serveur web je pourrais avec sudo + exec (php) lancer une commande qui réinitialise le firewall ... Je le fais déjà pour activer/désactiver certains trucs via apache (url protégée par password et connue de moi seul).


Message édité par Cruchot le 17-01-2005 à 18:31:21
n°621862
busOman
Hiver.
Posté le 17-01-2005 à 18:55:55  profilanswer
 

Cruchot a écrit :

Pour ma part j'ai fait un script vite fait en bash qui scanne les logs et applique les règles iptables qui vont bien. Par contre ça tourne une fois par heure seulement (cron) :/ Enfin bon c'est fait à l'arrache aussi :/


 
Tu peux nous faire partager ton script ?

n°621869
Cruchot
Posté le 17-01-2005 à 18:59:31  profilanswer
 

Bon d'accord mais il est laid :/
 

Code :
  1. #!/usr/bin/bash
  2. LOG=/var/log/messages
  3. IPTABLES=/usr/sbin/iptables
  4. BLIST=/var/log/sshd_blacklist
  5. FW=/usr/bin/firewall
  6. #Liste des ips dont les connexions sont KO pour l'heure courante
  7. C_HEURE=`date +%H:`
  8. LIST_IP=`awk '/sshd/' $LOG |grep "Failed password"|grep $C_HEURE|awk '{print $13}'|sort -u`
  9. #On compte le nb de connexions KO dans l'heure pour chaque ip + check si deja blacklistee
  10. for IP in `echo $LIST_IP`
  11. do
  12. if [ -z "`awk -v BIP="$IP" '{print BIP}' $FW`" ]
  13.         then
  14.                 NB=`awk '/sshd/' $LOG |grep "Failed password"|grep "$C_HEURE"|awk '{print $13}'|wc -l`
  15.                 if [ $NB -ge 10 ]
  16.                         then
  17.                         echo "Adresse blacklistée : $IP (`whois $IP|grep netname|head -|awk -F ":" '{print $2}'`) `date +%d/%m/%Y_%HH%M`" >> $BLIST
  18.                         #Mise à jour du script firewall
  19.                         echo "$IPTABLES -I INPUT -s $IP -p tcp --dport 22 -j DROP       #SSH" >> $FW
  20.                         #Application de la regle sans tout reloader via le script firewall
  21.                         $IPTABLES -I INPUT -s $IP -p tcp --dport 22 -j DROP
  22.                 fi
  23. exit
  24. fi
  25. done


 
Il faut que je rajoute une vérification pour voir si l'ip a déjà été blacklistée.
 
Edit : j'ai modifié le script


Message édité par Cruchot le 18-01-2005 à 08:09:32
n°621895
Tomate
Posté le 17-01-2005 à 19:33:04  profilanswer
 

tu peux commencer par ne faire qu'une seule fois cette commande :
 

awk '/sshd/' /var/log/messages |grep "Failed password"|grep "$C_HEURE"|awk '{print $13}'


 
;)
 
edit : il serait interessant de rajouter une whitelist, au cas où :D


Message édité par Tomate le 17-01-2005 à 19:33:44

---------------
:: Light is Right ::
n°621898
ory
Posté le 17-01-2005 à 19:38:02  profilanswer
 

Cruchot a écrit :

D'ailleurs il m'a servi cette nuit, +2800 tentatives en 1H. Mais il faut que je l'améliore, sinon pour ce que tu disais via mon serveur web je pourrais avec sudo + exec (php) lancer une commande qui réinitialise le firewall ... Je le fais déjà pour activer/désactiver certains trucs via apache (url protégée par password et connue de moi seul).


 
Même en ayant changé le port ssh ?

n°621899
ory
Posté le 17-01-2005 à 19:39:04  profilanswer
 

Cruchot a écrit :

Bon d'accord mais il est laid :/
 

Code :
  1. set -x
  2. #Liste des ips dont les connexions sont KO pour l'heure courante
  3. C_HEURE=`date +%H:`
  4. LIST_IP=`awk '/sshd/' /var/log/messages |grep "Failed password"|grep $C_HEURE|awk '{print $13}'|sort -u`
  5. #On compte le nb de connexions KO dans l'heure pour chaque ip
  6. for IP in `echo $LIST_IP`
  7. do
  8. NB=`awk '/sshd/' /var/log/messages |grep "Failed password"|grep "$C_HEURE"|awk '{print $13}'|wc -l`
  9. if [ $NB -ge 10 ]
  10.         then
  11.         echo "Adresse blacklistée : $IP (`whois $IP|grep netname|head -1|awk -F ":" '{print $2}'`) `date +%d/%m/%Y_%HH%M`" >> /var/log/sshd_blacklist
  12.         #Mise à jour du script firewall
  13.         echo "/usr/sbin/iptables -I INPUT -s $IP -p tcp --dport 22 -j DROP      #SSH" >> /usr/bin/firewall
  14.         #Application de la regle sans tout reloader via le script firewall
  15.         /usr/sbin/iptables -I INPUT -s $IP -p tcp --dport 22 -j DROP
  16. fi
  17. done


 
Il faut que je rajoute une vérification pour voir si l'ip a déjà été blacklistée.


 
 
Faut pas se planter en tapant son pass  :D

n°621902
Tomate
Posté le 17-01-2005 à 19:41:48  profilanswer
 

ory a écrit :

Faut pas se planter en tapant son pass  :D


kler, surtout que ça m'arrive de me planter :D


---------------
:: Light is Right ::
n°622034
Cruchot
Posté le 17-01-2005 à 21:28:48  profilanswer
 

ory a écrit :

Même en ayant changé le port ssh ?


 
Bein en fait j'ai remis le port par défaut pour tester un truc, mais je vais surement remettre l'ancien ;)

n°622036
Cruchot
Posté le 17-01-2005 à 21:33:23  profilanswer
 

tomate a écrit :

tu peux commencer par ne faire qu'une seule fois cette commande :
 

awk '/sshd/' /var/log/messages |grep "Failed password"|grep "$C_HEURE"|awk '{print $13}'


 
;)
 
edit : il serait interessant de rajouter une whitelist, au cas où :D


 
Vas-y , j'ai déjà modifié des trucs. Sinon la whislist oui, suffit de mettre un grep -v.


Message édité par Cruchot le 17-01-2005 à 21:33:43
n°622038
Tomate
Posté le 17-01-2005 à 21:34:47  profilanswer
 

Cruchot a écrit :

Vas-y , j'ai déjà modifié des trucs. Sinon la whislist oui, suffit de mettre un grep -v.


vas-y quoi ? :D


---------------
:: Light is Right ::
n°622043
Cruchot
Posté le 17-01-2005 à 21:38:30  profilanswer
 

Bein pour la ligne

Code :
  1. awk '/sshd/' /var/log/messages |grep "Failed password"|grep "$C_HEURE"|awk '{print $13}'

, je vois pas sur le coup la :??: L'exécuter une seule fois ?

n°622047
Tomate
Posté le 17-01-2005 à 21:42:20  profilanswer
 

Cruchot a écrit :

Bein pour la ligne

Code :
  1. awk '/sshd/' /var/log/messages |grep "Failed password"|grep "$C_HEURE"|awk '{print $13}'

, je vois pas sur le coup la :??: L'exécuter une seule fois ?


oui elle est en double, donc autant mettre le résultat dans un variable
par contre adieux les retours à la ligne en shell :/


---------------
:: Light is Right ::
n°622050
Cruchot
Posté le 17-01-2005 à 21:44:04  profilanswer
 

Ouais voila ça m'embête aussi pour les retours à la ligne. Enfin bon ça ira comme ça :)


Message édité par Cruchot le 17-01-2005 à 21:44:17
n°622056
Tomate
Posté le 17-01-2005 à 21:49:46  profilanswer
 

Cruchot a écrit :

Ouais voila ça m'embête aussi pour les retours à la ligne. Enfin bon ça ira comme ça :)


oue kler :D
 
mais sinon il a une autre méthode : logtail
ça permet de ne pas parser tout le fichier de log à chaque fois, mais juste ce qu'il y a de nouveau dans le fichier :)


---------------
:: Light is Right ::
n°622061
Cruchot
Posté le 17-01-2005 à 21:57:02  profilanswer
 

Oui tiens pas bête, je note :)

mood
Publicité
Posté le   profilanswer
 

 Page :   1  2
Page Suivante

Aller à :
Ajouter une réponse
 

Sujets relatifs
installer sshdAttaques SSH
force une carte réseaux giga bits en 100 mega bits sous linuxxset dpms force off + apm -s
Xinetd et sshd (2e post)la 9.2 .... mon sshd ne veut plus authentifier root , juste un user !
[SSHD] Bloquer un utilisateur dans son homesshd et IPv6
ssh / brute force 
Plus de sujets relatifs à : attaques brute force sur sshd, que faire ?


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR