| View previous topic :: View next topic |
| Author |
Message |
digimag
Guru
Joined: 14 May 2005
Posts: 451
Location: Toulouse, France
|
 Posted: Thu Jan 12, 2006 12:35 pm Post subject: [Sécurité Réseau] Accès illégal au SSH! (Résolu) |
 |
|
Bonjour,
Je suis tout simplement stupefait: | Code: | Jan 7 09:47:44 [sshd]
[...]
Invalid user rpcuser from 219.117.232.218
Jan 7 09:47:46 [sshd] Invalid user rpc from 219.117.232.218
Jan 7 09:47:48 [sshd] Invalid user gopher from 219.117.232.218
Jan 7 10:53:01 [sshd] Accepted keyboard-interactive/pam for root from 194.199.224.99 port 14354 ssh2 |
 Ce n'est pas l'IP qui scannait, la 219.117.232.218, je m'en fiche mais 194.199.224.99... Là, je ne comprends plus rien!!! La seule personne qui a le mot de passe est moi. Moi, j'ai un FAI sous le nom d'Alice et mon IP commence toujours par 83 (ou défois 82 je crois)! Jamais je n'aurai pu avoir ceci comme IP. De plus, juste après il y a ma connection: | Code: | Jan 7 10:53:01 [sshd] Accepted keyboard-interactive/pam for root from 194.199.224.99 port 14354 ssh2
Jan 7 13:27:08 [sshd] Accepted publickey for root from 83.157.23.27 port 57043 ssh2 |
Alors, c'est un mistère pour moi. Que dois-je faire maintenant? Et puis, suis-je tellement vulnérable?  Je ne comprends pas comment cela est-ce possible...
Regardez d'où vient l'IP en question...
Personnellement, j'habite à Marseille. Mais l'adresse IP en question est là et bien là, vous pouvez faire un ping dessus, alors qu'actuellement mon IP a déjà changé!  Ce n'est pas moi dans tous les cas, derrière cette IP...
_________________
Sacha
Last edited by digimag on Tue Jan 17, 2006 5:35 pm; edited 1 time in total |
|
| Back to top |
|
 |
coco-loco
Apprentice
Joined: 30 Oct 2005
Posts: 249
|
| Posted: Thu Jan 12, 2006 12:54 pm Post subject: |
|
|
| A ta place, je changerai tout de suite de mot de passe. Mets quelque chose de compliqué, avec des majuscules, miniscules et des chiffres et lettres mélangés. C'est peut être quelqu'un qui fait tourner un programme pour craquer les mots de passe - si c'est trop simple, ça se déchiffre ne moins de deux. |
|
| Back to top |
|
|
kernelsensei
Bodhisattva
Joined: 22 Feb 2004
Posts: 5619
Location: Woustviller/Moselle/FRANCE (49.07°N;7.02°E)
|
| Posted: Thu Jan 12, 2006 12:56 pm Post subject: |
|
|
Mhh, juste par curiosité, ton ancien mot de passe root (car tu l'as changé je pense) avait combien de caracteres ? Et quoi comme ? Tu alternais alpha et num ? Majuscules / Minuscules et caracteres speciaux ?
N'empeche si il a reussi du premier coup, le mot de passe a du etre intercepté d'une maniere ou d'une autre, car sinon on aurait constaté une attaque bruteforce ... (a moins qu'il ait eu du pot et que ton mdp etait le premier de sa liste !)
_________________
$ ruby -e'puts " .:@BFegiklnorst".unpack("x4ax7aaX6ax5aX15ax4aax6aaX7ax2aX5aX8 \
axaX3ax8aX4ax6aX3aX6ax3ax3aX9ax4ax2aX9axaX6ax3aX2ax4ax3aX4aXaX12ax10aaX7a").join' |
|
| Back to top |
|
|
dapsaille
Advocate
Joined: 02 Aug 2004
Posts: 2366
Location: Paris
|
| Posted: Thu Jan 12, 2006 1:01 pm Post subject: |
|
|
| coco-loco wrote: | | A ta place, je changerai tout de suite de mot de passe. Mets quelque chose de compliqué, avec des majuscules, miniscules et des chiffres et lettres mélangés. C'est peut être quelqu'un qui fait tourner un programme pour craquer les mots de passe - si c'est trop simple, ça se déchiffre ne moins de deux. |
Je ne suis pas d'accord ... si le système a été pénétré en plus sans brute force , le mec doit savoir ce qu'il fait donc dès qu'il est rentré tu peux etre sur a 90% que le système est plombé ... |
|
| Back to top |
|
|
kernelsensei
Bodhisattva
Joined: 22 Feb 2004
Posts: 5619
Location: Woustviller/Moselle/FRANCE (49.07°N;7.02°E)
|
| Posted: Thu Jan 12, 2006 1:06 pm Post subject: |
|
|
| dapsaille wrote: | | coco-loco wrote: | | A ta place, je changerai tout de suite de mot de passe. Mets quelque chose de compliqué, avec des majuscules, miniscules et des chiffres et lettres mélangés. C'est peut être quelqu'un qui fait tourner un programme pour craquer les mots de passe - si c'est trop simple, ça se déchiffre ne moins de deux. |
Je ne suis pas d'accord ... si le système a été pénétré en plus sans brute force , le mec doit savoir ce qu'il fait donc dès qu'il est rentré tu peux etre sur a 90% que le système est plombé ... |
+1
Reinstall complete et si necessaire, recuperation des data utilisées en les passant a la loupe ! 
_________________
$ ruby -e'puts " .:@BFegiklnorst".unpack("x4ax7aaX6ax5aX15ax4aax6aaX7ax2aX5aX8 \
axaX3ax8aX4ax6aX3aX6ax3ax3aX9ax4ax2aX9axaX6ax3aX2ax4ax3aX4aXaX12ax10aaX7a").join' |
|
| Back to top |
|
|
coco-loco
Apprentice
Joined: 30 Oct 2005
Posts: 249
|
| Posted: Thu Jan 12, 2006 1:16 pm Post subject: |
|
|
Après réfléction, je suis d'accord, pas de trace de brute force.
Mais si c'est intercepté... serait-il assez bête pour utiliser le même mot de passe pour différents accès (peut-être même le internet-banking?), dans ce cas, il faut réagir vite, sinon... |
|
| Back to top |
|
|
Talosectos
Guru
Joined: 31 Aug 2004
Posts: 329
Location: Bugey-Libre
|
|
| Back to top |
|
|
kernelsensei
Bodhisattva
Joined: 22 Feb 2004
Posts: 5619
Location: Woustviller/Moselle/FRANCE (49.07°N;7.02°E)
|
| Posted: Thu Jan 12, 2006 1:43 pm Post subject: |
|
|
en effet ... renater c'est pas un reseau de fac en france ? Tu te serais pas connecté de ta fac / ecole / ... ?
_________________
$ ruby -e'puts " .:@BFegiklnorst".unpack("x4ax7aaX6ax5aX15ax4aax6aaX7ax2aX5aX8 \
axaX3ax8aX4ax6aX3aX6ax3ax3aX9ax4ax2aX9axaX6ax3aX2ax4ax3aX4aXaX12ax10aaX7a").join' |
|
| Back to top |
|
|
Adrien
Advocate
Joined: 13 Jul 2004
Posts: 2308
Location: Bretagne
|
| Posted: Thu Jan 12, 2006 1:56 pm Post subject: |
|
|
| kernel_sensei wrote: | | en effet ... renater c'est pas un reseau de fac en france |
Renater c'est un groupe qui s'occupe (entre autres peut-être) de surveiller le traffic qu'il y a sur la totalité du réseau auquel sont connectées toutes les facs de France.
edit: C'est aussi le nom du réseau apparemment...  |
|
| Back to top |
|
|
Talosectos
Guru
Joined: 31 Aug 2004
Posts: 329
Location: Bugey-Libre
|
|
| Back to top |
|
|
Adrien
Advocate
Joined: 13 Jul 2004
Posts: 2308
Location: Bretagne
|
| Posted: Thu Jan 12, 2006 2:11 pm Post subject: |
|
|
| Talosectos wrote: | | Le groupe, ce serait pas plutôt le CERT-Renater |
Oui c'est ça, mais les informaticiens du coin disent juste "renater" |
|
| Back to top |
|
|
-KuRGaN-
Veteran
Joined: 05 Dec 2004
Posts: 1142
Location: Besançon (25) [FRANCE]
|
| Posted: Thu Jan 12, 2006 2:50 pm Post subject: |
|
|
| Mais pourquoi encore utilisé des mots de passe pour SSH, je comprend pas. Le système par echange de clès est quand même beaucoup plus sécurisé non? |
|
| Back to top |
|
|
_droop_
l33t
Joined: 30 May 2004
Posts: 957
|
| Posted: Thu Jan 12, 2006 2:54 pm Post subject: |
|
|
Sinon,
Bon, je vais pas repondre spécifiquement à ce threads, je vais essayer de donner quelques conseils pour un ssh accessible par internet :
- désactiver l'accès root (et s'assurer que les mot de passes utilisateurs sont assez compliqués, avec cracklib par exemple : http://www.gentoo.org/doc/fr/security/security-handbook.xml?part=1&chap=7).
- désactiver le protocole 1 (il me semble qu'il y a des problèmes dans son design).
- si possible modifier le port d'ecoute (ça évites nombre de bots).
- option : utiliser un script de détection de force brute (style fail2ban).
Voilà, çà me parait un bon début (si vous en avez d'autres, n'hésitez pas)...
Bonne journée. |
|
| Back to top |
|
|
digimag
Guru
Joined: 14 May 2005
Posts: 451
Location: Toulouse, France
|
| Posted: Thu Jan 12, 2006 3:03 pm Post subject: |
|
|
 Un long soupir.
C'est pour la première fois que j'ai un truc pareil. Les faits:- Mon mot de passe était sous la forme de xxxxXXXX (xxxx sont des lettres minuscules différentes et XXXX sont des chiffres différents). De toute façon, je viens de le changer par un autre beaucoup plus difficile: plus de dix caractères (je dis pas combien ), chiffres, minuscules,majuscules,caractères spéciaux...
- Ce même mot de passe était présent sur mon ordinateur personnel (lui aussi déjà changé) auquel je me suis connecté une fois depuis le collège via Putty; à l'époque, je n'avais même pas le serveur dédié en question
- Ce mot de pas n'a jamais été communiqué à qui que ce soit
- Je me suis connecté avec le mot de passe assez souvent au serveur dédié, depuis pas longtemps j'utilise une clef publique. Cependant, et ça c'est tout un autre problème, le fichier de configuration SSH précise qu'une connection par mot de passe n'est pas permise, or, SSH ignore cela! Je m'en suis aperçu dès que j'ai modifié la configuration, mais je n'ai pas creusé pour savoir pourquoi mes paramètres n'étaient pas pris en compte, je me suis dit que ça sera paranoïque.
- Le serveur est mis à jour manuellement chaques 24 heures.
- Rien n'a été changé sur le serveur. En tout cas, rien d'éffacé, rien de modifié apparament. J'ai remarqué juste un accès aux fichiers de portage.
Coup de guele
Non...
Ah enfin!!! Je me suis rappellé... Je suis un âne
Roooh... Autant de stress pour rien.
Mais oui, j'étais au collège, je me suis connecté au serveur pour mettre à jour portage... Mais oui...
Et moi qui part à la recherche du pirate qui s'appelle Digimag...
Ah, toutes mes excuses! Et moi je m'imaginais déjà des services secrets frannçais éspionner je ne sais qui et je ne sais pourquoi! Et moi qui allait porter plainte contre X se trouvant derrière 194.199.224.99... Et moi qui allait mettre un mot de passe dans Grub du serveur à distance et crypter le contenu des disques durs, ayant perdu toute confiance en soi et en tout autre humain...
Bon, je m'en arrête là. Juste avant de mettre (Résolu), que conseilerez-vous pour plus de sécurité? J'ai lu pas mal des guides sur le SSH mais cela était, franchement, assez compliqué... Clef publique, clef privée, tunnel, et toutes ces choses là que je n'ai pas compris. Je vais y revenir, je comprendrai, il faut juste que je réflechisse, mais en attendant, suis-je assez protégé? Je vous en prie, faites tous vos tests imaginables sur 213.251.165.178, je pense que le serveur tiendra bon. En tout cas j'étais fier d'avoir réussi à mettre un par-feu (iptables) avec des régles qui empêchent le DOS.
Bref, merci! Au moins, j'ai appris à quel réseau mon collège appartenait! |
|
| Back to top |
|
|
_droop_
l33t
Joined: 30 May 2004
Posts: 957
|
| Posted: Thu Jan 12, 2006 3:08 pm Post subject: |
|
|
Ouf
Comme je le disais au dessus, ne te connectes jamais directement en root sur une machine, après on met du temps à trouver qui l'a fait (surtout qand il y a plusieurs administrateurs).
Sinon, regarde un peu ce que j'ai mis au dessus, je suis sûr que des âmes charitables vont venir completer celà... |
|
| Back to top |
|
|
digimag
Guru
Joined: 14 May 2005
Posts: 451
Location: Toulouse, France
|
| Posted: Thu Jan 12, 2006 3:11 pm Post subject: |
|
|
| _droop_ wrote: | Ouf
Comme je le disais au dessus, ne te connectes jamais directement en root sur une machine, après on met du temps à trouver qui l'a fait (surtout qand il y a plusieurs administrateurs).
Sinon, regarde un peu ce que j'ai mis au dessus, je suis sûr que des âmes charitables vont venir completer celà... |
Merci à toi, ce message était surement arrivé pendant que je saisissais |
|
| Back to top |
|
|
-KuRGaN-
Veteran
Joined: 05 Dec 2004
Posts: 1142
Location: Besançon (25) [FRANCE]
|
| Posted: Thu Jan 12, 2006 3:13 pm Post subject: |
|
|
Pub=on
J'ai fait un petit tuto pour SSH avec les deux types de configurations (clefs et mot de passe), si ça interresse quelq'un !!
Pub=off
 |
|
| Back to top |
|
|
Enlight
Advocate
Joined: 28 Oct 2004
Posts: 3519
Location: Alsace (France)
|
| Posted: Thu Jan 12, 2006 4:26 pm Post subject: |
|
|
| Quote: | Jan 7 09:47:46 [sshd] Invalid user rpc from 219.117.232.218
Jan 7 09:47:48 [sshd] Invalid user gopher from 219.117.232.218 |
Par contre celui-là, ça sent le script-kiddie qui essaye les bonnes vieilles bacdors d'une autre époque. Qui fait un how-to "comment défoncer la gu... au batard qui a essayé de me bruteforcer?"  |
|
| Back to top |
|
|
boozo
Advocate
Joined: 01 Jul 2004
Posts: 3193
|
| Posted: Thu Jan 12, 2006 8:33 pm Post subject: |
|
|
| k_s wrote: | | N'empeche si il a reussi du premier coup, le mot de passe a du etre intercepté d'une maniere ou d'une autre, car sinon on aurait constaté une attaque bruteforce ... (a moins qu'il ait eu du pot et que ton mdp etait le premier de sa liste !) |
c'est criant de vérité celà dit à moins de mettre un pwd du type "toto1972", c'est vraiment délirant de se faire hacker en oneshot... m^ si la probabilité statistique de trouver en un seul tirage un passwd de +/- 8 caractères +chiffres existe je vous le confère.
sinon avec qqch du genre :
passroot >10 chiffres + lettres sans signifiaction déductible
interdire la connection root directe
autoriser le protocole 2 uniquement
mettre fail2ban en background
on risque plus grand chose... m^ si tout est possible, celui qui entre sera gaillard qd m^ 
BTW :
| Enlight wrote: | | Quote: | Jan 7 09:47:46 [sshd] Invalid user rpc from 219.117.232.218
Jan 7 09:47:48 [sshd] Invalid user gopher from 219.117.232.218 |
Par contre celui-là, ça sent le script-kiddie qui essaye les bonnes vieilles bacdors d'une autre époque. Qui fait un how-to "comment défoncer la gu... au batard qui a essayé de me bruteforcer?" |
en voilà une idée sympatique...  qui de surcroit permettrait d'apprendre plein de choses à n'en pas douter
bon les geeks là... oui oui les vrais... au fond du forum qui grommèlent tout le temps... va falloir arrêter d'en promettre hein ?! va falloir en donner !
ps: je parse mes logs... si y'en a qui se sentent l'humeur badine sur le pwd... oui oui je sais qu'y'en a qui vont y penser 
_________________
" Un psychotique, c'est quelqu'un qui croit dur comme fer que 2 et 2 font 5, et qui en est pleinement satisfait.
Un névrosé, c'est quelqu'un qui sait pertinemment que 2 et 2 font 4, et ça le rend malade ! " |
|
| Back to top |
|
|
bulki
Guru
Joined: 25 Nov 2004
Posts: 529
Location: SiliconValley
|
| Posted: Thu Jan 12, 2006 8:47 pm Post subject: |
|
|
Je vois une ou l'autre solution à ça:
- en tout cas pas du brute force (pas besoin d'être ingénieur pour dire ça)
- Open-ssh avec trojan ?
- Tu as subit une attaque par man in the middle ? (par downgrade par exemple, si le serveur accepte aussi le sshv1,5)
- Tu avais un soft qui présentait une faille de sécurité ? (Comme Squid, ou autre) et le type aurait modifié ton login.sh dans le but d'avoir ton pass à postériori.
- Tu t'es connecté sur ta machine en faisant du tunneling et tu t'en rappelles plus ?
Bon, dans le cas où tu as un soft qui donne un des privilèges root, il va peut-être falloir remettre ton système à jour, changer le mdp ne servirai à rien :S... essaie d'utiliser des chrootkits (qui recherches des rootkits éventuels sur ta bécane). Si tu en trouves un, tu peux tout réinstaller le système, parce que c'est quasiment impossible de l'irradier totalement...
bonne chance
+ |
|
| Back to top |
|
|
kernelsensei
Bodhisattva
Joined: 22 Feb 2004
Posts: 5619
Location: Woustviller/Moselle/FRANCE (49.07°N;7.02°E)
|
| Posted: Thu Jan 12, 2006 9:11 pm Post subject: |
|
|
@bulki : Il s'est connecté de l'école pour mettre sa gentoo a jour, il s'en est souvenu ! (voir quelques posts au dessus !)
_________________
$ ruby -e'puts " .:@BFegiklnorst".unpack("x4ax7aaX6ax5aX15ax4aax6aaX7ax2aX5aX8 \
axaX3ax8aX4ax6aX3aX6ax3ax3aX9ax4ax2aX9axaX6ax3aX2ax4ax3aX4aXaX12ax10aaX7a").join' |
|
| Back to top |
|
|
bulki
Guru
Joined: 25 Nov 2004
Posts: 529
Location: SiliconValley
|
| Posted: Thu Jan 12, 2006 9:28 pm Post subject: |
|
|
| kernel_sensei wrote: | | @bulki : Il s'est connecté de l'école pour mettre sa gentoo a jour, il s'en est souvenu ! (voir quelques posts au dessus !) |
LOL, j'avais pas lu le pavé ... ça y est, mon identité aux yeux du forum est fouttue  ...  |
|
| Back to top |
|
|
nuts
Veteran
Joined: 10 Jan 2004
Posts: 1630
|
| Posted: Thu Jan 12, 2006 10:20 pm Post subject: |
|
|
c'est pas prudent de laisser ssh avec un acces root direct. malgré que ssh soit secure, on sait jamais.
_________________
nuts
PC: AMD Phenom 2 bi-core 555 + Asus M4A77T/USB3 + 2Go de RAM + wifi Ralink RT61 + Radeon HD 3450 - Disque dur 500Go.
SGI Octane ip30 R10000 |
|
| Back to top |
|
|
digimag
Guru
Joined: 14 May 2005
Posts: 451
Location: Toulouse, France
|
| Posted: Sun Jan 15, 2006 1:32 pm Post subject: |
|
|
Ça y est, tout parametré, ça roule! Il me semble que j'ai tout bien configuré... contre les ataques (DOS nottament). Si ça vous tente, vous pouvez me tester à ce numéro de téléphone: 213.251.165.178
P.S. Juste un truc... SSH ne veut pas m'écouter quand je lui dis de ne pas accepter les conenctions par mot de passe (par contre pour le reste de la config, ça marche parfaitement)... | Code: | | PasswordAuthentication no |
Je peux toujours me connecter avec le mot de passe, sans clef publique. |
|
| Back to top |
|
|
kernelsensei
Bodhisattva
Joined: 22 Feb 2004
Posts: 5619
Location: Woustviller/Moselle/FRANCE (49.07°N;7.02°E)
|
| Posted: Sun Jan 15, 2006 2:03 pm Post subject: |
|
|
Tu aurais pas UsePAM yes par hasard ?
_________________
$ ruby -e'puts " .:@BFegiklnorst".unpack("x4ax7aaX6ax5aX15ax4aax6aaX7ax2aX5aX8 \
axaX3ax8aX4ax6aX3aX6ax3ax3aX9ax4ax2aX9axaX6ax3aX2ax4ax3aX4aXaX12ax10aaX7a").join' |
|
| Back to top |
|
|
|
French
