Encore force brute !

Salut

Encore une petite question sur un sujet récurrent.
Depuis 2 semaines environ j’ai des tentatives de connexions sur un serveur ssh, toutes les 2mn et venant d’adresses différentes.
J’en déduis que cela vient de quelqu’un qui se planque derrière un proxy et qui cherche à éviter ma protection par module ipt-recent.

Bon son attaque par dictionnaire ne me fait pas plus peur que ça mais je me demandais s’il n’y avais pas de solution pour se prémunir de ce genre d’attaque.
J’ai cherché du côté du module limit : cela me gêne moi en tant qu’utilisateur.
Et aussi du côté du module mac, qui me renvoie l’adresse de mon routeur (il fait ce qu’on lui demande ).

Bref existe-t-il une ruse de sioux qui me permettrait de compliquer la vie de mon kiddie ?

change de port

antalgeek :
Vraiment toutes les 2 minutes chrono, en permanence ?
Ça ne pourrait pas être tout bêtement des attaques automatiques provenant de multiples machines vérolées comme en subissent tous les serveurs SSH d’internet plutôt qu’un attaquant humain unique ?
Si je devais chercher à contourner ta protection ipt_recent, je n’aurais certainement pas besoin de proxy ni d’attendre 2 minutes entre chaque attaque. Mais l’éventuel attaquant ne sait pas forcément que tu utilises ipt_recent, ou ne connait pas ses faiblesses.

Ashgenesis :
Changer de port n’est pas toujours possible à cause de contraintes externes (firewall n’autorisant que le port 22 par exemple). D’autre part, c’est efficace surtout contre les robots stupides qui tapent au hasard, beaucoup moins contre un attaquant humain déterminé qui peut faire un scan de ports pour retrouver le nouveau port.

@PascalHambourg : si si c’est vraiment toutes les 2mn ! C’est pour cela que je crois plus à la theorie de l’attaquant unique derrière un proxy avec un script prévoyant une défense type ipt-recent qu’à plusieurs machines vérolées.

@Ashgenesis : changer de port ça me plait d’autant que je ne détecte pas de scan de ports. Adopté.

[quote=“PascalHambourg”]antalgeek :
Vraiment toutes les 2 minutes chrono, en permanence ?
Ça ne pourrait pas être tout bêtement des attaques automatiques provenant de multiples machines vérolées comme en subissent tous les serveurs SSH d’internet plutôt qu’un attaquant humain unique ?
Si je devais chercher à contourner ta protection ipt_recent, je n’aurais certainement pas besoin de proxy ni d’attendre 2 minutes entre chaque attaque. Mais l’éventuel attaquant ne sait pas forcément que tu utilises ipt_recent, ou ne connait pas ses faiblesses.

Ashgenesis :
Changer de port n’est pas toujours possible à cause de contraintes externes (firewall n’autorisant que le port 22 par exemple). D’autre part, c’est efficace surtout contre les robots stupides qui tapent au hasard, beaucoup moins contre un attaquant humain déterminé qui peut faire un scan de ports pour retrouver le nouveau port.[/quote]
Je suis d’accord mais contre une personne humaine compétente et motivée je ne vois pas vraiment ce qui pourrait l’empêcher de faire ce qu’elle veux. Le seul moyen serait d’éteindre sa machine ou de débrancher l’accès à internet.

Comment se realise l’authentification sur ton serveur?
Si ca n’est pas déjà le cas je te suggere de mettre en place un systeme d’authentification forte par cle privee publique.

Si ça te dis, j’ai fait un petit script bash/ksh qui analyse automatiquement les log d’accès ssh et met en quarantaine les IP trop insistantes (plus de x tentatives par minutes). La quarantaine se fait au niveau de tcp wrapper (tcpd: hosts.deny) ou d’iptables.

Le script se lance par cron. Fréquence au choix.

Merci à vous

Mais pour ce qui est de l’authentification je suis satisfais du système en place : j’utilise une clé pour rentrer depuis le boulot ou certains potes mais je laisse le mot de passe au cas où (ah talon d’achille!).
Et j’ai déjà un système qui droppe les IP insistantes.
Mais je veux bien voir ton script ripat, à une époque j’utilisais fail2ban qui est aussi basé sur l’analyse des logs mais ça augmentais le nombre de processus et vu que je n’en veux pas plus de 53 …mais si tu tournes sur contab. Tu l’as mis en T&A ?

Mon problème initial était lié à une multitude d’IP différentes faisant un seul essai. Mais toutes les 2mn.
Depuis que j’ai changé de port je n’ai plus rien, et vu que je n’ai pas eu de scan de ports depuis cela me conforte dans l’idée d’un attaquant unique derrière un proxy utilisant un script qui va bien.

Bon retour au boulot pour ceux qui ont fait le pont

Non, j’attendais que quelqu’un me confirme son intérêt.

Voilà c’est dans T&A.
viewtopic.php?f=8&t=14167
Il y a moyen de l’améliorer. Surtout pour son intégration dans iptables.

merci je vais voir

Si c’est un accès SSH pour une petite utilisation tu peux aussi restreindre ton accès SSH à certaines IP si tu peux bien sur

Fort juste. J’ai fait ça pour que certaines IP puissent faire autant de nouvelles connexions qu’elles veulent sans se faire bannir.

Mais j’avoue que ton idee de changement de port marche tres bien : depuis je suis peinard.
On parle de rasoir d’Occam dans ces cas là non ?

Bonjour,
si un simple changement de port a suffit a perturber ton attaquant, c’est qu’il n’était pas bien virulent!

Je ne comprendrait jamais ceux qui font ce genre d’attaque, juste pour voir, sans but précis.
Quelle perte de temps.
Il ferait mieux de s’occuper en lisant le manuel debian …

+1

L’attaquant ne devait pas être devant sa machine ou/et il avait lancé un script. D’ailleurs ce n’était peut-être pas directement sa machine qui attaquait.

Le fait est que le changement de port a tout stoppé, même les tentatives habituelles que je trouvais tous les jours. Du genre admin, administrator, webadmin, sqladmin. Enfin les mecs qui font quelques essais, se font bannir et ne reviennent pas.

Il y a un but : pirater des machines faiblement protégées pour se constituer un joli petit botnet.

Bonjour, j’avais exactement le même soucis. Je n’ai pas changé de port mais j’ai installé fail2ban histoire de bannir les adresse IP qui essayent le brute force que ce soit en SSH ou en FTP et depuis c’est beaucoup mieux!