fail2ban attaque samba

tonyx · Février 21, 2016, 12:16am

bonjour, j’ai reçu une alerte de logwatch sur une de mes machines 3 tentative de connection samba sur une de mes machines du boulot qui sont en IP fixe visible directement du net.
je ne gere pas l’accès au routeurs, j’y ai tout simplement pas les accès, ni la responsabilité.

actullement, je gere les acces samba grace a cette config qui marche plutot bien.
1xx.xxx.xxx.xxx, 1xx.xxx.xxx.xxx, = des IP fixe d’un réseau avec des chiffres… histoire de pas mettre les IP en clair ici

[global]
	netbios name = MACHINE_X
	server string = Samba 3
        security = user
        hosts allow = 10.8.0., 1xx.xxx.xxx.xxx, 1xx.xxx.xxx.xxx,
        hosts deny = ALL

[soft]
	path = /home/tony/samba/partage
	browseable = Yes
        read only = No

une exemple de tentative par smbclient, depuis mon IP de mon appart, si je suis pas dans la liste hosts allow

smbclient -L \\1xx.xxx.xxx.xxx creating lame upcase table creating lame lowcase table params.c:OpenConfFile() - Unable to open configuration file "/etc/samba/smb.conf": No such file or directory smbclient: Can't load /etc/samba/smb.conf - run testparm to debug it Enter tonyx's password: session request to 1xx.xxx.xxx.xxx failed (Not listening for calling name) session request to 1xx failed (Not listening for calling name) session request to *SMBSERVER failed (Not listening for calling name)

ce que m’a remonté logwatch pour la journée d’hier

[code]Connections Denied:
smbd/process.c:process_smb(1560) ::ffff:173.69.207.86 : 2 Time(s)
smbd/process.c:process_smb(1560) ::ffff:174.142.192.251 : 2 Time(s)
smbd/process.c:process_smb(1560) ::ffff:96.52.58.67 : 2 Time(s)

Unmatched Entries
lib/access.c:check_access(410) Denied connection from UNKNOWN (::ffff:173.69.207.86) : 2 Time(s)
lib/access.c:check_access(410) Denied connection from UNKNOWN (::ffff:96.52.58.67) : 2 Time(s)
lib/access.c:check_access(410) Denied connection from __ffff_174.142.192.251 (::ffff:174.142.192.251) : 2 Time(s)
lib/util_sock.c:get_peer_addr_internal(1676) getpeername failed. Error was Noeud final de transport n’est pas connecté read_socket_with_timeout: client 0.0.0.0 read error = Aucun chemin d’accès pour atteindre l’hôte cible. : 2 Time(s)
lib/util_sock.c:get_peer_addr_internal(1676) getpeername failed. Error was Noeud final de transport n’est pas connecté read_socket_with_timeout: client 0.0.0.0 read error = Connexion ré-initialisée par le correspondant. : 5 Time(s)
lib/util_sock.c:get_peer_addr_internal(1676) getpeername failed. Error was Noeud final de transport n’est pas connecté write_data: write failure in writing to client 0.0.0.0. Error Relais brisé (pipe) : 1 Time(s)
lib/util_sock.c:read_socket_with_timeout(939) : 7 Time(s)
lib/util_sock.c:write_data(1136) : 1 Time(s)
smbd/process.c:srv_send_smb(74) Error writing 75 bytes to client. -1. (Noeud final de transport n’est pas connecté) : 1 Time(s)[/code]

ce que je trouve dans les log:
ne cherchez pas a joindre les IP ci dessous, au risque de vous faire attaquer.
ils insiste avec leur IP et cherche a rentrée par différents ports… je vous aurais prévenu pour les curieux.

grep denied /var/log/samba/log.smbd Connection denied from ::ffff:173.69.207.86 Connection denied from ::ffff:173.69.207.86 Connection denied from ::ffff:173.69.207.86 Connection denied from ::ffff:173.69.207.86 Connection denied from ::ffff:81.252.16.100 Connection denied from ::ffff:81.252.16.100 Connection denied from ::ffff:81.252.16.100 Connection denied from ::ffff:81.252.16.100 Connection denied from ::ffff:79.29.112.135 Connection denied from ::ffff:174.142.192.251 Connection denied from ::ffff:174.142.192.251 Connection denied from ::ffff:96.52.58.67 Connection denied from ::ffff:96.52.58.67 Connection denied from ::ffff:174.142.192.251 Connection denied from ::ffff:174.142.192.251 Connection denied from ::ffff:173.69.207.86 Connection denied from ::ffff:173.69.207.86 Connection denied from ::ffff:82.226.7.87

voila, pour les attaque samba que je subit, faut faire gaffe je me fait sans arrêt attaquer par mes différents services ouvert/filtré par hosts.allow et fail2ban

comment bien se protéger ?
comment interdire le scanne de ma machine ?
comment créer une regle pour fail2ban pour samba ?

où il y a rien de plus a faire, et faire confiance a la ligne hosts allow = xxx. dans samba.conf

si vous avez des idées, conseils
c’est une debian lenny

et pour finir mes attaques quotidienne que je reçoit sur le ssh

grep refused /var/log/auth.log
Dec  5 12:18:04 G406 sshd[27792]: refused connect from 218.14.203.206 (218.14.203.206)
Dec  5 19:16:10 G406 sshd[30007]: refused connect from 187.17.73.152 (187.17.73.152)
Dec  6 01:38:30 G406 sshd[32043]: refused connect from 222.237.78.139 (222.237.78.139)
Dec  6 09:29:05 G406 sshd[2344]: refused connect from 218.14.203.206 (218.14.203.206)
Dec  7 04:30:44 G406 sshd[8831]: refused connect from 222.33.200.210 (222.33.200.210)
Dec  7 06:46:10 G406 sshd[9561]: refused connect from 203.146.253.109 (203.146.253.109)
Dec  7 07:31:51 G406 sshd[9831]: refused connect from 69.162.114.90 (69.162.114.90)
Dec  7 08:33:00 G406 sshd[10308]: refused connect from 203.146.253.109 (203.146.253.109)
Dec  7 08:38:47 G406 sshd[10340]: refused connect from 203.146.253.109 (203.146.253.109)
Dec  7 09:20:19 G406 sshd[10576]: refused connect from 211.38.171.75 (211.38.171.75)
Dec  7 14:43:10 G406 sshd[12323]: refused connect from 93.182.155.2 (93.182.155.2)
Dec  7 21:47:11 G406 sshd[14619]: refused connect from 178.93.128.173 (178.93.128.173)
Dec  7 21:47:11 G406 sshd[14620]: refused connect from 178.93.128.173 (178.93.128.173)
Dec  7 21:47:17 G406 sshd[14621]: refused connect from 178.93.128.173 (178.93.128.173)
Dec  7 23:42:48 G406 sshd[15261]: refused connect from 122.181.153.90 (122.181.153.90)
Dec  8 06:59:07 G406 sshd[17622]: refused connect from 121.88.249.125 (121.88.249.125)
Dec  8 20:15:49 G406 sshd[24610]: refused connect from 124.248.35.109 (124.248.35.109)
Dec  8 20:18:43 G406 sshd[24623]: refused connect from 124.248.35.109 (124.248.35.109)
Dec  8 20:24:55 G406 sshd[24669]: refused connect from 114.255.128.219 (114.255.128.219)
Dec  8 20:27:45 G406 sshd[24704]: refused connect from 114.255.128.219 (114.255.128.219)
Dec  9 15:28:41 G406 sshd[10365]: refused connect from 218.107.218.85 (218.107.218.85)
Dec  9 21:21:36 G406 sshd[17905]: refused connect from 78.186.207.5 (78.186.207.5)
Dec 10 12:32:17 G406 sshd[10371]: refused connect from 113.166.25.8 (113.166.25.8)
Dec 10 12:32:17 G406 sshd[10373]: refused connect from 113.166.25.8 (113.166.25.8)
Dec 10 15:15:52 G406 sshd[8916]: refused connect from 195.134.66.145 (195.134.66.145)
Dec 11 00:51:18 G406 sshd[31578]: refused connect from 221.194.129.208 (221.194.129.208)
Dec 11 11:55:40 G406 sshd[31497]: refused connect from 113.166.15.96 (113.166.15.96)
Dec 11 11:55:41 G406 sshd[31498]: refused connect from 113.166.15.96 (113.166.15.96)

les attaques vienne de partout…
chine, korée, brazil, inde, japon, russie, bulgarie, usa, italie, france, mexique, …

Grhim · Février 21, 2016, 12:16am

je pense que ca doit etre des scan de pc zombified
ca scan tres dur en ce moment et de partout

ici le maryland : ip.corporationwiki.com/173.69.207.0/

ici la chine : ip-adress.com/ip_tracer/218.14.203.206

etc, etc…

a moins de ne pas etre connecter a internet, je pense pas que tu puisse faire pluss que maintenant , exepter la methode utiliser par certains hackers qui font se changer l’adresse ip toute les seconde , (ca concernais le fait de faire des Ddos sans etre reperer)

pour finir, j’ai aussi fail2bann qui se met en route assez souvent en ce moment si ca peut te rassurer ;p

edit : j’oubliais de preciser que j’ai tout de meme un vieux pc qui fait firewall (linux ipcop)

grigric · Février 21, 2016, 12:16am

pourquoi ne configures tu pas ton firewall pour n’autoriser l’accès aux différents ports que pour les machines autorisées et de droper les autres ?

pour info shorewall est pas mal pour faciliter la config du firewall

ripat · Février 21, 2016, 12:19am

Bonjour,

Je pense que te protéger des tentatives de connexions samba est le moindre de tes soucis.

N’est-ce pas un peu téméraire d’autoriser l’accès non crypté, depuis l’extérieur, à un service dont le protocole CIFS/SMB ne brille pas pour sa sécurité? N’est-ce pas un peu comme mettre une prise RJ45 sur sa facade? Il conviendrait de crypter la connexion en utilisant un wrapper comme WebDAV (avec certificat ssl et le servlet Davenport par exemple) ou un tunel VPN. Ça me semble un minimum. Même si, je ne sais plus depuis quelle version, les mots de passe samba ne sont plus transmis en clair par défaut (encrypt passwords = yes), il existe des renifleurs qui facilitent leur décodage:

[quote]The first one is to catch the encryption key and the encrypted
password and brute force it ! It can be very long …

Some programs like LophtCrack (with SMBGrinder), dsniff or readsmb2

sniff SMB encrypted passwords.

The second way is to hijack the connection and to make the client
believe that the password should not be encrypted.
phrack.org/issues.html?issue … 11#article[/quote]

Si tu veux vraiment dormir tranquille, fais-toi un tunel VPN. Il y aura un peu de travail à faire sur les clients distants (surtout Windows et OSX) mais ça t’évitera de te prendre la tête sur les défenses iptables/netfilter et autres. La liste des attaques possibles citées dans l’article plus haut devrait te convaincre. Je ne les comprends pas toutes, et c’est justement pour cette raison que je n’ose pas un instant imaginer ouvrir mon samba vers l’extérieur sans chiffrement.