Piratage là, maintenant, de mon serveur

Support Debian
#1

Bonjour
je regardais les log de mon serveur, et la :astonished:
voila ce que j’ai trouvé :s

http://vohu.free.fr/log/

et particulierement le http://vohu.free.fr/log/vsftpd.log.4

je peux faire quoi contre ce mec ?

#2

Pas vraiment grand chose, tu peux mettre une limite de connexion sur le port ftp:

        iptables -A INPUT -p tcp --dport 21 -m state --state NEW  -m recent --set
        iptables -I INPUT -p tcp --dport 21 -m state --state NEW -m recent --update --seconds 90 --hitcount 10 -j DROP

J’ai limité ici à 10 connexions toutes les 90s mais tu peux baisser, moi j’ai fait ça à cause des appels de apt-get qui sont nombreux et rapprochés.
Avant ça un gus a essayé pendant 3 jours:
http://forum.debian-fr.org/viewtopic.php?=&p=60978

#3

fail2ban peut aussi se charger du boulot

Mais je préfère utiliser ipt-recent, depuis que fran.b et thialme m’ont branché dessus (à l’époque c’était pour ssh) je l’utilise systématiquement pour ftp et ssh :smiley:

#4

J’ai eu la même chose, un petit pirate du dimanche qui se contente d’un brute force sans même prendre la peine d’identifier sous quel OS tourne la machine, personnellement en m’intéressant un peu à son cas prècis, j’ai vu que l’ip de la machine (située à Dallas) depuis laquelle l’attaque venait faisait tourner bien plus de services critiques (server mail, telnet, web) que la mienne et que c’était surement juste un pc qui servait de rebond à moins d’être complétement suicidaire donc je me suis contenté d’utiliser fail2ban (auquel s’ajoute quelques sécurités élémentaires : interdire l’utilisation du compte root pour le ftp, chroot du dossier, mot de passe à rallonge incluant majuscules, miniscule et caractères spéciaux prémunisant un peu contre ce genre d’attaque dictionnaire)

#5

hello,

Oh ca fait longtemps que j’en ai pas vu, perso je l’aurais redirigé sur un autre serveur ftp puis l’aurais pisté ou autre :slightly_smiling:

#6

ben, j’aurrai bien fait ca aussi, mais ca date d’il y a un mois déja… je viens de m’en apperçevoir

il aurrai fallu que je fasse comment pour voir ce qu’il faisait ?

je me doute qu’il fallait faire un iptable qui le redirige vers un autre ftp, et faire en sorte d’enregistrer ses requettes dans un fichier texte, mais je ne sais pas du avec quels outils le faire

tu peux m’en dire plus stonfi ? :blush:

#7

hello,

Donc avec iptables pour le rediriger sur un vrai faux serveur ftp genre sous xen ou autre, puis en mettant un mot de passe de 3 à 4 lettres histoire de le faire croire puis avec un loggeur de fonction “exec” genre snoopy le pister, après tu es libre d’imagination.

#8

j’ai rien compris… tu peux me dire les commandes plus précisément stp…

man exec et exec --help ne me donne pas grand chose :s

#9

Apr 28 19:27:29 vohuserver sshd[19905]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.128.122.13
Apr 28 19:27:31 vohuserver sshd[19905]: Failed password for invalid user linda from 61.128.122.13 port 41357 ssh2
Apr 28 19:27:35 vohuserver sshd[19911]: Invalid user linda from 61.128.122.13
Apr 28 19:27:35 vohuserver sshd[19911]: pam_unix(sshd:auth): check pass; user unknown
Apr 28 19:27:35 vohuserver sshd[19911]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.128.122.13
Apr 28 19:27:37 vohuserver sshd[19911]: Failed password for invalid user linda from 61.128.122.13 port 41608 ssh2
Apr 28 19:27:41 vohuserver sshd[19917]: Invalid user linda from 61.128.122.13
Apr 28 19:27:41 vohuserver sshd[19917]: pam_unix(sshd:auth): check pass; user unknown
Apr 28 19:27:41 vohuserver sshd[19917]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.128.122.13
Apr 28 19:27:43 vohuserver sshd[19917]: Failed password for invalid user linda from 61.128.122.13 port 41850 ssh2
Apr 28 19:27:47 vohuserver sshd[19923]: Invalid user linda from 61.128.122.13
Apr 28 19:27:47 vohuserver sshd[19923]: pam_unix(sshd:auth): check pass; user unknown
Apr 28 19:27:47 vohuserver sshd[19923]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.128.122.13
Apr 28 19:27:48 vohuserver sshd[19923]: Failed password for invalid user linda from 61.128.122.13 port 42127 ssh2
Apr 28 19:27:52 vohuserver sshd[19927]: Invalid user linda from 61.128.122.13
Apr 28 19:27:52 vohuserver sshd[19927]: pam_unix(sshd:auth): check pass; user unknown
Apr 28 19:27:52 vohuserver sshd[19927]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.128.122.13
Apr 28 19:27:54 vohuserver sshd[19927]: Failed password for invalid user linda from 61.128.122.13 port 42346 ssh2
Apr 28 19:27:57 vohuserver sshd[19933]: Invalid user linda from 61.128.122.13
Apr 28 19:27:57 vohuserver sshd[19933]: pam_unix(sshd:auth): check pass; user unknown
Apr 28 19:27:57 vohuserver sshd[19933]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.128.122.13
Apr 28 19:27:59 vohuserver sshd[19933]: Failed password for invalid user linda from 61.128.122.13 port 42580 ssh2
Apr 28 19:28:03 vohuserver sshd[19939]: Invalid user james from 61.128.122.13
Apr 28 19:28:03 vohuserver sshd[19939]: pam_unix(sshd:auth): check pass; user unknown
Apr 28 19:28:03 vohuserver sshd[19939]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.128.122.13
Apr 28 19:28:05 vohuserver sshd[19939]: Failed password for invalid user james from 61.128.122.13 port 42812 ssh2
Apr 28 19:28:08 vohuserver sshd[19945]: Invalid user james from 61.128.122.13
Apr 28 19:28:08 vohuserver sshd[19945]: pam_unix(sshd:auth): check pass; user unknown
Apr 28 19:28:08 vohuserver sshd[19945]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.128.122.13
Apr 28 19:28:10 vohuserver sshd[19945]: Failed password for invalid user james from 61.128.122.13 port 43061 ssh2
Apr 28 19:28:14 vohuserver sshd[19949]: Invalid user james from 61.128.122.13
Apr 28 19:28:14 vohuserver sshd[19949]: pam_unix(sshd:auth): check pass; user unknown
Apr 28 19:28:14 vohuserver sshd[19949]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.128.122.13
Apr 28 19:28:16 vohuserver sshd[19949]: Failed password for invalid user james from 61.128.122.13 port 43295 ssh2
Apr 28 19:28:19 vohuserver sshd[19957]: Invalid user james from 61.128.122.13
Apr 28 19:28:19 vohuserver sshd[19957]: pam_unix(sshd:auth): check pass; user unknown
Apr 28 19:28:19 vohuserver sshd[19957]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.128.122.13
Apr 28 19:28:22 vohuserver sshd[19957]: Failed password for invalid user james from 61.128.122.13 port 43531 ssh2
Apr 28 19:28:25 vohuserver sshd[19965]: Invalid user james from 61.128.122.13
Apr 28 19:28:25 vohuserver sshd[19965]: pam_unix(sshd:auth): check pass; user unknown
Apr 28 19:28:25 vohuserver sshd[19965]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.128.122.13
Apr 28 19:28:27 vohuserver sshd[19965]: Failed password for invalid user james from 61.128.122.13 port 43786 ssh2
Apr 28 19:28:31 vohuserver sshd[19969]: Invalid user james from 61.128.122.13
Apr 28 19:28:31 vohuserver sshd[19969]: pam_unix(sshd:auth): check pass; user unknown
Apr 28 19:28:31 vohuserver sshd[19969]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.128.122.13
Apr 28 19:28:33 vohuserver sshd[19969]: Failed password for invalid user james from 61.128.122.13 port 44029 ssh2
Apr 28 19:28:37 vohuserver sshd[19975]: Invalid user james from 61.128.122.13
Apr 28 19:28:37 vohuserver sshd[19975]: pam_unix(sshd:auth): check pass; user unknown
Apr 28 19:28:37 vohuserver sshd[19975]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.128.122.13
Apr 28 19:28:39 vohuserver sshd[19975]: Failed password for invalid user james from 61.128.122.13 port 44280 ssh2
Apr 28 19:28:42 vohuserver sshd[19981]: Invalid user robert from 61.128.122.13
Apr 28 19:28:42 vohuserver sshd[19981]: pam_unix(sshd:auth): check pass; user unknown
Apr 28 19:28:42 vohuserver sshd[19981]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.128.122.13
Apr 28 19:28:44 vohuserver sshd[19981]: Failed password for invalid user robert from 61.128.122.13 port 44531 ssh2
Apr 28 19:28:48 vohuserver sshd[19987]: Invalid user robert from 61.128.122.13
Apr 28 19:28:48 vohuserver sshd[19987]: pam_unix(sshd:auth): check pass; user unknown
Apr 28 19:28:48 vohuserver sshd[19987]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.128.122.13
Apr 28 19:28:50 vohuserver sshd[19987]: Failed password for invalid user robert from 61.128.122.13 port 44761 ssh2
Apr 28 19:28:54 vohuserver sshd[19991]: Invalid user robert from 61.128.122.13
Apr 28 19:28:54 vohuserver sshd[19991]: pam_unix(sshd:auth): check pass; user unknown
Apr 28 19:28:54 vohuserver sshd[19991]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.128.122.13
Apr 28 19:28:56 vohuserver sshd[19991]: Failed password for invalid user robert from 61.128.122.13 port 45023 ssh2

je crois qu’en ce moment meme quelqu’un s’amuse …

jpeux faire quoi la ??? svpppppppppppp

#10

Mais rien ,aisse s’amuser ou met encore une règle, je te suggère si tu veux être complet:

[code] iptables -A INPUT -i eth1 -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -I INPUT -i eth1 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j DROP
iptables -A INPUT -p tcp --dport 23 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 23 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j DROP
iptables -A INPUT -p tcp --dport 992 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 992 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j DROP

    iptables -A INPUT -p tcp --dport 21 -m state --state NEW  -m recent --set
    iptables -I INPUT -p tcp --dport 21 -m state --state NEW -m recent --update --seconds 90 --hitcount 10 -j DROP

et pop

    iptables -A INPUT -p tcp --dport 110 -m state --state NEW  -m recent --set
    iptables -I INPUT -p tcp --dport 110 -m state --state NEW -m recent --update --seconds 90 --hitcount 10 -j DROP

[/code]
(ssh, telnet, telnet-ssl et pop)
Tu sais mes logs sont remplis d’essais de ce type (850 sur 20 jours). Avant la protection, ça atteignait plusieurs milliers au mois

#11

bonsoir,
moi je commencerai par faire un whois sur cette ip, et puis j’enverrai un mail à abuse@etc … est-ce uttil ?
ensuite je bloque l’ip définitivement … est-ce souhaitable ?

non je vois pas, enfin, si c’est quelqu’un qui s’amuse, pourquoi pas s’amuser à l’identifier ?

#12

il est en chine sur les coordonnées 31.0050 121.4086

google map me dit que le répartiteur est à une 20ene de km en dessous de shangai…
c’est super précis… j’ai fait le test avec un pote de paris sur son ip… et suis tombé pile poil au bon endroit… domage qu’on puisse pas aller plus loin que le répartiteur
http://maps.google.fr/maps?f=q&hl=fr&geocode=&q=%4031.0050+,+%09121.4086&ie=UTF8&ll=31.062345,121.838379&spn=2.122041,5.08667&z=8

#13

C’est avec l’IP que tu as fait ça, c’est avec Maxmind, ça n’est pas toujours très fiable mais bon…