Bonjour,
J’ai un serveur sous Debian Squeeze, noyau 2.6.32-5-amd64. Il tourne 24h/24 et j’utilise Munin pour le monitoring.
Cet après-midi, je vais faire un petit tour sur munin et je vois que le disk-usage fait un bond de 29 à 43% sur le point de montage /home entre 12h et 17h. Ces 14% correspondent à environ 60Go d’espace disque. J’ai également vu le CPU usage à 100% sur la même période de temps.
Je me connecte dessus en ssh et je constate via la commande top que le processus vino-server charge le CPU à 100%.
Je le kill via la commande killall vino-server et à partir de ce moment, plus de charge CPU et l’espace disque se stabilise.
Une fois rentré chez moi, je vois un fichier de texte de 65,5Go : /home/user/.xsession-errors
Une ligne se répète à l’infini :
Juste avant que cette ligne se répete à l’infini, j’ai pleins de fois
[code]30/06/2011 12:44:14 rfbAuthPasswordChecked: password check failed
30/06/2011 12:44:19 [IPv4] Got connection from client mobile-3G-dyn-CJ-119-140.zappmobile.ro
30/06/2011 12:44:19 other clients:
30/06/2011 12:44:19 mobile-3G-dyn-CJ-119-140.zappmobile.ro
30/06/2011 12:44:19 mobile-3G-dyn-CJ-119-140.zappmobile.ro
30/06/2011 12:44:19 mobile-3G-dyn-CJ-119-140.zappmobile.ro
30/06/2011 12:44:19 mobile-3G-dyn-CJ-119-140.zappmobile.ro
30/06/2011 12:44:19 41.131.226.xx
30/06/2011 12:44:19 41.131.226.xx
30/06/2011 12:44:19 41.131.226.xx
30/06/2011 12:44:19 41.131.226.xx
30/06/2011 12:44:19 41.131.226.xx
30/06/2011 12:44:19 41.131.226.xx
30/06/2011 12:44:19 41.131.226.xx
30/06/2011 12:44:19 41.131.226.xx
30/06/2011 12:44:19 41.131.226.xx
30/06/2011 12:44:19 41.131.226.xx
30/06/2011 12:44:19 41.131.226.xx
30/06/2011 12:44:19 41.131.226.xx
30/06/2011 12:44:19 41.131.226.xx
30/06/2011 12:44:19 41.131.226.xx
30/06/2011 12:44:19 41.131.226.xx
30/06/2011 12:44:19 41.131.226.xx
30/06/2011 12:44:19 123.52.30.xxx
30/06/2011 12:44:20 Client Protocol Version 3.5
30/06/2011 12:44:20 Ignoring minor version mismatch
** (vino-server:15805): WARNING **: Deferring authentication of ‘mobile-3G-dyn-CJ-119-140.zappmobile.ro’ for 5 seconds[/code]
J’ai pu voir que vino-server c’est le bureau à distance (VNC) de debian que j’ai vonlontairement activé.
Pour moi ça a tout l’air d’une attaque (brute force sur mon VNC ?), je pense pas qu’on me dira le contraire.
Ce que j’aimerais savoir, c’est comment me protéger de ce type d’attaques ?
J’utilise iptables ou j’ai uniquement ouvert les ports dont j’ai besoin (le 5900 (VNC) en fait partie).
J’utilise pour la connexion ssh (sur un port autre que le 22) les règles suivantes :
iptables -A INPUT -p tcp --dport *** -m recent --rcheck --seconds 180 --hitcount 3 --name SSH -j LOG --log-prefix "SSH REJECT"
iptables -A INPUT -p tcp --dport *** -m recent --update --seconds 180 --hitcount 3 --name SSH -j DROP
iptables -A INPUT -p tcp --dport *** -m state --state NEW -m recent --set --name SSH -j ACCEPT
Règle qui permet d’après ce que j’avais compris à l’époque ou j’avais installé le serveur de bannir l’ip pendant 180 secondes si l’authentification échoue 3 fois (si quelqu’un peut confirmer ?)
Je me demande alors si l’application d’une règle basée sur celle que j’utilise pour SSH serait une solution ?
Merci d’avance à tous pour vos réponses.
Etienne
