Stat tentatives intrusion SSH

En ce moment, j’ai chaque jour en moyenne de l’ordre de 2000 tentatives venant en moyenne de 600 à 700 machines par jour. C’est ce deuxième point qui change, d’habitude, il me semblait avoir juste 2-3 dizaines de gugus qui s’acharnaient un peu. Par ailleurs, ça a l’air coordonné:

[quote]Sep 10 13:55:40 cerbere sshd[22079]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=mail.cooperativalehmann.com.ar
Sep 10 13:55:42 cerbere sshd[22077]: error: PAM: User not known to the underlying authentication module for illegal user corinne from mail.cooperativalehmann.com.ar
Sep 10 13:55:42 cerbere sshd[22077]: Failed keyboard-interactive/pam for invalid user corinne from 201.234.137.136 port 40394 ssh2
Sep 10 13:56:18 cerbere sshd[22080]: Invalid user corinne from 165.228.181.30
Sep 10 13:56:19 cerbere sshd[22082]: (pam_unix) check pass; user unknown
Sep 10 13:56:19 cerbere sshd[22082]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=robert71.lnk.telstra.net
Sep 10 13:56:20 cerbere sshd[22080]: error: PAM: User not known to the underlying authentication module for illegal user corinne from robert71.lnk.telstra.net
Sep 10 13:56:20 cerbere sshd[22080]: Failed keyboard-interactive/pam for invalid user corinne from 165.228.181.30 port 41019 ssh2
Sep 10 13:57:23 cerbere sshd[22083]: Invalid user corinne from 200.67.193.252
Sep 10 13:57:23 cerbere sshd[22085]: (pam_unix) check pass; user unknown
Sep 10 13:57:23 cerbere sshd[22085]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=dsl-200-67-193-252.prod-empresarial.com.mx
Sep 10 13:57:25 cerbere sshd[22083]: error: PAM: User not known to the underlying authentication module for illegal user corinne from dsl-200-67-193-252.prod-empresarial.com.mx
Sep 10 13:57:25 cerbere sshd[22083]: Failed keyboard-interactive/pam for invalid user corinne from 200.67.193.252 port 61743 ssh2
[/quote]
(le login corinne a été testé à partir de 8 machines différentes). En fait j’ai l’impression qu’il y a une généralisation de l’utilisation des botnets pour essayer de rentrer sur une machine ce qui rend inopérant les protections à base d’ipt_recent. Vous avez fait le même constat?

Ben je n’ai plus de “grosse exploit” à surveiller en ce moment, donc mes 4 pauvres tentatives d’ouverture de session ssh, une en imap, et une tentative de relais ratés ce jour qui seront vraiment significatives sur mon discret petit mailhub perso (=sans site web vraiment réfèrençable, et qui envoie ses mails par le smarthost de mon FAI).
Mais non, je n’ai rien remarqué de particulier pour l’instant.

t’es sur que l’attaquant n’est pas derrière un proxy
j’ai eu le cas à une époque

Non, c’est plusieurs tentatives corrélées dans le temps venant de plein d’IP (1000 en gros), ces tentatives viennent visiblement d’une même personne, un login donné (corinne dans mon exemple) est essayé sur un seul laps de temps mais par une première machine, puis une seconde, puis une troisième, etc… puis un deuxième login est réessayé, etc. Au total, une adresse IP fait moins d’une dizaine d’essais au plus.
Parfois une machine ne fait qu’un essai:

Failed keyboard-interactive/pam for invalid user tmp from 200.127.112.176 port 45431 ssh2 Failed keyboard-interactive/pam for invalid user tmp from 217.98.80.5 port 48372 ssh2 Failed keyboard-interactive/pam for invalid user tmp from 196.211.228.226 port 42894 ssh2 Failed keyboard-interactive/pam for invalid user tmp from 62.38.242.231 port 62736 ssh2 Failed keyboard-interactive/pam for invalid user tmp from 98.162.246.23 port 39423 ssh2 Failed keyboard-interactive/pam for invalid user tmp from 218.201.201.6 port 45558 ssh2 Failed keyboard-interactive/pam for invalid user tmp from 83.103.70.170 port 14321 ssh2 Failed keyboard-interactive/pam for invalid user tmp from 82.107.18.143 port 49964 ssh2 Failed keyboard-interactive/pam for invalid user temp from 165.228.206.192 port 46860 ssh2 Failed keyboard-interactive/pam for invalid user temp from 201.147.111.94 port 60470 ssh2 Failed keyboard-interactive/pam for invalid user temp from 203.80.236.60 port 50267 ssh2 Failed keyboard-interactive/pam for invalid user temp from 80.118.132.88 port 2028 ssh2 Failed keyboard-interactive/pam for invalid user temp from 89.216.242.73 port 20141 ssh2 Failed keyboard-interactive/pam for invalid user temporary from 194.228.118.57 port 10382 ssh2 Failed keyboard-interactive/pam for invalid user temporary from 92.236.53.54 port 62598 ssh2 Failed keyboard-interactive/pam for invalid user temporary from 60.49.250.58 port 1171 ssh2 Failed keyboard-interactive/pam for invalid user temporary from 121.139.193.67 port 1697 ssh2 Failed keyboard-interactive/pam for invalid user temporary from 216.197.204.76 port 38963 ssh2 Failed keyboard-interactive/pam for invalid user christelle from 70.154.244.35 port 22916 ssh2 Failed keyboard-interactive/pam for invalid user christelle from 81.137.224.38 port 11630 ssh2 Failed keyboard-interactive/pam for invalid user christelle from 217.98.80.5 port 32738 ssh2 Failed keyboard-interactive/pam for invalid user christelle from 217.126.90.161 port 52937 ssh2 Failed keyboard-interactive/pam for invalid user christelle from 200.170.141.134 port 52109 ssh2 Failed keyboard-interactive/pam for invalid user christelle from 213.41.149.160 port 34584 ssh2 Failed keyboard-interactive/pam for invalid user christelle from 92.104.254.121 port 52387 ssh2 Failed keyboard-interactive/pam for invalid user christiane from 190.8.149.130 port 43134 ssh2 Failed keyboard-interactive/pam for invalid user christiane from 201.230.98.131 port 18328 ssh2 Failed keyboard-interactive/pam for invalid user christiane from 212.147.16.232 port 53706 ssh2 Failed keyboard-interactive/pam for invalid user christiane from 213.98.2.49 port 56032 ssh2 Failed keyboard-interactive/pam for invalid user christiane from 196.211.228.226 port 52944 ssh2 Failed keyboard-interactive/pam for invalid user christiane from 200.183.40.66 port 52170 ssh2 Failed keyboard-interactive/pam for invalid user christine from 83.12.137.44 port 42141 ssh2 Failed keyboard-interactive/pam for invalid user christine from 201.155.69.6 port 3497 ssh2 Failed keyboard-interactive/pam for invalid user christine from 145.253.179.228 port 60859 ssh2 F
et

Sep 10 12:33:30 cerbere sshd[19044]: Failed keyboard-interactive/pam for invalid user temp from 165.228.206.192 port 46860 ssh2 Sep 11 08:18:22 cerbere sshd[12210]: Failed keyboard-interactive/pam for invalid user keith from 165.228.206.192 port 33953 ssh2 ou encore

Sep 10 12:57:36 cerbere sshd[20092]: Failed keyboard-interactive/pam for invalid user christiane from 200.183.40.66 port 52170 ssh2 Sep 10 21:07:29 cerbere sshd[12959]: Failed keyboard-interactive/pam for invalid user mike from 200.183.40.66 port 57674 ssh2

Qui se sert en utilisation courante de ton accès ssh ? Et pour faire quoi ?

C’est les RG pour remplir leur fichier Edvige avant qu’il soit stoppé.

Il n’y a rien qui m’ennuie, c’est juste que jusqu’à présent, je n’avais vu des botnets en action que pour envoyer des spams (la dernière fois, ça a été des dizaines de milliers de messages sur des comptes divers et variés d’un des domaines gérés par mon serveur et ce pendant 3-4 jours, le botnet s’étendait à plus de 2000 machines). C’est la première fois que je vois un truc aussi sophistiqué (les botnets) utilisé pour une tentative d’intrusion assez vaine (ssh, le gars est mal parti pour arriver à entrer sur la machine), c’est quasiment du gachis!

Oui mais ces mecs là se fichent bien souvent de la mocheté de ce qu’ils font.

Ou alors, vu qu’il y a énormément d’IP en jeu c’est quelqu’un qui teste chez toi une attaque de grande envergure.

:smt005

[quote=“fran.b”]Non, c’est plusieurs tentatives corrélées dans le temps venant de plein d’IP (1000 en gros), ces tentatives viennent visiblement d’une même personne, un login donné (corinne dans mon exemple) est essayé sur un seul laps de temps mais par une première machine, puis une seconde, puis une troisième, etc… puis un deuxième login est réessayé, etc. Au total, une adresse IP fait moins d’une dizaine d’essais au plus.
Parfois une machine ne fait qu’un essai:
[/quote]
Salut,

Cela ressemble un peu à celà (en anglais)

http://www.cipherdyne.org/blog/2008/03/thwarting-distributed-ssh-brute-force-attempts.html

Un groupe de machines qui se partage un dictionnaire, et qui ne font que quelques tentatives pour passer sous les radars comme il dit.