Tentative de piratage?

bloodaxe70 · Février 20, 2016, 3:49pm

Bonjour,

Lorsque je consulte mes logs, je me demande si un type a pas tenté de me hacker cette nuit, et j’aimerai savoir si quelqu’un connait un type de failles au vu de ces messages:

Dans auth.log

May  9 16:36:21 Etch sshd[1969]: Bad protocol version identification '\200F\001\003\001' from UNKNOWN
May  9 16:53:43 Etch sshd[2597]: Bad protocol version identification '\200F\001\003\001' from UNKNOWN
May  9 16:58:13 Etch sshd[2792]: Bad protocol version identification '\200F\001\003\001' from UNKNOWN
May  9 17:00:01 Etch CRON[2890]: (pam_unix) session opened for user root by (uid=0)
May  9 17:00:01 Etch CRON[2890]: (pam_unix) session closed for user root
May  9 17:02:01 Etch CRON[3071]: (pam_unix) session opened for user logcheck by (uid=0)
May  9 17:02:05 Etch CRON[3071]: (pam_unix) session closed for user logcheck
May  9 17:11:13 Etch sshd[3741]: Bad protocol version identification '\200F\001\003\001' from UNKNOWN
May  9 17:17:01 Etch CRON[4010]: (pam_unix) session opened for user root by (uid=0)
May  9 17:17:01 Etch CRON[4010]: (pam_unix) session closed for user root
May  9 17:19:59 Etch sshd[4121]: Bad protocol version identification '\200F\001\003\001' from UNKNOWN
May  9 17:30:01 Etch CRON[4542]: (pam_unix) session opened for user root by (uid=0)
May  9 17:30:10 Etch CRON[4542]: (pam_unix) session closed for user root
May  9 17:37:15 Etch sshd[4945]: Bad protocol version identification '\200F\001\003\001' from UNKNOWN
May  9 17:46:02 Etch sshd[5268]: Bad protocol version identification '\200F\001\003\001' from UNKNOWN
May  9 17:58:41 Etch sshd[5793]: Bad protocol version identification '\200F\001\003\001' from UNKNOWN

Dans les logs d’ulog:

May  9 17:19:45 Etch TRAFFIC_ACCEPT_SSH IN=ath0 OUT= MAC= SRC=80.8.242.18 DST=192.168.1.11 LEN=48 TOS=00 PREC=0x00 TTL=115 ID=37563 CE DF PROTO=TCP SPT=4867
DPT=443 SEQ=375534364 ACK=0 WINDOW=65535 SYN URGP=0
May  9 17:37:05 Etch TRAFFIC_ACCEPT_SSH IN=ath0 OUT= MAC= SRC=80.8.242.18 DST=192.168.1.11 LEN=48 TOS=00 PREC=0x00 TTL=115 ID=41016 CE DF PROTO=TCP SPT=1910
DPT=443 SEQ=3885584519 ACK=0 WINDOW=65535 SYN URGP=0
May  9 17:45:48 Etch TRAFFIC_ACCEPT_SSH IN=ath0 OUT= MAC= SRC=80.8.242.18 DST=192.168.1.11 LEN=48 TOS=00 PREC=0x00 TTL=115 ID=42706 CE DF PROTO=TCP SPT=2416
DPT=443 SEQ=1390587404 ACK=0 WINDOW=65535 SYN URGP=0
May  9 17:58:30 Etch TRAFFIC_ACCEPT_SSH IN=ath0 OUT= MAC= SRC=80.8.242.18 DST=192.168.1.11 LEN=48 TOS=00 PREC=0x00 TTL=115 ID=44508 CE DF PROTO=TCP SPT=2915
DPT=443 SEQ=4284133435 ACK=0 WINDOW=65535 SYN URGP=0
May  9 18:05:36 Etch TRAFFIC_ACCEPT_SSH IN=ath0 OUT= MAC= SRC=62.48.228.149 DST=192.168.1.11 LEN=48 TOS=00 PREC=0x00 TTL=112 ID=38975 CE DF PROTO=TCP SPT=1860 DPT=443 SEQ=3186776466 ACK=0 WINDOW=65535 SYN URGP=0
May  9 18:40:14 Etch TRAFFIC_ACCEPT_SSH IN=ath0 OUT= MAC= SRC=193.147.185.18 DST=192.168.1.11 LEN=60 TOS=00 PREC=0x00 TTL=46 ID=2089 DF PROTO=TCP SPT=45696 DPT=443 SEQ=3181036818 ACK=0 WINDOW=5840 SYN URGP=0

Merci de votre aide

mattotop · Février 20, 2016, 3:50pm

qu’est ce que c’est que ces paquets en DPT 443 ? c’est le port du https, ça !

Mais dis moi, est ce que tu habiterais en guyane ?

bloodaxe70 · Février 20, 2016, 3:50pm

Mais non, mon serveur ssh est en ecoute sur le 443.

mattotop · Février 20, 2016, 3:50pm

le 443 est normalement du https
je pencherais donc pour un automatisme qui essaie vainement de faire du https sur le port. C’est peut être une attaque, mais AMA sur du https, donc pas grave.
Et en regardant le whois de la source 80.8.242.18 (qui pointe vers le bas adsl de cayenne), je me demandais si c’etait un dispositif proche de toi ou loin qui répètait ses tentatives.

PengouinPdt · Février 20, 2016, 3:50pm

De fait, rediriger le port SSH vers un autre port connu, et entres autres un port d’authentification sécurisé, est une mauvaise idée…

La redirection est un artifice qui bien souvent ne leurre … que toi-même.
Au moins, fais-le sur un port non utilisé, si possible sur un port dit root, soit-en dessous de 1024.
Il est plus important de mettre-à-jour, sécuriser voire blinder correctement sa station ou son server, que d’utiliser une politique dite de “sécurité opaque”.
Sans empêcher que d’utiliser une telle politique de sécurité, tu peux oublier toi-même sur quel port tu rediriges, et te faire peur tout seul !

++

bloodaxe70 · Février 20, 2016, 3:50pm

Les “attaques” viennent d’un peu partout, j’ai une ip de taiwan d’autre d’issy les moulinaux d’autre du portugal …

[quote=“PengouinPdt”]De fait, rediriger le port SSH vers un autre port connu, et entres autres un port d’authentification sécurisé, est une mauvaise idée…

La redirection est un artifice qui bien souvent ne leurre … que toi-même.
Au moins, fais-le sur un port non utilisé, si possible sur un port dit root, soit-en dessous de 1024.
Il est plus important de mettre-à-jour, sécuriser voire blinder correctement sa station ou son server, que d’utiliser une politique dite de “sécurité opaque”.
Sans empêcher que d’utiliser une telle politique de sécurité, tu peux oublier toi-même sur quel port tu rediriges, et te faire peur tout seul !

++[/quote]

C’est pas seulement pour sécuriser, c’est aussi pour finter les proxy qui laisse sortir que les flux http et https, comme ca je peux accèder a mon pc au boulot . Et c’est mieux de le faire passé par https que http un flux crypter sur http ca ferai désordre dans les logs, l’admin réso n’y voit que du feu

fran.b · Février 20, 2016, 3:50pm

Mais non, on redirige vers le port 443 pour passer à travers les parefeux parano d’une université qui bloque tout sauf le port 443 (entre autres) sur lequel ça ne sert à rien d’écouter puisque c’est du crypté. Au pire, ça passe à travers un proxy mais dans ce cas on utilise proxy-tunnel… Je me trompe bloodaxe70?

[edit: nos réponses se sont croisées]

PengouinPdt · Février 20, 2016, 3:50pm

[quote=“bloodaxe70”]
C’est pas seulement pour sécuriser, c’est aussi pour finter les proxy qui laisse sortir que les flux http et https, comme ca je peux accèder a mon pc au boulot . Et c’est mieux de le faire passé par https que http un flux crypter sur http ca ferai désordre dans les logs, l’admin réso n’y voit que du feu [/quote]

oki, je comprends …

bloodaxe70 · Février 20, 2016, 3:50pm

[quote=“fran.b”]Mais non, on redirige vers le port 443 pour passer à travers les parefeux parano d’une université qui bloque tout sauf le port 443 (entre autres) sur lequel ça ne sert à rien d’écouter puisque c’est du crypté. Au pire, ça passe à travers un proxy mais dans ce cas on utilise proxy-tunnel… Je me trompe bloodaxe70?
[/quote]

T’avais vu juste .