Se plaindre suite à une tentative d'intrusion ?

[gauthierv]

Bonjour à tous,

J'ai un PC Linux protégé par un firewall sur lequel j'ai ouvert (coté internet) le seul port ssh.
En examinant /var/log/messages, je trouve des traces de tentatives de connection systématique,
c-à-d. des tentatives de connection avec des identifiants classiques (root, admin, games, backup...)
ou des listes de prénoms, ces tentatives se succédant toutes les 3 secondes durant 1 ou 2 minutes.

Il doit donc s'agir de scripts automatisant cette procédure.

J'aimerais avoir un avis sur la manière la plus appropriée de réagir à ça ; un whois sur l'adresse IP
attaquante donne un fournisseur d'accès coréen ou autre contrée exotique... Cela vaut-il la peine
de leur signaler l'abus ?

Sinon, d'autres réactions envisageables ? Via mon propre fournisseur d'accès, par ex. ou une
éventuelle autorité ?

Merci d'avance,

Gauthier

[vince83]

bonjour ,

j'ai moi aussi subi ce genre de manipulations .
j'ai effectué cela :

-mot de passe SSH long comme le bras et modifié souvent.
-ouverture du SSH sur le NET que lorsque j'en ai besoins.
-création d'un script qui bloque l'adresse IP dans host.deny au bout de 3 essais raté (ça calme pas mal)
-envoi par mail des logs de tentative d'intrusion a mon FAI (je sais pas si ça sert mais bon , il parrait que parfois il y a des suites ...)

[gauthierv]

Re-bonjour,

[quote="vince83"]bonjour ,

j'ai moi aussi subi ce genre de manipulations .
j'ai effectué cela :

-mot de passe SSH long comme le bras et modifié souvent.
-ouverture du SSH sur le NET que lorsque j'en ai besoins.
-création d'un script qui bloque l'adresse IP dans host.deny au bout de 3 essais raté (ça calme pas mal)
-envoi par mail des logs de tentative d'intrusion a mon FAI (je sais pas si ça sert mais bon , il parrait que parfois il y a des suites ...)[/quote]

J'aime bien l'idée du script qui vérifie les essais ratés, mais je me demande s'il ne serait pas plus intéressant de créer une règle IPtable (volatile, donc) sur base de l'IP plutôt qu'un ajout à host.deny (qui pourrait enfler...)

Comment le script est-il averti rapidement de ce qui est inscrit dans les logs ?

Tu pourrais éventuellement poster ou envoyer en privé ce script ?

Et à part ça, as-tu eu une réaction de ton FAI ?

[vince83]

J'aime bien l'idée du script qui vérifie les essais ratés, mais je me demande s'il ne serait pas plus intéressant de créer une règle IPtable (volatile, donc) sur base de l'IP plutôt qu'un ajout à host.deny (qui pourrait enfler...)

pourquoi pas c'est une idée
mais je suis sous SME et j'ai peur d'avoir un probleme avec les templates.

Comment le script est-il averti rapidement de ce qui est inscrit dans les logs ?

par un tache cron ; toutes les 10 minutes je scan mon fichier log et je recupere les IP des lignes avec acces "illegal" et je les inscrits dans host.deny apres avoir verifié si elles n'y sont pas deja.
je sais , 10 minutes c'est pas super super mais j'ai peur de le faire tourner plus souvent (ressources ...).

mai je crois qu'il existe des contribs pour ça du style snort , acid mais je ne les ais pas essayé .

pour les retours FAI je suis chez wanadoo et rien pour l'instant mais au moins c'est signalé ...

au fait petite question a tout lecteur de ce post :
sous SME peux on bloquer de maniere fiable et rapide toute tentative d'intrusion en SSH avec snort et acid ou existe -t -il d'autres contribs pour ça ???

[tomtom]

J'aime bien l'idée du script qui vérifie les essais ratés, mais je me demande s'il ne serait pas plus intéressant de créer une règle IPtable (volatile, donc) sur base de l'IP plutôt qu'un ajout à host.deny (qui pourrait enfler...)

Hummmmm....
Attention au deni de service facile.... IPspoofing gentillet et tu perds l'accès à ta machine Sans parler de quelqu'un qui pourrait bloquer tes accesès derrière un nat sans rien faire... Ni les cas d'erreur où avec la fatigue tu vas t'auto bloquer....
Une règle iptables, pourquoi pas, mais idem avec un timeout...

Je ne suis pas trop pour ce genre d'utilisation. Après tout, s'ils veulent tenter.... De toutes façon si le mot de passe est correct et changé régulièrement, pas de risque alors....

D'ailleurs, bien mieux que le mot de passe : supprimer l'authentification par mot de passe, faire tout avec des clefs. Tu mets une phrase de passe en béton sur ta clé privée pour le cas où on te la vole, et tu en gardes des copies pour ne pas te bloquer toi-même en perdant tes clefs. Simple, isn't it ?

Comment le script est-il averti rapidement de ce qui est inscrit dans les logs ?

--> Il lit la log ??
Avec cron, tu as une réaction de l'ordre de la minute...

t.

[---rv---]

Bonjour,
Ce sujet a presque un an, je le réanime.

Mon serveur tourne sous SME, et l'acès SSH n'est autorisé qu'avec clé RSA ; j'envisage de plus de bannir pendant 2 heures toute IP à la 3ème tentative infructueuse...

Bref, je défends apprement mon pré carré, mais c'est tout.

Dans un premier temps, j'avais envie de déclarer ces IP à free (mon FAI) car la majorité des tentatives de hack émanaient de mes "voisins" de NRA.
Cependant free ne semble s'interresser qu'aux spam, et par ailleurs, les plus assidus de mes hackers présumés pour 2006 sont au Japon : l'IP médaillée d'or correspondant à Information Network Center,Kisarazu National College of Technology.

reBref, à toutes fins inutiles, si ça m'aggace vraiement et si je souhaite déclarer un abus sur la foi de mes logs, il est nécessaire et suffisant que j'adresse quoi et à qui ?


Merci de vos expériences.
@+
rv