Auteur Sujet: Fail2Ban ip CHinoise (Lu 7996 fois)

Thibault · « **le:** 09 octobre 2013 à 20:23:35 »

Bonjour,
Ce matin j'ai reçu un mail de mon Fail2Ban pour dire qu'il a bloqué une ip, je voulais savoir comment ça pu arriver sur mon ip, car franchement je vois pas ce que peuvent faire les chinois avec mon ip ....
Surtout que mon ip est caché, sur mon nom de domaine avec CloudFare.
Hi, The IP 222.135.144.90 has just been banned by Fail2Ban after 6 attempts against ssh. Here are more information about 222.135.144.90: % [whois.apnic.net] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html % Information related to '222.132.0.0 - 222.135.255.255' inetnum: 222.132.0.0 - 222.135.255.255 netname: UNICOM-SD descr: China Unicom Shandong province network descr: China Unicom country: CN admin-c: CH1302-AP tech-c: XZ14-AP mnt-by: APNIC-HM mnt-lower: MAINT-CNCGROUP-SD mnt-routes: MAINT-CNCGROUP-RR remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+ remarks: This object can only be updated by APNIC hostmasters. remarks: To update this object, please contact APNIC remarks: hostmasters and include your organisation's account remarks: name in the subject line. remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+ mnt-irt: IRT-CU-CN changed: hm-changed@apnic.net 20031211 status: ALLOCATED PORTABLE changed: hm-changed@apnic.net 20060125 changed: hm-changed@apnic.net 20090508 source: APNIC irt: IRT-CU-CN address: No.21,Jin-Rong Street address: Beijing,100140 address: P.R.China e-mail: zhouxm@chinaunicom.cn abuse-mailbox: zhouxm@chinaunicom.cn admin-c: CH1302-AP tech-c: CH1302-AP auth: # Filtered mnt-by: MAINT-CNCGROUP changed: zhouxm@chinaunicom.cn 20101110 changed: hm-changed@apnic.net 20101116 source: APNIC person: ChinaUnicom Hostmaster nic-hdl: CH1302-AP e-mail: abuse@cnc-noc.net address: No.21,Jin-Rong Street address: Beijing,100033 address: P.R.China phone: +86-10-66259764 fax-no: +86-10-66259764 country: CN changed: abuse@cnc-noc.net 20090408 mnt-by: MAINT-CNCGROUP source: APNIC person: XIAOFENG ZHANG nic-hdl: XZ14-AP e-mail: ip@pub.sd.cninfo.net address: Jinan,Shandong P.R China phone: +86-531-6666666 fax-no: +86-531-6666666 country: CN changed: ip@sdinfo.net 20050330 mnt-by: MAINT-ZXF source: APNIC % Information related to '222.132.0.0/14AS4837' route: 222.132.0.0/14 descr: CNC Group CHINA169 Shandong Province Network country: CN origin: AS4837 mnt-by: MAINT-CNCGROUP-RR changed: abuse@cnc-noc.net 20060118 source: APNIC % This query was served by the APNIC Whois Service version 1.68.5 (WHOIS3) Lines containing IP:222.135.144.90 in /var/log/auth.log Oct 9 08:04:42 raspberrypi sshd[15188]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.135.144.90 user=root Oct 9 08:04:44 raspberrypi sshd[15188]: Failed password for root from 222.135.144.90 port 36405 ssh2 Oct 9 08:04:44 raspberrypi sshd[15188]: Received disconnect from 222.135.144.90: 11: Bye Bye [preauth] Oct 9 08:04:48 raspberrypi sshd[15190]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.135.144.90 user=root Oct 9 08:04:50 raspberrypi sshd[15190]: Failed password for root from 222.135.144.90 port 38331 ssh2 Oct 9 08:04:50 raspberrypi sshd[15190]: Received disconnect from 222.135.144.90: 11: Bye Bye [preauth] Oct 9 08:04:53 raspberrypi sshd[15192]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.135.144.90 user=root Oct 9 08:04:56 raspberrypi sshd[15192]: Failed password for root from 222.135.144.90 port 40250 ssh2 Oct 9 08:04:56 raspberrypi sshd[15192]: Received disconnect from 222.135.144.90: 11: Bye Bye [preauth] Oct 9 08:05:01 raspberrypi sshd[15195]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.135.144.90 user=root Oct 9 08:05:03 raspberrypi sshd[15195]: Failed password for root from 222.135.144.90 port 42186 ssh2 Oct 9 08:05:03 raspberrypi sshd[15195]: Received disconnect from 222.135.144.90: 11: Bye Bye [preauth] Oct 9 08:05:08 raspberrypi sshd[15200]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.135.144.90 user=root Oct 9 08:05:10 raspberrypi sshd[15200]: Failed password for root from 222.135.144.90 port 44506 ssh2 Oct 9 08:05:10 raspberrypi sshd[15200]: Received disconnect from 222.135.144.90: 11: Bye Bye [preauth] Oct 9 08:05:13 raspberrypi sshd[15202]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.135.144.90 user=root Oct 9 08:05:16 raspberrypi sshd[15202]: Failed password for root from 222.135.144.90 port 46689 ssh2 Oct 9 08:05:16 raspberrypi sshd[15202]: Received disconnect from 222.135.144.90: 11: Bye Bye [preauth] Regards, Fail2Ban

vivien · « **Réponse #1 le:** 09 octobre 2013 à 20:27:44 »

Le but est de prendre le contrôle de ta machine pour lancer des attaques depuis un parc de dizaines de milliers de PC aux ordres qui vont faire des attaques par dénie de service ou amplification dns.

Une machine avec 100 Mb/s d'upload c'est très intéressant pour ces attaques même si je pense que ton IP a été testée comme les autres IP publiques : des robots testent en permanence des millions d'IP.

Pour les extrémistes de la sécurité, voici des moyens de diminuer le risque d'attaque réussi :
1/ Mettre a jour quotidiennement sa machine avec les mises à jour de sécurité (via crontab si ce n'est pas proposé par la distribution)
2/ Ne pas avoir de compte root
3/ Changer le port 22 de SSH
4/ Mettre en place un bannissement des IP / firewall

Certains proposeront de ne pas répondre au ping pour que l'attaquant ne sache pas si une machine est présente. Je ne sais pas si c'est aujourd'hui efficace.

Marin · « **Réponse #2 le:** 09 octobre 2013 à 20:36:37 »

Citation de: TitiDu01 le 09 octobre 2013 à 20:23:35

je vois pas ce que peuvent faire les chinois avec mon ip ....

Ça a très clairement beaucoup plus de chances d'être un bot qui teste des mots de passe simples du genre « admin » ou « 1234 » en masse sur des ranges d'adresses IP entières qu'un chinois.

Thibault · « **Réponse #3 le:** 09 octobre 2013 à 20:59:49 »

L'ip est ciblé en chine pour ça que je dis que c'est un chinois ^^.

Ok vivien, sous raspbian je ne sais pas si il fait les mises à jour automatiquement, mais moi je fais une vérification tout les 1 - 2 mois.

corrector · « **Réponse #4 le:** 09 octobre 2013 à 22:13:24 »

Citation de: vivien le 09 octobre 2013 à 20:27:44

Le but est de prendre le contrôle de ta machine pour lancer des attaques depuis un parc de dizaines de milliers de PC aux ordres qui vont faire des attaques par dénie de service ou amplification dns.

Pinaillage : l'amplification DNS est une méthode de DOS.

Citation de: vivien le 09 octobre 2013 à 20:27:44

Certains proposeront de ne pas répondre au ping pour que l'attaquant ne sache pas si une machine est présente. Je ne sais pas si c'est aujourd'hui efficace.

Si tout le monde fait ça, non, ça ne sert plus à rien!

Il n'est pas plus coûteux de tester le port SSH directement que de faire un ping avant; donc le ping ne fait que rajouter une étape inutile.

En plus, avec les DNAT sur les box, le périphérique qui répond au ping n'est même pas celui qui répond sur un port donné, donc ça a encore moins de sens.

butler_fr · « **Réponse #5 le:** 09 octobre 2013 à 23:50:11 »

boarf une seule tentative?

moi j'en ai plusieurs par jours!

Code: [Sélectionner]

2013-10-06 19:40:38,792 fail2ban.actions: WARNING [ssh] Ban 218.64.114.103
2013-10-06 20:40:39,095 fail2ban.actions: WARNING [ssh] Unban 218.64.114.103
2013-10-06 22:52:02,242 fail2ban.actions: WARNING [ssh] Ban 59.66.19.130
2013-10-06 23:52:02,639 fail2ban.actions: WARNING [ssh] Unban 59.66.19.130
2013-10-07 00:24:00,436 fail2ban.actions: WARNING [ssh] Ban 212.234.66.108
2013-10-07 01:24:00,884 fail2ban.actions: WARNING [ssh] Unban 212.234.66.108
2013-10-07 23:20:53,866 fail2ban.actions: WARNING [ssh] Ban 58.250.71.43
2013-10-08 00:20:54,206 fail2ban.actions: WARNING [ssh] Unban 58.250.71.43
2013-10-08 14:28:03,087 fail2ban.actions: WARNING [ssh] Ban 61.218.5.30
2013-10-08 15:28:03,472 fail2ban.actions: WARNING [ssh] Unban 61.218.5.30
2013-10-08 15:47:41,583 fail2ban.actions: WARNING [ssh] Ban 61.147.116.109
2013-10-08 16:47:42,027 fail2ban.actions: WARNING [ssh] Unban 61.147.116.109

et encore la ils sont calmes certains jours il y en a bien plus!

tu désactive la connexion sur le compte root et c'est réglé
faut encore que je sécurise mon interface phpmyadmin (j'ai pas encore trouvé le temps)

cali · « **Réponse #6 le:** 10 octobre 2013 à 00:34:30 »

Citation de: vivien le 09 octobre 2013 à 20:27:44

Le but est de prendre le contrôle de ta machine pour lancer des attaques depuis un parc de dizaines de milliers de PC aux ordres qui vont faire des attaques par dénie de service ou amplification dns.

Une machine avec 100 Mb/s d'upload c'est très intéressant pour ces attaques même si je pense que ton IP a été testée comme les autres IP publiques : des robots testent en permanence des millions d'IP.

Pour les extrémistes de la sécurité, voici des moyens de diminuer le risque d'attaque réussi :
1/ Mettre a jour quotidiennement sa machine avec les mises à jour de sécurité (via crontab si ce n'est pas proposé par la distribution)
2/ Ne pas avoir de compte root
3/ Changer le port 22 de SSH
4/ Mettre en place un bannissement des IP / firewall

Certains proposeront de ne pas répondre au ping pour que l'attaquant ne sache pas si une machine est présente. Je ne sais pas si c'est aujourd'hui efficace.

Penser régler ça en changeant de port est particulièrement grotesque, je pense qu'il est préférable de se faire péter par un robot à la con que quelqu'un qui fera ça de manière ciblée.
Il suffit simplement de dire à sshd de ne pas accepter plus de X tentatives, ce qu'a fait fail2ban.

Généralement ce qui ce passe c'est que le robot tente des connexions en utilisant des noms de comptes classiques, si il pète un utilisateur non root il va ensuite déployer localement sur la machine le brute force pour péter le root et aussi pour brute forcer d'autre machines. Il va aussi spawner un processus pour maintenir un backdoor.

Bref, rien à craindre sauf si on est un gros con.

jack · « **Réponse #7 le:** 10 octobre 2013 à 11:41:12 »

Citer

Pour les extrémistes de la sécurité, voici des moyens de diminuer le risque d'attaque réussi :
1/ Mettre a jour quotidiennement sa machine avec les mises à jour de sécurité (via crontab si ce n'est pas proposé par la distribution)
2/ Ne pas avoir de compte root
3/ Changer le port 22 de SSH
4/ Mettre en place un bannissement des IP / firewall

Certains proposeront de ne pas répondre au ping pour que l'attaquant ne sache pas si une machine est présente. Je ne sais pas si c'est aujourd'hui efficace.

Ne pas avoir de compte root, c'est à mes yeux mal, ça rajoute une bonne dose de complexité pour rien. Ne pas utiliser des passwd me parait tellement mieux !
Changer le port de SSH, idem, j'suis plus que dubitatif à ce niveau
Et bloquer le ping, c'est une pratique que j'abhorre également: c'est à double tranchant, pour les "méchants", mais aussi pour toi.

En revanche, les pratiques 1 et 4 sont très bien (maj + ssh-key RSA 4096b + fail2ban, c'est simple, indolore, rapide et efficace)
Pour le ping, si tu veux, tu peux mettre une limitation de réponses (ne pas répondre plus de 2 fois par seconde par exemple), si tu crains des problèmes liés à l'ICMP;

butler_fr · « **Réponse #8 le:** 10 octobre 2013 à 11:52:12 »

plutôt que de ne pas avoir de compte root

pourquoi ne pas simplement empêcher la connexion en ssh directement sur celui ci?

typiquement tu te connecte avec l’utilisateur truc pour ensuite te connecter en root!

jack · « **Réponse #9 le:** 10 octobre 2013 à 12:46:29 »

Ouais, donc deux passwd, ou utilisation intensive de sudo

Mouais;

Thibault · « **Réponse #10 le:** 10 octobre 2013 à 17:51:18 »

J'ai eu 3 nouvelles attaques aujourd'hui : 2 ssh et 1 qui concerne apache. Un robot qui essaye de trouver ma page phpmyadmin, mail, administration... mais sur le default site, donc il n'essaye pas avec les sous-domaine, directement avec l'ip je suppose.

Amon-Ra · « **Réponse #11 le:** 10 octobre 2013 à 21:05:43 »

la meilleure des protection est de mettre un rebond.

la technique avec un tunnel ssh :
une machine A frontale avec SSH qui accepte toutes les connections de l'extérieur.
et une machine B (la vrai) qui accepte les connections ssh de la machine A, le reste est exclu :p

donc dans les faits, tu lance 2 connexions SSH :
une de ton poste vers A, puis de A vers B...

http://tech.novapost.fr/ssh-connexion-avec-rebond.html

ça marche pareil avec une solution CITRIX etc...

Auteur Sujet: Fail2Ban ip CHinoise (Lu 7996 fois)

corrector