Attaques SSH

Attaques SSH - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 02-08-2004 à 12:16:35    

Bonjour
 
Avez vous remarqué depuis quelques temps de plus en plus de tentatives de login (test, guest, root....) ?
 
Savez vous d'ou ça vient?
 
worm/script kiddie?
 
Merci

Reply

Marsh Posté le 02-08-2004 à 12:16:35   

Reply

Marsh Posté le 02-08-2004 à 12:25:56    

+1 j'ai repéré qques tentatives dans les logs sur mon serveur... y'en a pas bcp, mais j'avais jamais remarqué auparavant


---------------
Counting all the assh*les in the room, well I'm definitely not alone...
Reply

Marsh Posté le 02-08-2004 à 12:34:06    

apparamment c un worm ki essaye des comptes.....
 
y'a de plus en plus de machines infectées :(

Reply

Marsh Posté le 02-08-2004 à 12:34:16    

changez le port ssh par défaut, ça aide ;)

Reply

Marsh Posté le 02-08-2004 à 12:41:59    

En même temps si les pass sont pas "toto" ou "tutrouveraspas", ça va quoi, c'est pas la mort :o


---------------
Fan et séquestrateur de Deprem De Prel Photographie, célèbre photographe de tuning automobile :o
Reply

Marsh Posté le 02-08-2004 à 13:05:00    

comme vous voulez....

Reply

Marsh Posté le 02-08-2004 à 13:14:05    

j'ai changé le port par défaut + interdit le login root

Reply

Marsh Posté le 02-08-2004 à 13:15:56    

claquer le PermitRootLogin à "no", mettre uniquement les users qui ont un compte ssh dans la config sshd, déjà ça limite les risques, ensuite à moins d'une faille de secu avec un SSHd pas à jour ou d'un pass à la con sur un login à la con, le risque est relativement limité quand même.
 
Le problème c'est pas d'avoir plein de gens qui tentent, le problème c'est quand il est possible d'y arriver :o


Message édité par Sly Angel le 02-08-2004 à 13:17:20

---------------
Fan et séquestrateur de Deprem De Prel Photographie, célèbre photographe de tuning automobile :o
Reply

Marsh Posté le 02-08-2004 à 13:18:13    

c aussi un probleme d'avoir des gens qui tentent
 
ils tentent, ils tent, et.......un jour peut etre qu'ils réussiront :$

Reply

Marsh Posté le 02-08-2004 à 13:44:16    

Tu oblige l'utilisation des paires de clés et le problèmes et réglé.

Reply

Marsh Posté le 02-08-2004 à 13:44:16   

Reply

Marsh Posté le 02-08-2004 à 13:50:25    

splurf a écrit :

c aussi un probleme d'avoir des gens qui tentent
 
ils tentent, ils tent, et.......un jour peut etre qu'ils réussiront :$


 
à ce moment là autant ne pas mettre du tout ssh :D
 
Moi personnellement j'ai bien plus confiance en sshd avec les précautions d'usage qu'en d'autres daemons...


Message édité par Sly Angel le 02-08-2004 à 13:50:48

---------------
Fan et séquestrateur de Deprem De Prel Photographie, célèbre photographe de tuning automobile :o
Reply

Marsh Posté le 02-08-2004 à 16:21:07    

Si on a sshd à jour, c'est quand même sûr.
 
Apparemment c'est un ver qui cherche des versions de sshd vulnérables.


---------------
Hébergement web customisé | Forum perso
Reply

Marsh Posté le 02-08-2004 à 17:16:12    

JoWiLe a écrit :

de toute manière, si t'es leur cible précise, ils y arriveront s'ils y mettent les moyens


ça c'est moins sûr, j'ai déjà été ciblé pendant un bon mois par plusieurs ip, je me suis bien maré :lol:

Reply

Marsh Posté le 02-08-2004 à 17:23:11    

t un grand haxor qui roxor toi ;)

Reply

Marsh Posté le 02-08-2004 à 17:27:09    

non pas du tout, j'avais renommé tous les ports, en intervertissant à chaque fois les requètes (symétriquement)
j'avais bidouillé TRES légérement le serveur SSH.
En il s'agissait d'un pari avec quelques amis...

Reply

Marsh Posté le 02-08-2004 à 17:28:34    

LLiewisH Track a écrit :

non pas du tout, j'avais renommé tous les ports, en intervertissant à chaque fois les requètes (symétriquement)
j'avais bidouillé TRES légérement le serveur SSH.
En il s'agissait d'un pari avec quelques amis...


 
t'as corrigé une faute d'orthographe dans les commentaires ? :)

Reply

Marsh Posté le 02-08-2004 à 17:35:12    

il a fait de l'interversion symetrique de requetes, ouaou, c un hacker lui ;)

Reply

Marsh Posté le 02-08-2004 à 17:35:51    

LLiewisH Track a écrit :

non pas du tout, j'avais renommé tous les ports, en intervertissant à chaque fois les requètes (symétriquement)
j'avais bidouillé TRES légérement le serveur SSH.
En il s'agissait d'un pari avec quelques amis...


 
vla un site pour toi => http://membres.lycos.fr/azerty0/

Reply

Marsh Posté le 02-08-2004 à 17:39:19    

j'apprecie le geste. tu dois faire légérement erreur cependant...

Reply

Marsh Posté le 02-08-2004 à 17:45:18    

si tu nous faisait part de tes modifications ? ca nous permetrait de nous coucher moins cons ce soir

Reply

Marsh Posté le 02-08-2004 à 18:01:37    

le principe consiste à nommer deux fois chaque port.
- donner un mauvais numéro de port à chaque port pour tout le monde
- donner les bons numéros pour que les ip déclarées par un système de clé.
Faire que le démon du firewall modifie le noms des ports en fonctions des ip.  
 
Bien sûr par ailleurs il vaut mieux supprimer root et tout les autres précautions habituelles.
 
Mais attention, le but en renomant les ports est de brouiller les pistes, mais il ne faut pas renomer de manière aléatoire, cela reviendrait quasiment à désactiver le serveur. Il faut faire du symétrique.  
Pour plus de détail consulter le site http://librelinux.free.fr. très bien fait dailleurs

Reply

Marsh Posté le 02-08-2004 à 18:48:56    

on peut voir les sources? :$

Reply

Marsh Posté le 02-08-2004 à 20:22:42    

évidemment, on les verra jamais....

Reply

Marsh Posté le 03-08-2004 à 23:16:51    

heu ca resemble au "knock je sais plus koi" son histoire
en gros, c est un iptables modifié qui n ouvre les ports que si le client knock a la porte de la bonne facon
 
j en sais pas plus j ai pas lu plus de trucs dessus :D


Message édité par Tomate le 03-08-2004 à 23:17:01

---------------
:: Light is Right ::
Reply

Marsh Posté le 04-08-2004 à 11:44:18    

JoWiLe a écrit :

euh non c'est pas ça du tout ;)
 
ce que LLiewisH Track a fait c'est une bête interversion de port selon la source
 
 
 
ce dont tu parles c'est du "port triggering"

oue enfin ca y ressemble un peu, de loin :D


---------------
:: Light is Right ::
Reply

Marsh Posté le 04-08-2004 à 12:01:48    

JoWiLe a écrit :

de très très loin :D
 
 
au fait tomate, tu dis sur le topic spam que t'es registrar... :??:
 
tu veux pas plutôt dire que t'es contact technique dans le whois du domaine de ta boite?

oue [:joce]


---------------
:: Light is Right ::
Reply

Marsh Posté le 04-08-2004 à 13:04:19    

L'affaire de LLiewisH Track sent le mytho qd meme ;)

Reply

Marsh Posté le 04-08-2004 à 13:12:39    

le temps de nous pondre un bout de c++ genre

Code :
  1. //ceci est ma fonction miracle
  2. //non, je ne mythonne pas
  3. //regardez
  4. cout << "J'ai fait une inversion spatiotemporelle asymétriquement asymptotique";
  5. //et la vous vous dites ouaou
  6. //z'avez vu comme je suis fort
  7. //je suis le master des firewalls
  8. //du ssh
  9. //le tcp ip je vais le réécrire
  10. //le DOD m'a embauché pour écrire l'IPv8
  11. //les paquets je les arrete du petit doigt
  12. //salut les noobz

Reply

Marsh Posté le 04-08-2004 à 13:29:00    

:lol:


---------------
:: Light is Right ::
Reply

Marsh Posté le 04-08-2004 à 15:10:34    

bon, après renseignement je retire ce que j'ai dit plus haut, il paraît que ça ne marche pas du tout ou plus du tout.
D'après ce que j'ai cru comprendre, la moindre modif bousille tout.  
Désolé d'avoir pollué

Reply

Marsh Posté le 05-08-2004 à 17:44:53    

bon je viens de lire tous vos messages:
ça m'étonne beaucoup qu'on doute de cette technique.
 
Les sources je n'en ai aucune sous la main déjà parce que je bosse sous windows et de plus parce que je ne me sers pas d'un serveur ssh.
 
Maintenant Nelyot Tchagui il faut faire la différence entre "ça ne marche pas" et "ça ne marche plus parce que j'ai fait une connerie" (je ne connais pas précisémment "l'assoce" dont tu parles).
 
Evidemment cette technique est un peu grossière et il faut savoir ce qu'on fait si on veut faire des retouches ou des MAJ.
 

Reply

Marsh Posté le 05-08-2004 à 18:19:41    

LLiewisH Track a écrit :

bon je viens de lire tous vos messages:
ça m'étonne beaucoup qu'on doute de cette technique.
 
Les sources je n'en ai aucune sous la main déjà parce que je bosse sous windows et de plus parce que je ne me sers pas d'un serveur ssh.
 
Maintenant Nelyot Tchagui il faut faire la différence entre "ça ne marche pas" et "ça ne marche plus parce que j'ai fait une connerie" (je ne connais pas précisémment "l'assoce" dont tu parles).
 
Evidemment cette technique est un peu grossière et il faut savoir ce qu'on fait si on veut faire des retouches ou des MAJ.


 
tu disais aussi
 

Code :
  1. non pas du tout, j'avais renommé tous les ports, en intervertissant à chaque fois les requètes (symétriquement)
  2. j'avais bidouillé TRES légérement le serveur SSH.
  3. En il s'agissait d'un pari avec quelques amis...


 
 
dons t'avais modifié sshd ou pas?
tu te sers pas d'un serveur ssh?
 
c pas incohérent ça?


Message édité par splurf le 05-08-2004 à 18:20:40
Reply

Marsh Posté le 05-08-2004 à 20:13:37    

C'est pas parcequ'il l'a modifié qu'il s'en sert :D

Reply

Marsh Posté le 05-08-2004 à 21:06:31    

BMenez a écrit :

C'est pas parcequ'il l'a modifié qu'il s'en sert :D


 
Moi j'aurais plutôt dit que c'est parce qu'il l'a modifié qu'il ne s'en sert plus :D ( nuance :whistle: )


Message édité par Sly Angel le 05-08-2004 à 21:06:42
Reply

Marsh Posté le 05-08-2004 à 21:06:57    

:lol:


---------------
:: Light is Right ::
Reply

Marsh Posté le 06-08-2004 à 08:55:10    

moi je dis "Mytho Detected" ;)

Reply

Marsh Posté le 06-08-2004 à 09:56:30    

non je pense pas que ce soit mytho puisque je connais des gens qui l'ont testé. Maintenant ça veut pas dire que cette technique est bonne ou mauvaise.
Apparemment, ça marchait au début et puis après ça marchait plus;

Reply

Marsh Posté le 06-08-2004 à 09:57:57    

il dit qu'il a "modifié ssh" et apres il dit qu'il se sert pas  de ssh. Trouvez l'erreur.....
 
 
L'homme qui a vu l'homme qui a vu l'ours qui a donné une claque au chien qui a mordu le facteur....

Reply

Marsh Posté le 06-08-2004 à 09:58:03    

c est pas dit non plus que c est lui qui a codé le truc
parce que bon l excuse : j ai pas les src car je suis sous win [:mlc]


---------------
:: Light is Right ::
Reply

Marsh Posté le 06-08-2004 à 10:04:38    

peut être qu'il se servait de ssh et qu'il ne s'en sert plus (soit dit en passant je ne sais pas vraiment ce qu'est un serveur ssh donc moi, ce que j'en dis...)

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed