Attaques SSH - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 02-08-2004 à 12:25:56
+1 j'ai repéré qques tentatives dans les logs sur mon serveur... y'en a pas bcp, mais j'avais jamais remarqué auparavant
Marsh Posté le 02-08-2004 à 12:34:06
apparamment c un worm ki essaye des comptes.....
y'a de plus en plus de machines infectées
Marsh Posté le 02-08-2004 à 12:41:59
En même temps si les pass sont pas "toto" ou "tutrouveraspas", ça va quoi, c'est pas la mort
Marsh Posté le 02-08-2004 à 13:15:56
claquer le PermitRootLogin à "no", mettre uniquement les users qui ont un compte ssh dans la config sshd, déjà ça limite les risques, ensuite à moins d'une faille de secu avec un SSHd pas à jour ou d'un pass à la con sur un login à la con, le risque est relativement limité quand même.
Le problème c'est pas d'avoir plein de gens qui tentent, le problème c'est quand il est possible d'y arriver
Marsh Posté le 02-08-2004 à 13:18:13
c aussi un probleme d'avoir des gens qui tentent
ils tentent, ils tent, et.......un jour peut etre qu'ils réussiront :$
Marsh Posté le 02-08-2004 à 13:44:16
Tu oblige l'utilisation des paires de clés et le problèmes et réglé.
Marsh Posté le 02-08-2004 à 13:50:25
splurf a écrit : c aussi un probleme d'avoir des gens qui tentent |
à ce moment là autant ne pas mettre du tout ssh
Moi personnellement j'ai bien plus confiance en sshd avec les précautions d'usage qu'en d'autres daemons...
Marsh Posté le 02-08-2004 à 16:21:07
Si on a sshd à jour, c'est quand même sûr.
Apparemment c'est un ver qui cherche des versions de sshd vulnérables.
Marsh Posté le 02-08-2004 à 17:16:12
JoWiLe a écrit : de toute manière, si t'es leur cible précise, ils y arriveront s'ils y mettent les moyens |
ça c'est moins sûr, j'ai déjà été ciblé pendant un bon mois par plusieurs ip, je me suis bien maré
Marsh Posté le 02-08-2004 à 17:27:09
non pas du tout, j'avais renommé tous les ports, en intervertissant à chaque fois les requètes (symétriquement)
j'avais bidouillé TRES légérement le serveur SSH.
En il s'agissait d'un pari avec quelques amis...
Marsh Posté le 02-08-2004 à 17:28:34
LLiewisH Track a écrit : non pas du tout, j'avais renommé tous les ports, en intervertissant à chaque fois les requètes (symétriquement) |
t'as corrigé une faute d'orthographe dans les commentaires ?
Marsh Posté le 02-08-2004 à 17:35:12
il a fait de l'interversion symetrique de requetes, ouaou, c un hacker lui
Marsh Posté le 02-08-2004 à 17:35:51
LLiewisH Track a écrit : non pas du tout, j'avais renommé tous les ports, en intervertissant à chaque fois les requètes (symétriquement) |
vla un site pour toi => http://membres.lycos.fr/azerty0/
Marsh Posté le 02-08-2004 à 17:39:19
j'apprecie le geste. tu dois faire légérement erreur cependant...
Marsh Posté le 02-08-2004 à 17:45:18
si tu nous faisait part de tes modifications ? ca nous permetrait de nous coucher moins cons ce soir
Marsh Posté le 02-08-2004 à 18:01:37
le principe consiste à nommer deux fois chaque port.
- donner un mauvais numéro de port à chaque port pour tout le monde
- donner les bons numéros pour que les ip déclarées par un système de clé.
Faire que le démon du firewall modifie le noms des ports en fonctions des ip.
Bien sûr par ailleurs il vaut mieux supprimer root et tout les autres précautions habituelles.
Mais attention, le but en renomant les ports est de brouiller les pistes, mais il ne faut pas renomer de manière aléatoire, cela reviendrait quasiment à désactiver le serveur. Il faut faire du symétrique.
Pour plus de détail consulter le site http://librelinux.free.fr. très bien fait dailleurs
Marsh Posté le 03-08-2004 à 23:16:51
heu ca resemble au "knock je sais plus koi" son histoire
en gros, c est un iptables modifié qui n ouvre les ports que si le client knock a la porte de la bonne facon
j en sais pas plus j ai pas lu plus de trucs dessus
Marsh Posté le 04-08-2004 à 11:44:18
JoWiLe a écrit : euh non c'est pas ça du tout |
oue enfin ca y ressemble un peu, de loin
Marsh Posté le 04-08-2004 à 12:01:48
JoWiLe a écrit : de très très loin |
oue
Marsh Posté le 04-08-2004 à 13:12:39
le temps de nous pondre un bout de c++ genre
Code :
|
Marsh Posté le 04-08-2004 à 15:10:34
bon, après renseignement je retire ce que j'ai dit plus haut, il paraît que ça ne marche pas du tout ou plus du tout.
D'après ce que j'ai cru comprendre, la moindre modif bousille tout.
Désolé d'avoir pollué
Marsh Posté le 05-08-2004 à 17:44:53
bon je viens de lire tous vos messages:
ça m'étonne beaucoup qu'on doute de cette technique.
Les sources je n'en ai aucune sous la main déjà parce que je bosse sous windows et de plus parce que je ne me sers pas d'un serveur ssh.
Maintenant Nelyot Tchagui il faut faire la différence entre "ça ne marche pas" et "ça ne marche plus parce que j'ai fait une connerie" (je ne connais pas précisémment "l'assoce" dont tu parles).
Evidemment cette technique est un peu grossière et il faut savoir ce qu'on fait si on veut faire des retouches ou des MAJ.
Marsh Posté le 05-08-2004 à 18:19:41
LLiewisH Track a écrit : bon je viens de lire tous vos messages: |
tu disais aussi
Code :
|
dons t'avais modifié sshd ou pas?
tu te sers pas d'un serveur ssh?
c pas incohérent ça?
Marsh Posté le 05-08-2004 à 21:06:31
BMenez a écrit : C'est pas parcequ'il l'a modifié qu'il s'en sert |
Moi j'aurais plutôt dit que c'est parce qu'il l'a modifié qu'il ne s'en sert plus ( nuance )
Marsh Posté le 06-08-2004 à 09:56:30
non je pense pas que ce soit mytho puisque je connais des gens qui l'ont testé. Maintenant ça veut pas dire que cette technique est bonne ou mauvaise.
Apparemment, ça marchait au début et puis après ça marchait plus;
Marsh Posté le 06-08-2004 à 09:57:57
il dit qu'il a "modifié ssh" et apres il dit qu'il se sert pas de ssh. Trouvez l'erreur.....
L'homme qui a vu l'homme qui a vu l'ours qui a donné une claque au chien qui a mordu le facteur....
Marsh Posté le 06-08-2004 à 09:58:03
c est pas dit non plus que c est lui qui a codé le truc
parce que bon l excuse : j ai pas les src car je suis sous win
Marsh Posté le 06-08-2004 à 10:04:38
peut être qu'il se servait de ssh et qu'il ne s'en sert plus (soit dit en passant je ne sais pas vraiment ce qu'est un serveur ssh donc moi, ce que j'en dis...)
Marsh Posté le 02-08-2004 à 12:16:35
Bonjour
Avez vous remarqué depuis quelques temps de plus en plus de tentatives de login (test, guest, root....) ?
Savez vous d'ou ça vient?
worm/script kiddie?
Merci