|
Voir le sujet précédent :: Voir le sujet suivant
|
| Auteur |
Message |
| |
|
code
WRInaute passionné
Inscrit le: 29 Juil 2005
Messages: 637
Localisation: Sur le forum quand je suis connecté sinon ailleurs
|
 Posté le : Sam Jan 13, 2007 17:36 Sujet du message: Intrusion sur serveur |
|
|
Dans la série des problemes, j'ai du mal à résoudre celui-ci :
il semble que mon serveur soit victime (comme tant d'autres) de tentatives d'intrusions.
Cette semaine 2 grosses séries ont chargé le CPU à 90% et causé des ralentissements énormes sur mes sites.
J'ai mis en place des restrictions de port avec les iptables pensant que ça résoudrait un peu les choses.
Mais aujourd'hui je relève ceci dans mon fichier syslog
Extrait :
| Citation: |
Jan 12 11:56:34 ns36878 sshd[29038]: Invalid user sierra1 from 211.115.86.242
Jan 12 11:56:36 ns36878 sshd[8002]: Invalid user sierra12 from 211.115.86.242
Jan 12 11:56:39 ns36878 sshd[540]: Invalid user sierra123 from 211.115.86.242
Jan 12 11:56:41 ns36878 sshd[32451]: Invalid user sierra1234 from 211.115.86.242
Jan 12 11:56:44 ns36878 sshd[32326]: Invalid user sierra12345 from 211.115.86.242
Jan 12 11:56:46 ns36878 sshd[16313]: Invalid user sierra123456 from 211.115.86.242
Jan 12 11:56:49 ns36878 sshd[9206]: Invalid user sierra1234567 from 211.115.86.242
Jan 12 11:56:51 ns36878 sshd[27599]: Invalid user sierra12345678 from 211.115.86.242
Jan 12 11:56:53 ns36878 sshd[4531]: Invalid user sierra123456789 from 211.115.86.242
Jan 12 11:56:56 ns36878 sshd[31922]: Invalid user lillian1 from 211.115.86.242
Jan 12 11:56:58 ns36878 sshd[2748]: Invalid user lillian12 from 211.115.86.242
|
et aussi des trucs de ce genre :
| Citation: |
Jan 12 15:17:24 ns36878 named[23564]: FORMERR resolving 'aftersport.com/MX/IN': 64.20.49.218#53
Jan 12 15:17:24 ns36878 named[23564]: FORMERR resolving 'aftersport.com/MX/IN': 64.20.39.26#53
Jan 12 15:17:25 ns36878 named[23564]: FORMERR resolving 'aftersport.com/MX/IN': 64.20.49.218#53
Jan 12 15:17:25 ns36878 named[23564]: FORMERR resolving 'aftersport.com/MX/IN': 64.20.39.26#53
Jan 11 19:21:54 ns36878 named[22358]: lame server resolving 'singlemail.com' (in 'singlemail.com'?): 68.142.132.46#53
Jan 11 19:21:54 ns36878 named[22358]: lame server resolving 'cnnwarnews.com' (in 'cnnwarnews.com'?): 203.22.204.101#53
Jan 11 19:21:54 ns36878 named[22358]: lame server resolving 'singlemail.com' (in 'singlemail.com'?): 68.142.129.131#53
Jan 11 19:21:54 ns36878 named[22358]: lame server resolving 'cnnwarnews.com' (in 'cnnwarnews.com'?): 216.193.201.105#53
Jan 11 19:21:56 ns36878 named[22358]: lame server resolving 'singlemail.com' (in 'singlemail.com'?): 68.142.132.46#53
Jan 11 19:21:56 ns36878 named[22358]: lame server resolving 'cnnwarnews.com' (in 'cnnwarnews.com'?): 203.22.204.101#53
Jan 11 19:21:56 ns36878 named[22358]: lame server resolving 'singlemail.com' (in 'singlemail.com'?): 68.142.129.131#53
Jan 11 19:21:56 ns36878 named[22358]: lame server resolving 'cnnwarnews.com' (in 'cnnwarnews.com'?): 216.193.201.105#53
Jan 11 19:21:57 ns36878 named[22358]: lame server resolving 'singlemail.com' (in 'singlemail.com'?): 68.142.129.131#53
|
Même si le serveur n'est pas ralenti j'aimerais pouvoir résoudre ce problème.
La gestion d'un serveur n'est pas mon domaine et pour tout dire est un truc que je fais plus par nécessité que par plaisir.
Mais sa sécurité est un point fondamental au fonctionnement de mes sites.
Bref, quelqu'un aurait-il des conseils pour me débarrasser des intrus ? |
|
| |
|
 |
biddybulle
WRInaute accro
Inscrit le: 30 Mai 2005
Messages: 1372
|
| Posté le : Sam Jan 13, 2007 20:01 Sujet du message: Intrusion sur serveur |
|
|
ok il faut que tu configures mieux ton serveur SSH car là il se prend des milliers de connexions dans la tronche à l'heure jusqu'au jour ou il lachera et normalement il rentreront en Root.
J'ai eu le cas avec des roumains qui installait des systèmes de bot pour valider leur pub. Il ont installé quelque processus mais bon mon password invalidé j'ai heureusement repéré le problème.
Donc ferme ta connexion SSH à certaine IP par exemple ou encore limite le nombre de connexion tout les temps de seconde et ton serveur ne sera plus importuné |
|
| |
|
|
code
WRInaute passionné
Inscrit le: 29 Juil 2005
Messages: 637
Localisation: Sur le forum quand je suis connecté sinon ailleurs
|
| Posté le : Sam Jan 13, 2007 20:11 Sujet du message: Intrusion sur serveur |
|
|
Merci pour ta réponse. Et je suis bien d'accord avec toi. Seulement je suis à cours d'idées...
J'ai un peu fureté pour voir comment je pouvais sécuriser mon serveur et j'ai trouvé des infos sur les iptables.
En outre j'ai trouvé cette page dont je me suis inspiré :
| Citation: |
#!/bin/bash
echo Setting firewall rules...
#
# config de base dedibox
# Florian Cristina
#
###### Debut Initialisation ######
# Interdire toute connexion entrante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
echo - Interdire toute connexion entrante : [OK]
# Interdire toute connexion sortante
iptables -t filter -P OUTPUT DROP
echo - Interdire toute connexion sortante : [OK]
# Vider les tables actuelles
iptables -t filter -F
iptables -t filter -X
echo - Vidage : [OK]
# Autoriser SSH
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
echo - Autoriser SSH : [OK]
# Ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
echo - Ne pas casser les connexions établies : [OK]
###### Fin Inialisation ######
##### Debut Regles ######
# Autoriser les requetes DNS, FTP, HTTP, NTP
iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
echo - Autoriser les requetes DNS, FTP, HTTP, NTP : [OK]
# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
echo - Autoriser loopback : [OK]
# Autoriser ping
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
echo - Autoriser ping : [OK]
# HTTP
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT
echo - Autoriser serveur Apache : [OK]
# FTP
modprobe ip_conntrack_ftp
iptables -t filter -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo - Autoriser serveur FTP : [OK]
# Mail
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT
echo - Autoriser serveur Mail : [OK]
###### Fin Regles ######
echo Firewall mis a jour avec succes ! |
source : http://assistance.dedibox.fr/documentation/doku.php?id=admin:iptables
Malheureusement même en mettant des restrictions, cela ne semble pas assez efficace ou alors il n'y a pas assez de resctriction.
par ailleurs, j'ai la mauvaise impression qu'il se passe un truc pas clair au niveau du serveur de mail et j'ai bien peur de servir de relais de spam |
|
| |
|
|
kylliox
Nouveau WRInaute
Inscrit le: 20 Oct 2006
Messages: 45
|
| Posté le : Sam Jan 13, 2007 20:22 Sujet du message: Intrusion sur serveur |
|
|
| si ton poste client à une ip fixe tu configure hosts.deny et hosts.allow |
|
| |
|
|
biddybulle
WRInaute accro
Inscrit le: 30 Mai 2005
Messages: 1372
|
| Posté le : Sam Jan 13, 2007 21:17 Sujet du message: Intrusion sur serveur |
|
|
je dirais que tu ne dois pas toucher à iptable mais au paramètre du serveur SSH qui doit refuser par défaut l'authentification root et avoir un Time to wait for login à 10 par exemple
et tu as également la possibilité de figer les IP qui s'y connecte. Juste les tienne de préférence. |
|
| |
|
|
code
WRInaute passionné
Inscrit le: 29 Juil 2005
Messages: 637
Localisation: Sur le forum quand je suis connecté sinon ailleurs
|
| Posté le : Sam Jan 13, 2007 21:32 Sujet du message: Intrusion sur serveur |
|
|
| biddybulle a écrit: |
je dirais que tu ne dois pas toucher à iptable mais au paramètre du serveur SSH qui doit refuser par défaut l'authentification root et avoir un Time to wait for login à 10 par exemple
et tu as également la possibilité de figer les IP qui s'y connecte. Juste les tienne de préférence. |
J'ai déjà mis un login à 5 et ça ne change rien. Mais je regarde pour l'authentification root. C'est clair que je n'ai que ce compte et je n'ai pas créé de compte utilisateur 
sinon, j'avais aussi fait une restriction sur les ip mais le problème est que je n'ai pas une ip fixe... |
|
| |
|
|
biddybulle
WRInaute accro
Inscrit le: 30 Mai 2005
Messages: 1372
|
| Posté le : Sam Jan 13, 2007 21:46 Sujet du message: Intrusion sur serveur |
|
|
| tu as redémarrer ton ssh apres tes modifs ? |
|
| |
|
|
MirageDemonAsh
WRInaute impliqué
Inscrit le: 12 Fév 2005
Messages: 404
Localisation: Paris
|
| Posté le : Sam Jan 13, 2007 22:00 Sujet du message: Intrusion sur serveur |
|
|
Dans un premier temps on crée un utilisateur simple toto avec un mot de passe béton : sj5dd4jhsqSQK5FFQS5D ensuite on s'occupe du root avec une interdiction.
Fichier à editer en supposant que ta machine utilise Debian GNU/Linux (De toute façon le nom du fichier et sshd_config) :
/etc/ssh/sshd_config
Tu mets no à PermitRootLogin
Soit PermitRootLogin no
et tu ajoutes le seul utilisateur autorisé :
AllowUsers toto
Tu redémarres ssh
Quand tu souhaites te connecter tu utilises ton utilisateur simple et ensuite avec la commande su tu te connectes en root
Tu peux pousser un peu, pour eviter les robots de pourrir tes logs, en changeant le port d'écoute de sshd :
Tu ouvres le port (par exemple) 6113 avec iptables (Ne pas fermer le port 22 tout de suite)
Tu edites le fichier /etc/ssh/sshd_config
Port 6113 remplace Port 22
Tu redémarres ssh et tu testes la connection avec le nouveau port soit :
ssh -p 6113 toto@194.xxx.xxx.xxx
Si ça fonctionne alors tu peux fermer le port 22 il n'est plus utile. Bien sûr, il faut tester que seul toto et le port 6113 soient autorisés.
Dernière édition par MirageDemonAsh le Ven Jan 19, 2007 1:06; édité 3 fois |
|
| |
|
|
code
WRInaute passionné
Inscrit le: 29 Juil 2005
Messages: 637
Localisation: Sur le forum quand je suis connecté sinon ailleurs
|
| Posté le : Sam Jan 13, 2007 22:01 Sujet du message: Intrusion sur serveur |
|
|
| biddybulle a écrit: |
| tu as redémarrer ton ssh apres tes modifs ? |
oui oui. |
|
| |
|
|
code
WRInaute passionné
Inscrit le: 29 Juil 2005
Messages: 637
Localisation: Sur le forum quand je suis connecté sinon ailleurs
|
| Posté le : Sam Jan 13, 2007 22:33 Sujet du message: Intrusion sur serveur |
|
|
| MirageDemonAsh je commence par créer un compte utilisateur pour le ssh et vois ce que ça donne |
|
| |
|
|
MirageDemonAsh
WRInaute impliqué
Inscrit le: 12 Fév 2005
Messages: 404
Localisation: Paris
|
| Posté le : Sam Jan 13, 2007 22:57 Sujet du message: Intrusion sur serveur |
|
|
Oui, mais le changement du port d'écoute est indispensable pour completer cette technique.
------- C'est suffisant ---------- Mais y a toujours mieux ^^
Pour renforcer encore plus :
Une connexion au serveur uniquement par clé (Le reste interdit) :
Uniquement par clé avec passe phrase |
|
| |
|
|
code
WRInaute passionné
Inscrit le: 29 Juil 2005
Messages: 637
Localisation: Sur le forum quand je suis connecté sinon ailleurs
|
| Posté le : Sam Jan 13, 2007 23:06 Sujet du message: Intrusion sur serveur |
|
|
Et en ce qui concerne ce que j'ai également dans mes log :
Jan 12 15:17:24 ns36878 named[23564]: FORMERR resolving 'aftersport.com/MX/IN': 64.20.49.218#53
Jan 12 15:17:24 ns36878 named[23564]: FORMERR resolving 'aftersport.com/MX/IN': 64.20.39.26#53
Jan 12 15:17:25 ns36878 named[23564]: FORMERR resolving 'aftersport.com/MX/IN': 64.20.49.218#53
Jan 12 15:17:25 ns36878 named[23564]: FORMERR resolving 'aftersport.com/MX/IN': 64.20.39.26#53
Jan 11 19:21:54 ns36878 named[22358]: lame server resolving 'singlemail.com' (in 'singlemail.com'?): 68.142.132.46#53
Jan 11 19:21:54 ns36878 named[22358]: lame server resolving 'cnnwarnews.com' (in 'cnnwarnews.com'?): 203.22.204.101#53
Jan 11 19:21:54 ns36878 named[22358]: lame server resolving 'singlemail.com' (in 'singlemail.com'?): 68.142.129.131#53
Jan 11 19:21:54 ns36878 named[22358]: lame server resolving 'cnnwarnews.com' (in 'cnnwarnews.com'?): 216.193.201.105#53
Jan 11 19:21:56 ns36878 named[22358]: lame server resolving 'singlemail.com' (in 'singlemail.com'?): 68.142.132.46#53
Jan 11 19:21:56 ns36878 named[22358]: lame server resolving 'cnnwarnews.com' (in 'cnnwarnews.com'?): 203.22.204.101#53
Jan 11 19:21:56 ns36878 named[22358]: lame server resolving 'singlemail.com' (in 'singlemail.com'?): 68.142.129.131#53
Jan 11 19:21:56 ns36878 named[22358]: lame server resolving 'cnnwarnews.com' (in 'cnnwarnews.com'?): 216.193.201.105#53
>> ce n'est pas une tentative de connection ssh mais un problème de mail non ? |
|
| |
|
|
Topsitemaker
WRInaute occasionnel
Inscrit le: 19 Nov 2006
Messages: 243
Localisation: sur le net
|
| Posté le : Dim Jan 14, 2007 1:59 Sujet du message: Intrusion sur serveur |
|
|
Bonjour,
change de port SSH, puis installe Denyhosts http://denyhosts.sourceforge.net/, valable sur yum en rpm.
maintenant, j'en ai au minimum 200 fois moins de tentatives de connexion.
Ca reste de la sécurité 'empirique' mais ca marche, et les logs sont tellement plus lisible... |
|
| |
|
|
ACth
WRInaute passionné
Inscrit le: 11 Nov 2006
Messages: 795
|
| Posté le : Dim Jan 14, 2007 9:33 Sujet du message: Intrusion sur serveur |
|
|
question: sur quels logs vous constater ces "attaques" ?
-> pourquoi changer le port ? n'existe t-il pas des outils permettant de scanner les ports ouverts sur un serveur ? |
|
| |
|
|
code
WRInaute passionné
Inscrit le: 29 Juil 2005
Messages: 637
Localisation: Sur le forum quand je suis connecté sinon ailleurs
|
| Posté le : Dim Jan 14, 2007 10:29 Sujet du message: Intrusion sur serveur |
|
|
| ACth a écrit: |
question: sur quels logs vous constater ces "attaques" ?
-> pourquoi changer le port ? n'existe t-il pas des outils permettant de scanner les ports ouverts sur un serveur ? |
Dans ton dossier de logs, c'est le fichier syslog |
|
| |
|
|
| |
|
|
