Intrusion sur serveur

code · 13 Janvier 2007

Dans la série des problemes, j'ai du mal à résoudre celui-ci :

il semble que mon serveur soit victime (comme tant d'autres) de tentatives d'intrusions.

Cette semaine 2 grosses séries ont chargé le CPU à 90% et causé des ralentissements énormes sur mes sites.

J'ai mis en place des restrictions de port avec les iptables pensant que ça résoudrait un peu les choses.

Mais aujourd'hui je relève ceci dans mon fichier syslog
Extrait :

Jan 12 11:56:34 ns36878 sshd[29038]: Invalid user sierra1 from 211.115.86.242
Jan 12 11:56:36 ns36878 sshd[8002]: Invalid user sierra12 from 211.115.86.242
Jan 12 11:56:39 ns36878 sshd[540]: Invalid user sierra123 from 211.115.86.242
Jan 12 11:56:41 ns36878 sshd[32451]: Invalid user sierra1234 from 211.115.86.242
Jan 12 11:56:44 ns36878 sshd[32326]: Invalid user sierra12345 from 211.115.86.242
Jan 12 11:56:46 ns36878 sshd[16313]: Invalid user sierra123456 from 211.115.86.242
Jan 12 11:56:49 ns36878 sshd[9206]: Invalid user sierra1234567 from 211.115.86.242
Jan 12 11:56:51 ns36878 sshd[27599]: Invalid user sierra12345678 from 211.115.86.242
Jan 12 11:56:53 ns36878 sshd[4531]: Invalid user sierra123456789 from 211.115.86.242
Jan 12 11:56:56 ns36878 sshd[31922]: Invalid user lillian1 from 211.115.86.242
Jan 12 11:56:58 ns36878 sshd[2748]: Invalid user lillian12 from 211.115.86.242

et aussi des trucs de ce genre :

Jan 12 15:17:24 ns36878 named[23564]: FORMERR resolving 'aftersport.com/MX/IN': 64.20.49.218#53
Jan 12 15:17:24 ns36878 named[23564]: FORMERR resolving 'aftersport.com/MX/IN': 64.20.39.26#53
Jan 12 15:17:25 ns36878 named[23564]: FORMERR resolving 'aftersport.com/MX/IN': 64.20.49.218#53
Jan 12 15:17:25 ns36878 named[23564]: FORMERR resolving 'aftersport.com/MX/IN': 64.20.39.26#53
Jan 11 19:21:54 ns36878 named[22358]: lame server resolving 'singlemail.com' (in 'singlemail.com'?): 68.142.132.46#53
Jan 11 19:21:54 ns36878 named[22358]: lame server resolving 'cnnwarnews.com' (in 'cnnwarnews.com'?): 203.22.204.101#53
Jan 11 19:21:54 ns36878 named[22358]: lame server resolving 'singlemail.com' (in 'singlemail.com'?): 68.142.129.131#53
Jan 11 19:21:54 ns36878 named[22358]: lame server resolving 'cnnwarnews.com' (in 'cnnwarnews.com'?): 216.193.201.105#53
Jan 11 19:21:56 ns36878 named[22358]: lame server resolving 'singlemail.com' (in 'singlemail.com'?): 68.142.132.46#53
Jan 11 19:21:56 ns36878 named[22358]: lame server resolving 'cnnwarnews.com' (in 'cnnwarnews.com'?): 203.22.204.101#53
Jan 11 19:21:56 ns36878 named[22358]: lame server resolving 'singlemail.com' (in 'singlemail.com'?): 68.142.129.131#53
Jan 11 19:21:56 ns36878 named[22358]: lame server resolving 'cnnwarnews.com' (in 'cnnwarnews.com'?): 216.193.201.105#53
Jan 11 19:21:57 ns36878 named[22358]: lame server resolving 'singlemail.com' (in 'singlemail.com'?): 68.142.129.131#53

Même si le serveur n'est pas ralenti j'aimerais pouvoir résoudre ce problème.

La gestion d'un serveur n'est pas mon domaine et pour tout dire est un truc que je fais plus par nécessité que par plaisir.

Mais sa sécurité est un point fondamental au fonctionnement de mes sites.

Bref, quelqu'un aurait-il des conseils pour me débarrasser des intrus ?

biddybulle · 13 Janvier 2007

ok il faut que tu configures mieux ton serveur SSH car là il se prend des milliers de connexions dans la tronche à l'heure jusqu'au jour ou il lachera et normalement il rentreront en Root.

J'ai eu le cas avec des roumains qui installait des systèmes de bot pour valider leur pub. Il ont installé quelque processus mais bon mon password invalidé j'ai heureusement repéré le problème.

Donc ferme ta connexion SSH à certaine IP par exemple ou encore limite le nombre de connexion tout les temps de seconde et ton serveur ne sera plus importuné

code · 13 Janvier 2007

Merci pour ta réponse. Et je suis bien d'accord avec toi. Seulement je suis à cours d'idées...

J'ai un peu fureté pour voir comment je pouvais sécuriser mon serveur et j'ai trouvé des infos sur les iptables.
En outre j'ai trouvé cette page dont je me suis inspiré :

#!/bin/bash
echo Setting firewall rules...
#
# config de base dedibox
# Florian Cristina
#

###### Debut Initialisation ######

# Interdire toute connexion entrante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
echo - Interdire toute connexion entrante : [OK]

# Interdire toute connexion sortante
iptables -t filter -P OUTPUT DROP
echo - Interdire toute connexion sortante : [OK]

# Vider les tables actuelles
iptables -t filter -F
iptables -t filter -X
echo - Vidage : [OK]

# Autoriser SSH
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
echo - Autoriser SSH : [OK]

# Ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
echo - Ne pas casser les connexions établies : [OK]

###### Fin Inialisation ######

##### Debut Regles ######

# Autoriser les requetes DNS, FTP, HTTP, NTP
iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
echo - Autoriser les requetes DNS, FTP, HTTP, NTP : [OK]

# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
echo - Autoriser loopback : [OK]

# Autoriser ping
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
echo - Autoriser ping : [OK]

# HTTP
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT
echo - Autoriser serveur Apache : [OK]

# FTP
modprobe ip_conntrack_ftp
iptables -t filter -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo - Autoriser serveur FTP : [OK]

# Mail
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT
echo - Autoriser serveur Mail : [OK]

###### Fin Regles ######

echo Firewall mis a jour avec succes !

source : http://assistance.dedibox.fr/documentat ... n:iptables

Malheureusement même en mettant des restrictions, cela ne semble pas assez efficace ou alors il n'y a pas assez de resctriction.

par ailleurs, j'ai la mauvaise impression qu'il se passe un truc pas clair au niveau du serveur de mail et j'ai bien peur de servir de relais de spam

kylliox · 13 Janvier 2007

si ton poste client à une ip fixe tu configure hosts.deny et hosts.allow

biddybulle · 13 Janvier 2007

je dirais que tu ne dois pas toucher à iptable mais au paramètre du serveur SSH qui doit refuser par défaut l'authentification root et avoir un Time to wait for login à 10 par exemple

et tu as également la possibilité de figer les IP qui s'y connecte. Juste les tienne de préférence.

code · 13 Janvier 2007

biddybulle a dit:
je dirais que tu ne dois pas toucher à iptable mais au paramètre du serveur SSH qui doit refuser par défaut l'authentification root et avoir un Time to wait for login à 10 par exemple

et tu as également la possibilité de figer les IP qui s'y connecte. Juste les tienne de préférence.

J'ai déjà mis un login à 5 et ça ne change rien. Mais je regarde pour l'authentification root. C'est clair que je n'ai que ce compte et je n'ai pas créé de compte utilisateur :lol:

sinon, j'avais aussi fait une restriction sur les ip mais le problème est que je n'ai pas une ip fixe...

biddybulle · 13 Janvier 2007

tu as redémarrer ton ssh apres tes modifs ?

MirageDemonAsh · 13 Janvier 2007

Dans un premier temps on crée un utilisateur simple toto avec un mot de passe béton : sj5dd4jhsqSQK5FFQS5D ensuite on s'occupe du root avec une interdiction.

Fichier à editer en supposant que ta machine utilise Debian GNU/Linux (De toute façon le nom du fichier et sshd_config) :

/etc/ssh/sshd_config

Tu mets no à PermitRootLogin

Soit PermitRootLogin no

et tu ajoutes le seul utilisateur autorisé :

AllowUsers toto

Tu redémarres ssh

Quand tu souhaites te connecter tu utilises ton utilisateur simple et ensuite avec la commande su tu te connectes en root

Tu peux pousser un peu, pour eviter les robots de pourrir tes logs, en changeant le port d'écoute de sshd :

Tu ouvres le port (par exemple) 6113 avec iptables (Ne pas fermer le port 22 tout de suite)
Tu edites le fichier /etc/ssh/sshd_config

Port 6113 remplace Port 22

Tu redémarres ssh et tu testes la connection avec le nouveau port soit :

ssh -p 6113 toto@194.xxx.xxx.xxx

Si ça fonctionne alors tu peux fermer le port 22 il n'est plus utile. Bien sûr, il faut tester que seul toto et le port 6113 soient autorisés.

code · 13 Janvier 2007

biddybulle a dit:
tu as redémarrer ton ssh apres tes modifs ?

oui oui.

code · 13 Janvier 2007

MirageDemonAsh je commence par créer un compte utilisateur pour le ssh et vois ce que ça donne

MirageDemonAsh · 13 Janvier 2007

Oui, mais le changement du port d'écoute est indispensable pour completer cette technique.

------- C'est suffisant ---------- Mais y a toujours mieux ^^

Pour renforcer encore plus :

Une connexion au serveur uniquement par clé (Le reste interdit) :

Uniquement par clé avec passe phrase

code · 13 Janvier 2007

Et en ce qui concerne ce que j'ai également dans mes log :

Jan 12 15:17:24 ns36878 named[23564]: FORMERR resolving 'aftersport.com/MX/IN': 64.20.49.218#53
Jan 12 15:17:24 ns36878 named[23564]: FORMERR resolving 'aftersport.com/MX/IN': 64.20.39.26#53
Jan 12 15:17:25 ns36878 named[23564]: FORMERR resolving 'aftersport.com/MX/IN': 64.20.49.218#53
Jan 12 15:17:25 ns36878 named[23564]: FORMERR resolving 'aftersport.com/MX/IN': 64.20.39.26#53
Jan 11 19:21:54 ns36878 named[22358]: lame server resolving 'singlemail.com' (in 'singlemail.com'?): 68.142.132.46#53
Jan 11 19:21:54 ns36878 named[22358]: lame server resolving 'cnnwarnews.com' (in 'cnnwarnews.com'?): 203.22.204.101#53
Jan 11 19:21:54 ns36878 named[22358]: lame server resolving 'singlemail.com' (in 'singlemail.com'?): 68.142.129.131#53
Jan 11 19:21:54 ns36878 named[22358]: lame server resolving 'cnnwarnews.com' (in 'cnnwarnews.com'?): 216.193.201.105#53
Jan 11 19:21:56 ns36878 named[22358]: lame server resolving 'singlemail.com' (in 'singlemail.com'?): 68.142.132.46#53
Jan 11 19:21:56 ns36878 named[22358]: lame server resolving 'cnnwarnews.com' (in 'cnnwarnews.com'?): 203.22.204.101#53
Jan 11 19:21:56 ns36878 named[22358]: lame server resolving 'singlemail.com' (in 'singlemail.com'?): 68.142.129.131#53
Jan 11 19:21:56 ns36878 named[22358]: lame server resolving 'cnnwarnews.com' (in 'cnnwarnews.com'?): 216.193.201.105#53

>> ce n'est pas une tentative de connection ssh mais un problème de mail non ?

Topsitemaker · 14 Janvier 2007

Bonjour,
change de port SSH, puis installe Denyhosts http://denyhosts.sourceforge.net/, valable sur yum en rpm.

maintenant, j'en ai au minimum 200 fois moins de tentatives de connexion.

Ca reste de la sécurité 'empirique' mais ca marche, et les logs sont tellement plus lisible...

ACth · 14 Janvier 2007

question: sur quels logs vous constater ces "attaques" ?

-> pourquoi changer le port ? n'existe t-il pas des outils permettant de scanner les ports ouverts sur un serveur ?

code · 14 Janvier 2007

ACth a dit:
question: sur quels logs vous constater ces "attaques" ?

-> pourquoi changer le port ? n'existe t-il pas des outils permettant de scanner les ports ouverts sur un serveur ?

Dans ton dossier de logs, c'est le fichier syslog

code · 14 Janvier 2007

Bon j'ai mis en place la solution de MirageDemonAsh
et par ailleurs j'ai aussi mis en place fail2ban pour bloquer les attaques brutes de force.

Pour l'instant je n'ai rien remarqué dans les logs mais il est trop top pour mesurer le résultat. en tout cas merci beaucoup car ça ma permis de sécuriser davantage le serveur

MirageDemonAsh · 15 Janvier 2007

ACth a dit:
-> pourquoi changer le port ? n'existe t-il pas des outils permettant de scanner les ports ouverts sur un serveur ?

Oui bien sûr, le changement de port c'est plus pour les robots. Les seules sécurités robustes et fiables pour SSH = Pas de root / Un seul utilisateur / Mots de passe bétons / Et si possible (ip fixe) filtrage par ip via iptables /

Un autre truc costaud avec iptables (si filtrage par ip fixe impossible) afin de calmer un peu les tentatives intempestives :

-A INPUT -p tcp -m tcp -m limit --dport 22 --limit 3/hour --limit-burst 5 -j ACCEPT

Ou encore :

Sécuriser SSH

Ou encore, couper le cordon :lol:

code · 15 Janvier 2007

Pour résoudre le problème de mes adresses mail spammées (et oui, comme elles trainent un peu partout deans les formulaires de contact et ailleurs), j'ai mis en place spam filter

Résultat annoncé : 98% de spams filtrés

Ce système très simple à mettre en place et à paramettrer (beaucoup plus que SpamAssassin) a l'air de tenir ses promesses car je ne reçois que très peu de spam depuis sa mise en place