[réglé ] Attaques de hackers sur dédié

WRInaute accro
Troisième fois en sept jours (!) qu'une attaque sur mon dédié ( ils veulent de la BP a priori) le mets a genoux :evil: . Heureusement pas d'intrusion.
On m'a conseillé le changement du port SSH dans un premier temps afin de le rendre " moins classique"
Avez vous d'autres parades a mettre en oeuvre ?
 
WRInaute accro
parrot a dit:
comment tu t en rends compte ??
j'ai un suivi temps réel de stats sur les sites avec alerte si l'activité est a > -15% d'une heure sur l'autre sur j -7 ..alors a -100% y a un blème :cry:
Un coup d'oeil a l'activité du processeur et tu vois le pb : le logiciel qu'ils utilisent envoie des milliers de requetes pour trouver le pass root en 2 a 3 minutes ..
au passage banissez cette ip d'acces : 211.233.36.198 aujourd"hui l'attaque vient de la
 
WRInaute accro
C'est le tech de c-dedie qui me l'a fait vu que je n'y connais pas grand chose en dédié a ce niveau ..je vais lui demander la recette
 
WRInaute discret
tu peux
1/ interdire l'acces root en ssh (Tres important a mon sens)
2/ limiter l'acces au port ssh a une adresse ip ou une plage d'addresse :)

FRed
 
WRInaute accro
comment changer le port ?
quel port mettre ?
comment interdire l'accès root en ssh ?
comment limiter l'accès au port shh à une plage d'adresse ?

:oops:
 
Nouveau WRInaute
Change le port d'ecoute de ton ssh :

sur une fedora :
edite le fichier /etc/ssh/sshd_config
et rajoute (pour que ton serveur ssh écoute le port 61247) :

port 61247

et relance le service :
service sshd restart
 
Nouveau WRInaute
parrot a dit:
oula en effet :(

comment bannir une IP sur un dédié ?

Je suis chez OVH sous linux

log toi en ssh sur le server et tape

iptables -A INPUT -s ip_a_banir -j DROP

cette regle sera effacé apres un reboot
 
WRInaute discret
Comment interdire l'accès root en ssh ?

Dans le fichier /etc/ssh/sshd_config
Modifier "PermitRootLogin" a no
il a des options pour limiter le nombre de tentative ...

Et relancer le service SSH ;)
 
WRInaute accro
openserv a dit:
en changeant le port d'écoute du ssh ça devrait suffir...
sur une machine il y a 65535 ports :)
oui c'est ce que précoise c-dedie : une adresse autre que par défaut et le hacker passe a un autre serveur dans la majorité des cas
 
Nouveau WRInaute
Erazor a dit:
une adresse autre que par défaut et le hacker passe a un autre serveur dans la majorité des cas

oui ton attack n'est pas ciblé ce sont des scripts kiddies, des gars qui essaient de "rooter" un maximum de machine.

à moins que tu sois la NAZA ?
 
WRInaute occasionnel
Precautions de base:
1) comme dit plus haut, interdire l'acces root, se logguer en utilisateur aux pouvoirs restreints et faire un "su" pour se mettre en root une fois loggue
2) changer de port pour ssh
3) configurer iptables pour eviter les attaques de deni de service
4) surveiller ses logs et bannir certaines ip a la main dans iptables (comme cite plus haut)

Attention lorsque vous configurez iptables, n'oubliez pas de faire un script que le relance a chaque demarrage sinon vous perdrez les parametres de votre firewall...
 
WRInaute impliqué
openserv a dit:
en changeant le port d'écoute du ssh ça devrait suffir...
sur une machine il y a 65535 ports :)

Enfin, un scan de port, ça prend juste quelques minutes, on retoruve SSH très facilement.
 
WRInaute occasionnel
le mieux reste encore de limiter l'accés ssh aux ip que tu utilise, comme ça ça ne te protege pas seulement que de cette attaque, 2 petites regles iptables a metre en place dans un script et le tour est joué.

#tu vire tout ce qui essaie d'entrer par le port 22 (ssh)
iptables -A INPUT --dport 22 -j DROP

#tu autorise ton ip
iptables -A INPUT -s ton_ip --dport 22 -j ACCEPT

normalement ça doit faire l'affaire, attention tout de meme de prevoir un flushage du firewall en cas de pb, sinon tu pourra plus te connecter si seule la regle de drop est prise en compte (si tu les tappes toi meme en temps reel, tu serra ejecté avant de pouvoir tapper la suite, le mieux etant de faire un petit script pour lancer tes regles de firewall), ou si tu te trompe sur ton ip.
Donc prevoir un flush avec avec un script que tu lance avec la commande "at -f ton-script-de-flush 1 minutes" pour un delais de 1 minute pendant tes essais (commande a executer avant l'essais evidemment).

pour flusher c'est

iptables -F
iptables -X
iptables -Z
 
Nouveau WRInaute
shrom a dit:
openserv a dit:
en changeant le port d'écoute du ssh ça devrait suffir...
sur une machine il y a 65535 ports :)

Enfin, un scan de port, ça prend juste quelques minutes, on retoruve SSH très facilement.

ouais c'est vrai mais ce sont pas des attack ciblé et on heberge pas les sites de la naza ou du FBI hein ;)
alors autan faire simple pour n'embrouiller personne on est sur un forum de webmaster pas sur un forum de secu pour sysadmin :)
 
WRInaute accro
Oui on n'est pas la naza . Merci a tous et donc pour résumé :
- changer le port SSH ou interdire
- limiter le nb de tentatives acces sur celui ci
mais aussi une vielle règle a ne pas négliger : pas de password a deux centimes d'euros comme un nom commun mais une bonne suite de lettres (maj + min ) , chffres, caractères spéciaux le tout ordonné de façon aléatoire. Ca freine aussi, un peu, l'entrée . Je crois que ça m'a sauvé de l'intrusion ça.
 
Discussions similaires
Haut