PDA

Afficher la version complète : Détection d'intrusion



zenon
28/12/2007, 14h52
En consultant mon log système, je trouve dans le fichier /var/log/messages les lignes suivantes:Dec 8 14:39:32 linux sshd[4063]: Did not receive identification string from 83.103.147.47
Dec 8 14:43:10 linux nscd: gethostby*.getanswer: asked for "satcomar.bacau.astral.ro IN A", got type "TXT"
Dec 8 14:43:10 linux sshd[4100]: Address 83.103.147.47 maps to satcomar.bacau.astral.ro, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Dec 8 14:43:10 linux sshd[4100]: Invalid user t1na from 83.103.147.47</span>Suivent un grand nombre de lignes (environ 5 par seconde entre 14:39:32 et 14:48:54) variant les tentatives avec divers noms d'utilisateur. Le log trace ainsi de nombreuses tentatives d'intrusion, quasi journalières.
<span style="color:#FF0000">
En dehors d'activer le Firewall, faut-il faire quelque chose de spécial?

oh!rocks
28/12/2007, 15h30
Tu as des copains en Roumanie ?


whois 83.103.147.47
% This is the RIPE Whois query server #3.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '83.103.147.0 - 83.103.147.255'

inetnum: 83.103.147.0 - 83.103.147.255
netname: ASTRAL-BC-DOCSIS-1
descr: ASTRAL Bacau DOCSIS 1
country: RO
admin-c: AH1598-RIPE
tech-c: CN3389-RIPE
tech-c: AM15077-RIPE
tech-c: TRI1-RIPE
tech-c: CM8934-RIPE
remarks: INFRA-AW
status: ASSIGNED PA
mnt-by: ASTRALTELECOM-MNT
mnt-lower: ASTRALTELECOM-MNT
mnt-routes: ASTRALTELECOM-MNT
source: RIPE # Filtered

person: Astral Telecom Hostmaster
address: Astral Telecom SA
address: ROMANIA
phone: +40 264 414688
fax-no: +40 264 414687
e-mail: hostmaster@astral.ro
nic-hdl: AH1598-RIPE
remarks: ------------------------------
remarks: abuse reports: abuse@astral.ro
remarks: ------------------------------
mnt-by: ASTRALTELECOM-MNT
source: RIPE # Filtered

person: Teodor Remus IACOB
address: Astral Telecom SA
address: Bd. Mihai Bravu nr. 223
address: Complex Optidol, sector 3
address: Bucharest - Romania
phone: +40-1-3266196
fax-no: +40-1-3266197
e-mail: theo@kappa.ro
nic-hdl: TRI1-RIPE
mnt-by: KAPPA-MNT
source: RIPE # Filtered

person: Alin Moldovan
address: CODEC Electronic Products
address: 37, Decebal
address: 3400 Cluj-Napoca
address: Romania
phone: +40-264-432450
fax-no: +40-264-418205
e-mail: alinux@codec.ro
nic-hdl: AM15077-RIPE
mnt-by: AS3233-MNT
source: RIPE # Filtered

person: Catalin Muresan
address: UPC Romania
address: str. Nordului, 62D
address: Bucuresti, 104014
address: Romania
phone: +40-31-1018100
fax-no: +40-31-1018101
e-mail: catalin.muresan@astral.ro
nic-hdl: CM8934-RIPE
mnt-by: ASTRALTELECOM-MNT
source: RIPE # Filtered

person: Camelia Nastase
address: UPC Romania
address: Sos. Nodrului 62D, Bucuresti
address: Romania
mnt-by: ASTRALTELECOM-MNT
phone: +40-31-1018100
fax-no: +40-31-1018101
e-mail: camelia.nastase@upc.ro
nic-hdl: CN3389-RIPE
source: RIPE # Filtered

% Information related to '83.103.128.0/17AS6746'

route: 83.103.128.0/17
descr: Astral Telecom SA
origin: AS6746
mnt-by: ASTRALTELECOM-MNT
source: RIPE # Filtered


à plus,

oh!rocks

predator
28/12/2007, 15h43
Le meilleur outil pour te proteger : backtrack
http://www.alionet.org/index.php?s=&sh...st&p=159881 (http://www.alionet.org/index.php?s=&showtopic=18602&view=findpost&p=159881)
predator

zenon
28/12/2007, 16h16
Je ne connaissais pas cette distri, pourtant j'en ai testé pas mal... Cela dit, je n'envisage pas de laisser tomber opensuse, qui me convient fort bien.
:rolleyes: Aurais-tu échangé Kappa contre un autre bon gros matou, meme s'il lui arrivait de commettre quelques impairs?

Avec ma plus vive compassion.

Zenon

predator
28/12/2007, 16h45
-C'est un live cd que tu utilise à volonté ou en l'installant (mais il faut avoir un niveau de connaissances assez élever).
-Kappa est irremplaçable http://www.alionet.org/index.php?s=&sh...st&p=147199 (http://www.alionet.org/index.php?s=&showtopic=17027&view=findpost&p=147199)
mais j'ai d'autres gros minous (merci).
predator

Tuxie
28/12/2007, 17h32
En dehors d'activer le Firewall, faut-il faire quelque chose de spécial?[/b]
Je dirais oui, puisque la seule activation du Firewall ne suffit pas... il faut bien sûr le configurer, en prenant soin de fermer tous les ports dont tu ne te sers pas afin de bloquer un maximum de choses. C'est un peu long au début mais, ensuite, tu es beaucoup mieux protégé qu'avec une configuration de base (si, bien sûr, tu ne laisses pas des ports "dangereux" ouverts en connaissance de cause).

thveillon
28/12/2007, 17h40
Portsentry est exactement fait pour ce genre de cas, je te mets un lien (http://www.funix.org/fr/linux/detection.htm) car un peu occupé (voir la partie "Portsentry"), mais je vais suivre ce post.

ChrisdR
28/12/2007, 19h09
Zenon > ça ressemble à une attaque de type "brute force" sur votre serveur sshd par ceux que l'on prénomme les "scripts kiddies" (des mômes qui ont rien à foutre et programment des scripts pour essayer tous les mots de passe facile sur tous les serveurs ssh d'internet...).
Deux solutions :
- la plus simple, si vous n'accédez pas à votre ordi par ssh de l'extérieur, est de fermer le port ssh sur le firewall de la machine.
- sinon, très intéressant à faire : installer et configurer un outil du type fail2ban qui bannit au niveau du firewall toute IP qui fait plus de n (paramétrable) tentative(s) infructueuse(s) (loguée dans /var/log/messsages) .