+ Non Résolu
Affiche les résultats de 1 à 8 sur 8

Sujet : Détection d'intrusion

  1. #1
    zenon
    Guest

    Arrow

    En consultant mon log système, je trouve dans le fichier /var/log/messages les lignes suivantes:
    • Dec 8 14:39:32 linux sshd[4063]: Did not receive identification string from 83.103.147.47
      Dec 8 14:43:10 linux nscd: gethostby*.getanswer: asked for "satcomar.bacau.astral.ro IN A", got type "TXT"
      Dec 8 14:43:10 linux sshd[4100]: Address 83.103.147.47 maps to satcomar.bacau.astral.ro, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
      Dec 8 14:43:10 linux sshd[4100]: Invalid user t1na from 83.103.147.47</span>
    Suivent un grand nombre de lignes (environ 5 par seconde entre 14:39:32 et 14:48:54) variant les tentatives avec divers noms d'utilisateur. Le log trace ainsi de nombreuses tentatives d'intrusion, quasi journalières.
    <span style="color:#FF0000">
    En dehors d'activer le Firewall, faut-il faire quelque chose de spécial?

  2. #2
    Grand caméléon Avatar de oh!rocks
    Inscrit
    octobre 2004
    Distribution
    Debian "Jessie"
    Environnement
    Xfce
    Messages
    3 987
    Tu as des copains en Roumanie ?

    Code:
    whois 83.103.147.47
    % This is the RIPE Whois query server #3.
    % The objects are in RPSL format.
    %
    % Rights restricted by copyright.
    % See http://www.ripe.net/db/copyright.html
    
    % Note: This output has been filtered.
    %       To receive output for a database update, use the "-B" flag.
    
    % Information related to '83.103.147.0 - 83.103.147.255'
    
    inetnum:      83.103.147.0 - 83.103.147.255
    netname:      ASTRAL-BC-DOCSIS-1
    descr:        ASTRAL Bacau DOCSIS 1
    country:      RO
    admin-c:      AH1598-RIPE
    tech-c:       CN3389-RIPE
    tech-c:       AM15077-RIPE
    tech-c:       TRI1-RIPE
    tech-c:       CM8934-RIPE
    remarks:      INFRA-AW
    status:       ASSIGNED PA
    mnt-by:       ASTRALTELECOM-MNT
    mnt-lower:    ASTRALTELECOM-MNT
    mnt-routes:   ASTRALTELECOM-MNT
    source:       RIPE # Filtered
    
    person:         Astral Telecom Hostmaster
    address:        Astral Telecom SA
    address:        ROMANIA
    phone:          +40 264 414688
    fax-no:         +40 264 414687
    e-mail:         hostmaster@astral.ro
    nic-hdl:        AH1598-RIPE
    remarks:        ------------------------------
    remarks:        abuse reports: abuse@astral.ro
    remarks:        ------------------------------
    mnt-by:         ASTRALTELECOM-MNT
    source:         RIPE # Filtered
    
    person:       Teodor Remus IACOB
    address:      Astral Telecom SA
    address:      Bd. Mihai Bravu nr. 223
    address:      Complex Optidol, sector 3
    address:      Bucharest - Romania
    phone:        +40-1-3266196
    fax-no:       +40-1-3266197
    e-mail:       theo@kappa.ro
    nic-hdl:      TRI1-RIPE
    mnt-by:       KAPPA-MNT
    source:       RIPE # Filtered
    
    person:       Alin Moldovan
    address:      CODEC Electronic Products
    address:      37, Decebal
    address:      3400 Cluj-Napoca
    address:      Romania
    phone:        +40-264-432450
    fax-no:       +40-264-418205
    e-mail:       alinux@codec.ro
    nic-hdl:      AM15077-RIPE
    mnt-by:       AS3233-MNT
    source:       RIPE # Filtered
    
    person:         Catalin Muresan
    address:        UPC Romania
    address:        str. Nordului, 62D
    address:        Bucuresti, 104014
    address:        Romania
    phone:          +40-31-1018100
    fax-no:         +40-31-1018101
    e-mail:         catalin.muresan@astral.ro
    nic-hdl:        CM8934-RIPE
    mnt-by:         ASTRALTELECOM-MNT
    source:         RIPE # Filtered
    
    person:         Camelia Nastase
    address:        UPC Romania
    address:        Sos. Nodrului 62D, Bucuresti
    address:        Romania
    mnt-by:         ASTRALTELECOM-MNT
    phone:          +40-31-1018100
    fax-no:         +40-31-1018101
    e-mail:         camelia.nastase@upc.ro
    nic-hdl:        CN3389-RIPE
    source:         RIPE # Filtered
    
    % Information related to '83.103.128.0/17AS6746'
    
    route:        83.103.128.0/17
    descr:        Astral Telecom SA
    origin:       AS6746
    mnt-by:       ASTRALTELECOM-MNT
    source:       RIPE # Filtered

    à plus,

    oh!rocks

  3. #3
    Le meilleur outil pour te proteger : backtrack
    http://www.alionet.org/index.php?s=&sh...st&p=159881
    predator
    Le 12 Août 2007 ?* 23h30 mon chat Kappa a cessé d'exister après 15 ans de vie ?* mes côtés 24/24.
    Jamais je ne pourrais m'habituer ?* son absence.
    J'étais pourtant persuadé qu'il était imortel.

    http://img441.imageshack.us/img441/3...114bxe5ue9.jpg

  4. #4
    zenon
    Guest
    Je ne connaissais pas cette distri, pourtant j'en ai testé pas mal... Cela dit, je n'envisage pas de laisser tomber opensuse, qui me convient fort bien.
    :rolleyes: Aurais-tu échangé Kappa contre un autre bon gros matou, meme s'il lui arrivait de commettre quelques impairs?

    Avec ma plus vive compassion.

    Zenon

  5. #5
    -C'est un live cd que tu utilise à volonté ou en l'installant (mais il faut avoir un niveau de connaissances assez élever).
    -Kappa est irremplaçable http://www.alionet.org/index.php?s=&sh...st&p=147199
    mais j'ai d'autres gros minous (merci).
    predator
    Le 12 Août 2007 ?* 23h30 mon chat Kappa a cessé d'exister après 15 ans de vie ?* mes côtés 24/24.
    Jamais je ne pourrais m'habituer ?* son absence.
    J'étais pourtant persuadé qu'il était imortel.

    http://img441.imageshack.us/img441/3...114bxe5ue9.jpg

  6. #6
    Administrateur Administrateur Avatar de Tuxie
    Inscrit
    juin 2005
    Lieu
    Cherbourg-en-Cotentin
    Distribution
    Yosemite
    Environnement
    Aucun
    Messages
    2 192
    Citation Envoyé par zenon
    En dehors d'activer le Firewall, faut-il faire quelque chose de spécial?[/b]
    Je dirais oui, puisque la seule activation du Firewall ne suffit pas... il faut bien sûr le configurer, en prenant soin de fermer tous les ports dont tu ne te sers pas afin de bloquer un maximum de choses. C'est un peu long au début mais, ensuite, tu es beaucoup mieux protégé qu'avec une configuration de base (si, bien sûr, tu ne laisses pas des ports "dangereux" ouverts en connaissance de cause).
    "Apprendre aux élèves ?* utiliser les produits Microsoft, c'est comme leur apprendre ?* fumer. C'est leur donner une habitude coûteuse, dangereuse et dont ils se déferont difficilement." Richard Stallman

    Venez découvrir mes textes

  7. #7
    Portsentry est exactement fait pour ce genre de cas, je te mets un lien car un peu occupé (voir la partie "Portsentry"), mais je vais suivre ce post.
    "Faudrait breveter la liberté"... ($teve b. les sources de cette citation n'étant pas publiques nous ne pouvons garantir l'authenticité de son attribution, cependant les contrefacteurs seront punis)

    Debian "Squeeze" 64bits ; DebianEdu (Skolelinux) ; Ubuntu Jaunty et Karmic 64bits , Fedora11.

  8. #8
    Zenon > ça ressemble à une attaque de type "brute force" sur votre serveur sshd par ceux que l'on prénomme les "scripts kiddies" (des mômes qui ont rien à foutre et programment des scripts pour essayer tous les mots de passe facile sur tous les serveurs ssh d'internet...).
    Deux solutions :
    - la plus simple, si vous n'accédez pas à votre ordi par ssh de l'extérieur, est de fermer le port ssh sur le firewall de la machine.
    - sinon, très intéressant à faire : installer et configurer un outil du type fail2ban qui bannit au niveau du firewall toute IP qui fait plus de n (paramétrable) tentative(s) infructueuse(s) (loguée dans /var/log/messsages) .

+ Non Résolu

Règles des messages

  • Vous ne pouvez pas créer de sujets
  • Vous ne pouvez pas répondre aux sujets
  • Vous ne pouvez pas importer de fichiers joints
  • Vous ne pouvez pas modifier vos messages
  •  
  • Les BB codes sont Activés
  • Les Smileys sont Activés
  • Le BB code [IMG] est Activé
  • Le code [VIDEO] est Activé
  • Le code HTML est Désactivé