Conversation
precedente ou
suivante
bruteforce et rootkit: que faire si l'on en détecte ?
Envoyé par:
arn_epsilon
Bonjour,
sur mon serveur Debian Sarge perso, j'ai installé un prog (je crois que la commande c'est logcheck) pour envoyer les log sur l'adresse root (renvoyé à un utilisateur non root) et chkrootkit pour detecter cles rootkits.
Je ne consulte pas souvent les mails de mon domaine et aujourd'hui je me suis aperçu que:
->Un certain nombre d'adresse IP tente de trouver un nom d'utilisateur valable pour accéder à mon ssh.
Aug 12 11:52:05 localhost sshd[17027]: Illegal user admin from ::ffff:xx.xx.xx.xx
(si quelqu'un d'entre vous est capable d'accéder à son ssh, ce qui est TRES difficile ou si au moins il est possible de "passer" l'identification http de son site pour lui communiquer mon agacement, je vous balance son IP en mp :p )
->Le log de chkrootkit me signale la présence d'un rootkit
/etc/cron.daily/chkrootkit:
INFECTED (PORTS: 4000)
eth0: PACKET SNIFFER(/usr/sbin/dhcpd3[1326])
eth1: PACKET SNIFFER(/sbin/dhclient[891])
-J'utilise aussi mldonkey sur le serveur et j'ai vu quelque part qu'il était possible que chkrootkit prenne le P2P pour un rootkit, je doute un peu car je n'ai nullement ouvert le port 4000 de ma machine.
-Est-il possible ce rootkit provienne d'un pc m$ de mon réseau local et qu'ils soit juste detecté par chkrootkit sans que cela pause problème au serveur ?
Maintenant que j'ai réussit à mettre en place un serveur Web/mail/ftp/ssh/samba(bien sur ouvert qu'au réseau interne)/serveur de jeu(occasionellement) relativement sécurisé (via iptables et ssh pour l'accès admin)je commence à m'attaquer serieusement à la sécurité.Est-ce que quelqu'un pourrait m'aiguiller sur ce sujet, surtout concernant les logs que j'ai sur ma machine ?
(dsl si j'en demande un peu beaucoup
)
sur mon serveur Debian Sarge perso, j'ai installé un prog (je crois que la commande c'est logcheck) pour envoyer les log sur l'adresse root (renvoyé à un utilisateur non root) et chkrootkit pour detecter cles rootkits.
Je ne consulte pas souvent les mails de mon domaine et aujourd'hui je me suis aperçu que:
->Un certain nombre d'adresse IP tente de trouver un nom d'utilisateur valable pour accéder à mon ssh.
Aug 12 11:52:05 localhost sshd[17027]: Illegal user admin from ::ffff:xx.xx.xx.xx
(si quelqu'un d'entre vous est capable d'accéder à son ssh, ce qui est TRES difficile ou si au moins il est possible de "passer" l'identification http de son site pour lui communiquer mon agacement, je vous balance son IP en mp :p )
->Le log de chkrootkit me signale la présence d'un rootkit
/etc/cron.daily/chkrootkit:
INFECTED (PORTS: 4000)
eth0: PACKET SNIFFER(/usr/sbin/dhcpd3[1326])
eth1: PACKET SNIFFER(/sbin/dhclient[891])
-J'utilise aussi mldonkey sur le serveur et j'ai vu quelque part qu'il était possible que chkrootkit prenne le P2P pour un rootkit, je doute un peu car je n'ai nullement ouvert le port 4000 de ma machine.
-Est-il possible ce rootkit provienne d'un pc m$ de mon réseau local et qu'ils soit juste detecté par chkrootkit sans que cela pause problème au serveur ?
Maintenant que j'ai réussit à mettre en place un serveur Web/mail/ftp/ssh/samba(bien sur ouvert qu'au réseau interne)/serveur de jeu(occasionellement) relativement sécurisé (via iptables et ssh pour l'accès admin)je commence à m'attaquer serieusement à la sécurité.Est-ce que quelqu'un pourrait m'aiguiller sur ce sujet, surtout concernant les logs que j'ai sur ma machine ?
(dsl si j'en demande un peu beaucoup
)Poste le Saturday 12 August 2006 13:15:02
Re: bruteforce et rootkit: que faire si l'on en détecte ?
Envoyé par:
lolotux
Bon il faut savoir ce qui tourne et sniff le port 4000 :
en root :
lsof|grep 4000
netstat -l|grep 4000
Voir : [www.auditmypc.com]
Donc il faut savoir si un process style ICQ fonctionne sur ta machine !?
Software is like sex !
It's better when it's Free !
en root :
lsof|grep 4000
netstat -l|grep 4000
Voir : [www.auditmypc.com]
Donc il faut savoir si un process style ICQ fonctionne sur ta machine !?
Software is like sex !
It's better when it's Free !
Poste le Saturday 12 August 2006 18:29:41
Re: bruteforce et rootkit: que faire si l'on en détecte ?
Envoyé par:
arn_epsilon
A yes en fait ça vien bien de mldonkey avec le process mlnet.
tcp 4000 listen mlnet.
Ce ne doit etre bien grave car je n'autorise aucune connection depuis l'exterieur sur ce port
tcp 4000 listen mlnet.
Ce ne doit etre bien grave car je n'autorise aucune connection depuis l'exterieur sur ce port
Poste le Saturday 12 August 2006 19:09:05
Re: bruteforce et rootkit: que faire si l'on en détecte ?
Envoyé par:
arn_epsilon
Bonjour (ou plutôt, bonsoir),
J'ai "résolu" le problème de l'enquiquineur qui vient tenter de se connecter à mon ssh en ... fermant ce port mais il m'est parfois utile (surtout quand mon frère vien réparer mes c**** :p .
Mais ca ne résout pas tout.
Est-ce que l'on ne peut vraiment rien faire contre ce genre d'attaque ou alors il est possible de répondre sans pour autant y passer tout son temps libre ?
J'ai "résolu" le problème de l'enquiquineur qui vient tenter de se connecter à mon ssh en ... fermant ce port mais il m'est parfois utile (surtout quand mon frère vien réparer mes c**** :p .
Mais ca ne résout pas tout.
Est-ce que l'on ne peut vraiment rien faire contre ce genre d'attaque ou alors il est possible de répondre sans pour autant y passer tout son temps libre ?
Poste le Tuesday 15 August 2006 02:03:19
Re: bruteforce et rootkit: que faire si l'on en détecte ?
Envoyé par:
nicola
Tu changes le port à 2222 par exemple ?
Personnellement, je laisse 22 mais envoie systématiquement un rapport d’abus.
--
On ne prête qu’aux riches, et on a bien raison, parce que les autres remboursent difficilement.
-+- Tristan Bernard (1866-1947) -+-
Personnellement, je laisse 22 mais envoie systématiquement un rapport d’abus.
--
On ne prête qu’aux riches, et on a bien raison, parce que les autres remboursent difficilement.
-+- Tristan Bernard (1866-1947) -+-
Poste le Tuesday 15 August 2006 08:07:39
Re: bruteforce et rootkit: que faire si l'on en détecte ?
Envoyé par:
greywolf
règle iptables contre le brute-forcing (exemple pour ssh):
la 1ère ligne vérifie la liste des adresses IP nommée SSH pour voir si celle-ci n'a pas tenté de se connecter 4 fois en 60 secondes; si tel est le cas, la connexion est refusée. Si l'adresse IP source ne fait pas partie de la liste, on passe à la ligne suivante
la 2eme ligne crée la liste d'adresse IP SSH et logge l'adresse IP dans la liste
la 3ème ligne accepte la connexion (à condition que le masque de la première ligne n'ait pas correspondu)
on peut s'amuser à logger les tentatives de brute-forcing en créant une première ligne identique supplémentaire mais ayant comme cible
iptables -A INPUT -p tcp --dport ssh -m recent --update --seconds 60 --hitcount 4 --name SSH -j DROP iptables -A INPUT -p tcp --dport ssh -m recent --set --name SSH iptables -A INPUT -p tcp --dport ssh -j ACCEPT
la 1ère ligne vérifie la liste des adresses IP nommée SSH pour voir si celle-ci n'a pas tenté de se connecter 4 fois en 60 secondes; si tel est le cas, la connexion est refusée. Si l'adresse IP source ne fait pas partie de la liste, on passe à la ligne suivante
la 2eme ligne crée la liste d'adresse IP SSH et logge l'adresse IP dans la liste
la 3ème ligne accepte la connexion (à condition que le masque de la première ligne n'ait pas correspondu)
on peut s'amuser à logger les tentatives de brute-forcing en créant une première ligne identique supplémentaire mais ayant comme cible
-j LOG --log-prefix "Attention! attaque en cours sur SSH!!!"
Poste le Tuesday 15 August 2006 09:38:18
Re: bruteforce et rootkit: que faire si l'on en détecte ?
Envoyé par:
arn_epsilon
Bonjour,
Alors ça GreyWolf, ça m'a l'air d'être une très bonne idée, simple et efficace, je la retient.
c'est vrai aussi que je pouvait attribuer mon ssh sur un autre port mais c'est tellement bien d'avoir une solution telle que celle-ci !
Je vais tester ça soir, merci du truc !
Alors ça GreyWolf, ça m'a l'air d'être une très bonne idée, simple et efficace, je la retient.
c'est vrai aussi que je pouvait attribuer mon ssh sur un autre port mais c'est tellement bien d'avoir une solution telle que celle-ci !
Je vais tester ça soir, merci du truc !
Poste le Tuesday 15 August 2006 12:28:11
Ce forum !
bruteforce et rootkit: que faire si l'on en détecte ?
Un problème avec une commande du shell ? Comment utiliser la crontab ? Vous avez des soucis pour la gestion réseau sous Linux ? Pour vous la gestion des utilisateurs/groupes est du chinois ? Etc... Posez donc vos questions ici.
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons