Re: attaque contre mon ssh...?

[Jerome Moinet]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1


> Il n'a plus l'air de bloquer les piratins alors qu'il le faisait avant.
> 
Effectivement, il marche plus si on est pas en LANG=C, cf
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=363391

pour résumer :

"
To by-pass the problem I change in /etc/init.d/fail2ban the line :

start-stop-daemon --start --quiet --pidfile $PIDFILE \
--exec $DAEMON -- $DAEMON_OPTS

by

LANG=C start-stop-daemon --start --quiet --pidfile $PIDFILE \
--exec $DAEMON -- $DAEMON_OPTS
"

a+

jerome
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.2.2 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org

iD8DBQFES+4R3ygQTLujCrQRAmp4AJwIVk8GaFqMiyE7EGUXVqZ5wkmhuwCfQK+1
UHMFnOR7M/hL8VJejKI7uLc=
=YYcR
-END PGP SIGNATURE-


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: attaque contre mon ssh...?

[nicolas]

Jean-Michel OLTRA wrote:


Mais quid, avec ces systèmes, des ip dynamiques ? Même en adsl les ip
peuvent bouger, donc des ip sont bloquées qui ne correspondent plus à la
machine de "l'assaillant".


C'est pour ça que fail2ban bloque le boulet pendant quelques minutes, 
par exemple une demi heure, le temps qu'il aille voir ailleurs. Ça se règle.


nicolas patrois : pts noir asocial
--
DRESSAGE

M : Je lui donne la patte... il me donne le sucre... Cronch ! Miom ! Je 
l’ai parfaitement conditionné, ce con...



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et

"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: attaque contre mon ssh...?

[Jean-Michel OLTRA]

bonjour,


Le jeudi 20 avril 2006, nicolas a écrit...


> Il n'a plus l'air de bloquer les piratins alors qu'il le faisait avant.

Mais quid, avec ces systèmes, des ip dynamiques ? Même en adsl les ip
peuvent bouger, donc des ip sont bloquées qui ne correspondent plus à la
machine de "l'assaillant".

-- 
jm



-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: attaque contre mon ssh...?

[nicolas]

Jerome Moinet wrote:


Ha ? je n'ai pas regardé de près, il est vrai, mais il m'envoit
régulièrement des mails avec les ips bloquées et je n'ai pas trouvé de
tentative de connexion non bloquée dans les logs.



Tu as observé quoi comme type de dysfonctionnement ?


Il n'a plus l'air de bloquer les piratins alors qu'il le faisait avant.

nicolas patrois : pts noir asocial
--
ANALPHABÈTE

M : Incapable ! Inutile ! Moi, au moins, je rapporte le courrier !
P : Je pourrais le faire aussi mais moi, je suis chargé d'y répondre au 
courrier



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et

"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: attaque contre mon ssh...?

[Philippe AMIOT]

Salut,

comme outils sympas il y a scanlogd et scandetd
car pour moi toute tentative de brute-force commence par un scan de
ports, non !

Philippe AMIOT



Jean Baptiste Balleyguier a écrit :


Bonsoir,

je crois que je suis victime d'une attaque par dictionnaire sur mon 
serveur ssh depuis une adresse 64.182.37.226 . 
Mes logs m'indiquen t l'erreur suivante : "Invalid user ... from ..." 
et ça pendant des lignes et des lignes, avec la même ip, et le login 
qui change.
J'aimerai savoir comment protéger mon ssh, pour refuser cette adresse 
spécifique au moins de se connecter à mon serveur ssh.
J'ai bien essayé d'éditer le /etc/hosts.allow, mais visiblement ça n'a 
pas changé grand chose...

une idée ???

Jean Baptiste

--
Jean Baptiste Balleyguier
83 rue de Paris
92190 Meudon
0622194512

JBTux...un manchot au pays du Pingouin
Mon CV: http://tolkienuniversite.free.fr/jbballeyguier_CV.pdf 

Re: attaque contre mon ssh...?

[Jerome Moinet]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1


> fail2ban existe sur ma testing, mais n'a plus l'air de marcher très bien.
> 
Ha ? je n'ai pas regardé de près, il est vrai, mais il m'envoit
régulièrement des mails avec les ips bloquées et je n'ai pas trouvé de
tentative de connexion non bloquée dans les logs.

Tu as observé quoi comme type de dysfonctionnement ?

jerome
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.2.2 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org

iD8DBQFERojG3ygQTLujCrQRAnQcAKD15UQuczMeh0TQEfVMcKBg3CNqOwCgjAYq
GCYKcEbxqyg0mOl5cCuFuHQ=
=EqPt
-END PGP SIGNATURE-


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: attaque contre mon ssh...?

[François TOURDE]

Le 13256ième jour après Epoch,
Yves Rutschle écrivait:

> On Tue, Apr 18, 2006 at 11:37:48PM +0200, Jean Baptiste Balleyguier wrote:
>> je crois que je suis victime d'une attaque par dictionnaire sur mon serveur
>> ssh depuis une adresse 64.182.37.226. Mes logs m'indiquen t l'erreur
>> suivante : "Invalid user ... from ..." et ça pendant des lignes et des
>> lignes, avec la même ip, et le login qui change.
>
> Ça arrive...
>
>> J'aimerai savoir comment protéger mon ssh, pour refuser cette adresse
>> spécifique au moins de se connecter à mon serveur ssh.
>> J'ai bien essayé d'éditer le /etc/hosts.allow, mais visiblement ça n'a pas
>> changé grand chose...
>> une idée ???
>
> Quand j'ai la motivation, je fais:
>
> iptables -A INPUT -p tcp -s  -j REJECT --reject-with tcp-reset
>
> Avec encore plus de motivation, on pourrait faire un script
> qui suit les logs et rejete l'adresse automatiquement.

Ou alors:

iptables -A INPUT -i eth0 -p tcp --dport ssh -m state --state NEW -m recent 
--set --name SSH
iptables -A INPUT -i eth0 -p tcp --dport ssh -m state --state NEW -m recent 
--update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP

Pas de besoins de motivations ;)

Sauf pour le mettre la première fois en place...

... et je l'ai pas encore mis ;)

Re: attaque contre mon ssh...?

[Gabriel Paubert]

On Wed, Apr 19, 2006 at 07:09:09AM +0200, nicolas wrote:
> Gabriel Paubert wrote:
> >On Tue, Apr 18, 2006 at 11:51:32PM +0200, Jérôme Moinet wrote:
> 
> >>aptitude install fail2ban
> 
> >Ou denyhosts. Mais les 2 n'existent que pour sid.
> 
> fail2ban existe sur ma testing, mais n'a plus l'air de marcher très bien.

En effet, je me suis trompé. Je n'avais plus les yeux
en face des trous hier soir.

L'avantage de denyhosts c'est qu'il n'a pas besoin
d'iptables, que je n'utilise pas.

Gabriel

Re: attaque contre mon ssh...?

[nicolas]

Gabriel Paubert wrote:

On Tue, Apr 18, 2006 at 11:51:32PM +0200, Jérôme Moinet wrote:



aptitude install fail2ban



Ou denyhosts. Mais les 2 n'existent que pour sid.


fail2ban existe sur ma testing, mais n'a plus l'air de marcher très bien.

nicolas patrois : pts noir asocial
--
ANALPHABÈTE

M : Incapable ! Inutile ! Moi, au moins, je rapporte le courrier !
P : Je pourrais le faire aussi mais moi, je suis chargé d'y répondre au 
courrier



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et

"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: attaque contre mon ssh...?

[Jean Baptiste Balleyguier]

Bonjour,merci pour toutes ces solutions.J'ai commencé par installé fail2ban, mais visiblement il y a d'autres solutions : je récapépète depuis le bédut :- failb2ban-denyhosts-iptables (+blacklist)
-un script...Je suis sous etch, donc... est-ce que fail2ban suffira, sachant que depuis je ne constate plus ce genre d'attaques dans mes logs ???Jean BaptisteOn 4/19/06, 
Jérôme Moinet <[EMAIL PROTECTED]> wrote:
-BEGIN PGP SIGNED MESSAGE-Hash: SHA1>>aptitude install fail2ban>>> Ou denyhosts. Mais les 2 n'existent que pour sid.>heu.. fail2ban est dans etch (mais pas dans sarge il est vrai).
-BEGIN PGP SIGNATURE-Version: GnuPG v1.4.2.2 (GNU/Linux)Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.orgiD8DBQFEReHq3ygQTLujCrQRAiGCAJ9zSuI5t5HeuFgjmQBERpeDYz3WTACgoLr2
BnWt+qHpwtBZTilGFCzB22w==G1xu-END PGP SIGNATURE---Lisez la FAQ de la liste avant de poser une question :http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et"Reply-To:"To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]-- Jean Baptiste Balleyguier
83 rue de Paris92190 Meudon0622194512JBTux...un manchot au pays du PingouinMon CV: http://tolkienuniversite.free.fr/jbballeyguier_CV.pdf

Re: attaque contre mon ssh...?

[Jérôme Moinet]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1


>>aptitude install fail2ban
> 
> 
> Ou denyhosts. Mais les 2 n'existent que pour sid.
> 
heu.. fail2ban est dans etch (mais pas dans sarge il est vrai).
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.2.2 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org

iD8DBQFEReHq3ygQTLujCrQRAiGCAJ9zSuI5t5HeuFgjmQBERpeDYz3WTACgoLr2
BnWt+qHpwtBZTilGFCzB22w=
=G1xu
-END PGP SIGNATURE-


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: attaque contre mon ssh...?

[Lecouteux Benjamin]

Claude Reveret wrote:
> Le Mardi 18 Avril 2006 23:37, Jean Baptiste Balleyguier a écrit :
>   
>> Bonsoir,
>>
>> je crois que je suis victime d'une attaque par dictionnaire sur mon serveur
>> ssh depuis une adresse 64.182.37.226. Mes logs m'indiquen t l'erreur
>> suivante : "Invalid user ... from ..." et ça pendant des lignes et des
>> lignes, avec la même ip, et le login qui change.
>> J'aimerai savoir comment protéger mon ssh, pour refuser cette adresse
>> spécifique au moins de se connecter à mon serveur ssh.
>> J'ai bien essayé d'éditer le /etc/hosts.allow
>> 
> C'est pas plutôt /etc/hosts.deny
> avec par exemple
> ALL:64.182.37.226
>
>   
>> , mais visiblement ça n'a pas 
>> changé grand chose...
>> une idée ???
>>
>> Jean Baptiste
>>
>> --
>> Jean Baptiste Balleyguier
>> 83 rue de Paris
>> 92190 Meudon
>> 0622194512
>>
>> JBTux...un manchot au pays du Pingouin
>> Mon CV: http://tolkienuniversite.free.fr/jbballeyguier_CV.pdf
>> 
>
>   
J'avais trouvé cette petite doc basée sur iptables permettant de
blacklister automatiquement les tentatives de connexion ssh par "force
brute":

http://mysecureshell.sourceforge.net/fr/securessh.html

Ben


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: attaque contre mon ssh...?

[Vincent Danjean]

Jérôme Moinet wrote:
>>> J'aimerai savoir comment protéger mon ssh, pour refuser cette adresse
>>> spécifique au moins de se connecter à mon serveur ssh.
>>> J'ai bien essayé d'éditer le /etc/hosts.allow, mais visiblement ça n'a pas
>>> changé grand chose...
>>> une idée ???
>>>
> aptitude install fail2ban

Il y a aussi le package denyhost (qui évite de toucher aux règles
iptables et donc marche aussi derrière une redirection de port).

  Vincent


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: attaque contre mon ssh...?

[Yves Rutschle]

On Tue, Apr 18, 2006 at 11:37:48PM +0200, Jean Baptiste Balleyguier wrote:
> je crois que je suis victime d'une attaque par dictionnaire sur mon serveur
> ssh depuis une adresse 64.182.37.226. Mes logs m'indiquen t l'erreur
> suivante : "Invalid user ... from ..." et ça pendant des lignes et des
> lignes, avec la même ip, et le login qui change.

Ça arrive...

> J'aimerai savoir comment protéger mon ssh, pour refuser cette adresse
> spécifique au moins de se connecter à mon serveur ssh.
> J'ai bien essayé d'éditer le /etc/hosts.allow, mais visiblement ça n'a pas
> changé grand chose...
> une idée ???

Quand j'ai la motivation, je fais:

iptables -A INPUT -p tcp -s  -j REJECT --reject-with tcp-reset

Avec encore plus de motivation, on pourrait faire un script
qui suit les logs et rejete l'adresse automatiquement.

Y.


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: attaque contre mon ssh...?

[Gabriel Paubert]

On Tue, Apr 18, 2006 at 11:51:32PM +0200, Jérôme Moinet wrote:
> -BEGIN PGP SIGNED MESSAGE-
> Hash: SHA1
> 
> >
> > J'aimerai savoir comment protéger mon ssh, pour refuser cette adresse
> > spécifique au moins de se connecter à mon serveur ssh.
> > J'ai bien essayé d'éditer le /etc/hosts.allow, mais visiblement ça n'a pas
> > changé grand chose...
> > une idée ???
> > 
> aptitude install fail2ban

Ou denyhosts. Mais les 2 n'existent que pour sid.

Ce qui m'étonne un peu, ça fait au moins 2 mois que 
j'ai installé denyhosts et que je n'ai plus plusieurs 
centaines de lignes de tentative d'intrusion chaque
matin dans les logs, je pensais qu'il était passé en 
testing.

Gabriel

P.S: j'espère que cette fois-ci, les accents passeront.

Re: attaque contre mon ssh...?

[Claude Reveret]

Le Mardi 18 Avril 2006 23:37, Jean Baptiste Balleyguier a écrit :
> Bonsoir,
>
> je crois que je suis victime d'une attaque par dictionnaire sur mon serveur
> ssh depuis une adresse 64.182.37.226. Mes logs m'indiquen t l'erreur
> suivante : "Invalid user ... from ..." et ça pendant des lignes et des
> lignes, avec la même ip, et le login qui change.
> J'aimerai savoir comment protéger mon ssh, pour refuser cette adresse
> spécifique au moins de se connecter à mon serveur ssh.
> J'ai bien essayé d'éditer le /etc/hosts.allow
C'est pas plutôt /etc/hosts.deny
avec par exemple
ALL:64.182.37.226

> , mais visiblement ça n'a pas 
> changé grand chose...
> une idée ???
>
> Jean Baptiste
>
> --
> Jean Baptiste Balleyguier
> 83 rue de Paris
> 92190 Meudon
> 0622194512
>
> JBTux...un manchot au pays du Pingouin
> Mon CV: http://tolkienuniversite.free.fr/jbballeyguier_CV.pdf

-- 
@+, Claude

Re: attaque contre mon ssh...?

[Arnaud Hocevar]

On Tue, 18 Apr 2006 23:37:48 +0200
"Jean Baptiste Balleyguier" <[EMAIL PROTECTED]> injuried his
keyboard, and wrote:

> Bonsoir,
> 
> je crois que je suis victime d'une attaque par dictionnaire sur mon
> serveur ssh depuis une adresse 64.182.37.226. Mes logs m'indiquen t
> l'erreur suivante : "Invalid user ... from ..." et ça pendant des
> lignes et des lignes, avec la même ip, et le login qui change.
> J'aimerai savoir comment protéger mon ssh, pour refuser cette adresse
> spécifique au moins de se connecter à mon serveur ssh.
> J'ai bien essayé d'éditer le /etc/hosts.allow, mais visiblement ça
> n'a pas changé grand chose...
> une idée ???
> 
> Jean Baptiste
> 
Un script que j'avais trouvé il y a quelques temps, et que je trouve
pas mal pour qui n'a pas envie de trop se fatiguer:
http://www.frit.net/linux/black/

Arnaud
> --
> Jean Baptiste Balleyguier
> 83 rue de Paris
> 92190 Meudon
> 0622194512
> 
> JBTux...un manchot au pays du Pingouin
> Mon CV: http://tolkienuniversite.free.fr/jbballeyguier_CV.pdf

Re: attaque contre mon ssh...?

[Jérôme Moinet]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

>
> J'aimerai savoir comment protéger mon ssh, pour refuser cette adresse
> spécifique au moins de se connecter à mon serveur ssh.
> J'ai bien essayé d'éditer le /etc/hosts.allow, mais visiblement ça n'a pas
> changé grand chose...
> une idée ???
> 
aptitude install fail2ban

cdlt,

jerome
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.2.2 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org

iD8DBQFERV9k3ygQTLujCrQRAp23AJ9kbMMqgw6q4FTUG+Xoqi+WQ4yimQCg3IA6
Ras2ijoZD3I4yO2zPDEbl0U=
=kS1c
-END PGP SIGNATURE-


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

attaque contre mon ssh...?

[Jean Baptiste Balleyguier]

Bonsoir,je crois que je suis victime d'une attaque par dictionnaire sur mon serveur ssh depuis une adresse 64.182.37.226. Mes logs m'indiquen t l'erreur suivante : "Invalid user ... from ..." et ça pendant des lignes et des lignes, avec la même ip, et le login qui change.
J'aimerai savoir comment protéger mon ssh, pour refuser cette adresse spécifique au moins de se connecter à mon serveur ssh.J'ai bien essayé d'éditer le /etc/hosts.allow, mais visiblement ça n'a pas changé grand chose...
une idée ???Jean Baptiste-- Jean Baptiste Balleyguier83 rue de Paris92190 Meudon0622194512JBTux...un manchot au pays du PingouinMon CV: 
http://tolkienuniversite.free.fr/jbballeyguier_CV.pdf