Re: tentative Force Brute sur mon ftp
Le Sat, 21 Mar 2009 22:35:02 +0100
Vincent Besse <vincent@ouhena.org> a écrit:
> On Sat, 21 Mar 2009 13:53:34 +0100
> dju` <dju@elegiac.net> wrote:
>
> > julien@nura.eu a écrit :
> > > Salut,
> > >
> > > As-tu mis un bon mot de passe root ? root123 ?
>
> C' était un savant mélange de chiffres/minuscules/majuscules
> sur 8 caractères. Ce qui me laisse penser que c' est pas une simple
> force brute de djeuns qui en est venue à bout (mais je peux tout à fait
> pêcher par naïveté). D' où ma question sur comment reconnaitre une
> attaque menée sur plusieurs fronts, si j' ai bien compris F. Boisson.
Bizarre quand même, j'imagine que tu as changé ton mot de passe et
qu'il est définitevement cramé. Dans l'épisode dont je parle, les gars
ont essayé des dizaines de milliers de logins avec 2 ou 3 mots de passe,
les chances de tomber sur un mot de passe bon avec le bon login sont
nulles chez moi (mettons comme mes chances de gagner au loto (si
j'y jouais))
Extrait des logs de l'époque (qui étaient kilométrique):
Le 26 Novembre:
59.6.185.39: 1 time
carlen/keyboard-interactive/pam: 1 time
59.37.75.23: 4 times
broderick/keyboard-interactive/pam: 1 time
cala/keyboard-interactive/pam: 1 time
carlos/keyboard-interactive/pam: 1 time
carmen/keyboard-interactive/pam: 1 time
59.124.224.95 (59-124-224-95.HINET-IP.hinet.net): 6 times
brinley/keyboard-interactive/pam: 1 time
brody/keyboard-interactive/pam: 1 time
caitlyn/keyboard-interactive/pam: 1 time
callista/keyboard-interactive/pam: 1 time
candra/keyboard-interactive/pam: 1 time
ceri/keyboard-interactive/pam: 1 time
61.4.210.33: 2 times
callia/keyboard-interactive/pam: 1 time
carolos/keyboard-interactive/pam: 1 time
61.47.31.130: 3 times
bryant/keyboard-interactive/pam: 1 time
cam/keyboard-interactive/pam: 1 time
cavan/keyboard-interactive/pam: 1 time
61.135.234.7: 1 time
capucine/keyboard-interactive/pam: 1 time
61.152.107.62: 1 time
brittania/keyboard-interactive/pam: 1 time
61.172.200.198: 2 times
le 20 décembre:
71.63.229.140 (c-71-63-229-140.hsd1.mn.comcast.net): 6 times
nimrod/keyboard-interactive/pam: 1 time
nituna/keyboard-interactive/pam: 1 time
niyati/keyboard-interactive/pam: 1 time
nodin/keyboard-interactive/pam: 1 time
nora/keyboard-interactive/pam: 1 time
nu/keyboard-interactive/pam: 1 time
72.66.191.175 (static-72-66-191-175.ronkva.east.verizon.net): 1 time
noland/keyboard-interactive/pam: 1 time
74.95.165.97 (74-95-165-97-Philadelphia.hfc.comcastbusiness.net): 2 times
ninon/keyboard-interactive/pam: 1 time
noma/keyboard-interactive/pam: 1 time
75.22.172.193 (adsl-75-22-172-193.dsl.sndg02.sbcglobal.net): 3 times
nina/keyboard-interactive/pam: 1 time
nolan/keyboard-interactive/pam: 1 time
norton/keyboard-interactive/pam: 1 time
79.120.226.174: 3 times
ninarika/keyboard-interactive/pam: 1 time
norris/keyboard-interactive/pam: 1 time
nox/keyboard-interactive/pam: 1 time
80.34.55.88 (88.Red-80-34-55.staticIP.rima-tde.net): 1 time
nydia/keyboard-interactive/pam: 1 time
80.38.150.53 (53.Red-80-38-150.staticIP.rima-tde.net): 1 time
nuala/keyboard-interactive/pam: 1 time
Le 31 décembre
211.138.112.242: 3 times
skyla/keyboard-interactive/pam: 2 times
socrates/keyboard-interactive/pam: 1 time
217.96.70.66: 4 times
skylar/keyboard-interactive/pam: 1 time
solana/keyboard-interactive/pam: 1 time
sondra/keyboard-interactive/pam: 1 time
sonya/keyboard-interactive/pam: 1 time
220.194.201.208: 1 time
snowy/keyboard-interactive/pam: 1 time
221.8.255.134: 3 times
skule/keyboard-interactive/pam: 1 time
sohalia/keyboard-interactive/pam: 1 time
sonny/keyboard-interactive/pam: 1 time
J'ai eu droit à tout l'alphabet. Chaque machine faisait 3 connexions au plus
et les logins étaient concertés (par ordre alphabétique). Ça s'est arrêté au
premier Janvier 2009 pile.
>
> >
> > Il est aussi possible de mettre en place l'accès SSH par clé asymétrique
> > (RSA ou DSA) et de désactiver l'accès par mot de passe.
>
> Ca sera quelque chose dans ce goût-là après réinstallation du bouzin.
> Avec sauvegarde de mon trousseau de clefs numériques sur clef USB
> attachée à mon trousseau de clefs physiques. Ca devrait me permettre l'
> accés SSH depuis n' importe où, à condition que j' y sois :)
>
> Le port-knocking, que je ne connaissais pas, me semble difficilement
> compatible avec des accès mobiles. Me trompe-je?
>
C'est faisable mais si tu veux pouvoir y accéder à partir d'une machine windows
et putty, c'est faisable (avec telnet pour toquer à la porte) mais pas pratique pratique.
François Boisson
Reply to: