[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: tentative Force Brute sur mon ftp

Le Sat, 21 Mar 2009 22:35:02 +0100
Vincent Besse <vincent@ouhena.org> a écrit:

> On Sat, 21 Mar 2009 13:53:34 +0100
> dju` <dju@elegiac.net> wrote:
> 
> > julien@nura.eu a écrit :
> > > Salut,
> > > 
> > > As-tu mis un bon mot de passe root ? root123 ?
> 
> C' était un savant mélange de chiffres/minuscules/majuscules
> sur 8 caractères. Ce qui me laisse penser que c' est pas une simple
> force brute de djeuns qui en est venue à bout (mais je peux tout à fait
> pêcher par naïveté). D' où ma question sur comment reconnaitre une
> attaque menée sur plusieurs fronts, si j' ai bien compris F. Boisson. 

Bizarre quand même, j'imagine que tu as changé ton mot de passe et
qu'il est définitevement cramé. Dans l'épisode dont je parle, les gars 
ont essayé des dizaines de milliers de logins avec 2 ou 3 mots de passe,
les chances de tomber sur un mot de passe bon avec le bon login sont
nulles chez moi (mettons comme mes chances de gagner au loto (si
j'y jouais))

Extrait des logs de l'époque (qui étaient kilométrique):

Le 26 Novembre:
   59.6.185.39: 1 time
       carlen/keyboard-interactive/pam: 1 time
    59.37.75.23: 4 times
       broderick/keyboard-interactive/pam: 1 time
       cala/keyboard-interactive/pam: 1 time
       carlos/keyboard-interactive/pam: 1 time
       carmen/keyboard-interactive/pam: 1 time
    59.124.224.95 (59-124-224-95.HINET-IP.hinet.net): 6 times
       brinley/keyboard-interactive/pam: 1 time
       brody/keyboard-interactive/pam: 1 time
       caitlyn/keyboard-interactive/pam: 1 time
       callista/keyboard-interactive/pam: 1 time
       candra/keyboard-interactive/pam: 1 time
       ceri/keyboard-interactive/pam: 1 time
    61.4.210.33: 2 times
       callia/keyboard-interactive/pam: 1 time
       carolos/keyboard-interactive/pam: 1 time
    61.47.31.130: 3 times
       bryant/keyboard-interactive/pam: 1 time
       cam/keyboard-interactive/pam: 1 time
       cavan/keyboard-interactive/pam: 1 time
    61.135.234.7: 1 time
       capucine/keyboard-interactive/pam: 1 time
    61.152.107.62: 1 time
       brittania/keyboard-interactive/pam: 1 time
    61.172.200.198: 2 times

le 20 décembre:

    71.63.229.140 (c-71-63-229-140.hsd1.mn.comcast.net): 6 times
       nimrod/keyboard-interactive/pam: 1 time
       nituna/keyboard-interactive/pam: 1 time
       niyati/keyboard-interactive/pam: 1 time
       nodin/keyboard-interactive/pam: 1 time
       nora/keyboard-interactive/pam: 1 time
       nu/keyboard-interactive/pam: 1 time
    72.66.191.175 (static-72-66-191-175.ronkva.east.verizon.net): 1 time
       noland/keyboard-interactive/pam: 1 time
    74.95.165.97 (74-95-165-97-Philadelphia.hfc.comcastbusiness.net): 2 times
       ninon/keyboard-interactive/pam: 1 time
       noma/keyboard-interactive/pam: 1 time
    75.22.172.193 (adsl-75-22-172-193.dsl.sndg02.sbcglobal.net): 3 times
       nina/keyboard-interactive/pam: 1 time
       nolan/keyboard-interactive/pam: 1 time
       norton/keyboard-interactive/pam: 1 time
    79.120.226.174: 3 times
       ninarika/keyboard-interactive/pam: 1 time
       norris/keyboard-interactive/pam: 1 time
       nox/keyboard-interactive/pam: 1 time
    80.34.55.88 (88.Red-80-34-55.staticIP.rima-tde.net): 1 time
       nydia/keyboard-interactive/pam: 1 time
    80.38.150.53 (53.Red-80-38-150.staticIP.rima-tde.net): 1 time
       nuala/keyboard-interactive/pam: 1 time

Le 31 décembre
    211.138.112.242: 3 times
       skyla/keyboard-interactive/pam: 2 times
       socrates/keyboard-interactive/pam: 1 time
    217.96.70.66: 4 times
       skylar/keyboard-interactive/pam: 1 time
       solana/keyboard-interactive/pam: 1 time
       sondra/keyboard-interactive/pam: 1 time
       sonya/keyboard-interactive/pam: 1 time
    220.194.201.208: 1 time
       snowy/keyboard-interactive/pam: 1 time
    221.8.255.134: 3 times
       skule/keyboard-interactive/pam: 1 time
       sohalia/keyboard-interactive/pam: 1 time
       sonny/keyboard-interactive/pam: 1 time
 
J'ai eu droit à tout l'alphabet. Chaque machine faisait 3 connexions au plus
et les logins étaient concertés (par ordre alphabétique). Ça s'est arrêté au
premier Janvier 2009 pile. 

> 
> > 
> > Il est aussi possible de mettre en place l'accès SSH par clé asymétrique 
> > (RSA ou DSA) et de désactiver l'accès par mot de passe.
> 
> Ca sera quelque chose dans ce goût-là après réinstallation du bouzin.
> Avec sauvegarde de mon trousseau de clefs numériques sur clef USB
> attachée à mon trousseau de clefs physiques. Ca devrait me permettre l'
> accés SSH depuis n' importe où, à condition que j' y sois :)
> 
> Le port-knocking, que je ne connaissais pas, me semble difficilement
> compatible avec des accès mobiles. Me trompe-je?
> 

C'est faisable mais si tu veux pouvoir y accéder à partir d'une machine windows
et putty, c'est faisable (avec telnet pour toquer à la porte) mais pas pratique pratique.

François Boisson
Reply to: