Fedora-Fr

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

tentative d'intrusion

thierryR

fgland wrote: Je n'ai pas de service iptable actif, comment le vois-tu ?
en gros iptables est statique, firewalld dynamique.

Tout fonctionne chez moi:

sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
LIBVIRT_INP  all  --  anywhere             anywhere            

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
LIBVIRT_FWX  all  --  anywhere             anywhere            
LIBVIRT_FWI  all  --  anywhere             anywhere            
LIBVIRT_FWO  all  --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
LIBVIRT_OUT  all  --  anywhere             anywhere            

Chain LIBVIRT_FWI (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             192.168.122.0/24     ctstate RELATED,ESTABLISHED
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable

Chain LIBVIRT_FWO (1 references)
target     prot opt source               destination         
ACCEPT     all  --  192.168.122.0/24     anywhere            
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable

Chain LIBVIRT_FWX (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            

Chain LIBVIRT_INP (1 references)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootps
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:bootps

Chain LIBVIRT_OUT (1 references)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootpc
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:bootpc

sudo  firewall-cmd --state
running

sudo firewall-cmd --get-services
RH-Satellite-6 amanda-client amanda-k5-client amqp amqps apcupsd audit bacula bacula-client bb bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc bittorrent-lsd ceph ceph-mon cfengine cockpit condor-collector ctdb dhcp dhcpv6 dhcpv6-client distcc dns dns-over-tls docker-registry docker-swarm dropbox-lansync elasticsearch etcd-client etcd-server finger freeipa-4 freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master git grafana gre high-availability http https imap imaps ipp ipp-client ipsec irc ircs iscsi-target isns jenkins kadmin kdeconnect kerberos kibana klogin kpasswd kprop kshell kube-apiserver ldap ldaps libvirt libvirt-tls lightning-network llmnr managesieve matrix mdns memcache minidlna mongodb mosh mountd mqtt mqtt-tls ms-wbt mssql murmur mysql nfs nfs3 nmea-0183 nrpe ntp nut openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole plex pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy prometheus proxy-dhcp ptp pulseaudio puppetmaster quassel radius rdp redis redis-sentinel rpc-bind rsh rsyncd rtsp salt-master samba samba-client samba-dc sane sip sips slp smtp smtp-submission smtps snmp snmptrap spideroak-lansync spotify-sync squid ssdp ssh steam-streaming svdrp svn syncthing syncthing-gui synergy syslog syslog-tls telnet tentacle tftp tftp-client tile38 tinc tor-socks transmission-client upnp-client vdsm vnc-server wbem-http wbem-https wsman wsmans xdmcp xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server

Le lien entre les 2

III. Le service firewalld

Le service firewalld est un des nombreux services de la nouvelle architecture SystemD adossée au type dbus fournissant les éléments suivants:

une applet
une interface graphique
une interface en ligne de commande
une interface D-Bus

Ce service est lui-même un moyen de dialogue entre le module netfilter du noyau linux et ses modules complémentaires. Ainsi, en interne, on peut manipuler les différentes commandes mentionnées précédemment, c’est-à-dire :

iptables
ip6tables
ebtables

fgland

iptables n'est pas un 'service' on ne peut donc pas dire qu'il est lancé !
Le terme iptables est ambiguë car il désigne le programme associé à netfilter pour la gestion des règles de celui-ci mais est souvent employé pour désigner le firewall lui-même.
Voir par exemple :
https://doc.fedora-fr.org/wiki/Parefeu_-_firewall
https://doc.fedora-fr.org/wiki/Parefeu_-_firewall_-_netfilter_-_iptables
Avec l'utilisation de firewalld, on peut utiliser la commande iptables pour lister les rêgles mais pas pour les créér oui modifier, il faut passer par firewall-cmd.
https://doc.fedora-fr.org/wiki/Parefeu_-_firewall_-_FirewallD
mais il me semble que l'avertissement de cette page est trompeur puisque firewallD ne remplace pas iptables mais le gère. Avis au spécialiste.

Ma proposition du 'toc toc' est théorique mais cela me donne envie de la tester, et si cela marche je pourrais donner le retour...

Gérard

thierryR

Ce serait super Gérard, car je me sens dépassé tout en étant super intéressé. Pour la forme tu peux faire un script "toc toc" mais c'est "knock knock" en réalité. Je ne sais pas si le travail d'Adrien pourrait t'aider. https://www.linuxtricks.fr/wiki/iptables-port-knocking-pour-ouvrir-ssh

thierryR

J'en reviens sur ce que dit Nicosss à #35 concernant l'utilisation de firewalld. Est ce que cette solution est intelligente ? https://serverfault.com/questions/852755/fail2ban-doesnt-add-ips-to-ipset-firewalld

1. Créez une nouvelle règle d'action (/etc/fail2ban/action.d/custom-firewalld.conf)

[INCLUDES]
before  =

[Definition]
actionstart =
actionstop =
actioncheck =

actionflush = sed -i '/<source address=/d' /etc/firewalld/zones/drop.xml
actionban = firewall-cmd --change-source=<ip> --zone=drop && firewall-cmd --change-source=<ip> --zone=drop --permanent
actionunban = firewall-cmd --remove-source=<ip> --zone=drop && firewall-cmd --remove-source=<ip> --zone=drop --permanent || echo 0

[Init]

Puis dans la jail local

[DEFAULT]
banaction = custom-firewalld

thierryR

Je l'ai mise en place. Elle semble pas mal. Mon journal SSH ne se rempli plus.

journalctl -t sshd  -f
-- Logs begin at Mon 2021-02-15 14:01:49 CET. --
févr. 19 09:15:56 localhost.localdomain sshd[6565]: Failed password for invalid user root from 42.194.218.76 port 40964 ssh2
févr. 19 09:15:57 localhost.localdomain sshd[6565]: Received disconnect from 42.194.218.76 port 40964:11: Bye Bye [preauth]
févr. 19 09:15:57 localhost.localdomain sshd[6565]: Disconnected from invalid user root 42.194.218.76 port 40964 [preauth]
févr. 19 09:36:58 localhost.localdomain sshd[6727]: User root from 42.194.218.76 not allowed because not listed in AllowUsers
févr. 19 09:36:59 localhost.localdomain sshd[6727]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=42.194.218.76  user=root
févr. 19 09:37:01 localhost.localdomain sshd[6727]: Failed password for invalid user root from 42.194.218.76 port 35100 ssh2
févr. 19 09:37:06 localhost.localdomain sshd[6727]: Received disconnect from 42.194.218.76 port 35100:11: Bye Bye [preauth]
févr. 19 09:37:06 localhost.localdomain sshd[6727]: Disconnected from invalid user root 42.194.218.76 port 35100 [preauth]

sudo fail2ban-client status sshd
[sudo] Mot de passe de isabelle : 
Status for the jail: sshd
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     132
|  `- Journal matches:  _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
   |- Currently banned: 50
   |- Total banned:     50
   `- Banned IP list:   101.32.45.140 103.215.236.2 106.75.116.95 118.24.8.185 121.4.85.107 129.226.58.12 139.59.70.21 156.236.74.201 178.128.223.85 180.168.201.126 188.165.210.176 209.141.49.169 218.75.77.92 220.132.68.51 40.84.137.248 41.63.0.133 49.234.209.4 51.68.198.113 58.246.64.11 59.36.178.98 61.132.225.82 64.20.56.222 68.183.81.191 159.75.16.106 221.213.63.210 153.126.201.44 212.145.192.205 165.227.132.96 177.103.229.58 167.114.103.140 138.204.100.70 54.38.137.36 128.199.193.246 112.94.224.60 35.240.145.169 165.22.50.164 116.24.67.107 167.71.224.129 177.221.73.75 219.150.93.157 200.206.81.154 51.79.65.236 201.149.20.161 148.101.169.71 190.221.46.78 54.169.149.154 185.232.71.197 132.232.49.143 120.48.12.238 42.194.218.76

EDIT: 10:08
Plus de modification après 1/2 heure. On dirait que le robot ralenti la fréquence d'attaque.

fgland

thierryR wrote:Ce serait super Gérard, car je me sens dépassé tout en étant super intéressé. ...

Le résultat sans prétention et qui admet toute critique est sur http://landroware.ovh/acces.php
Gérard

thierryR

Merci Gérard. Je vais examiner ton affaire , mais en attendant ça a l'air de bien fonctionner.

[isabelle@localhost ~]$ firewall-cmd --get-active-zone
drop
  sources: 101.32.45.140 103.215.236.2 106.75.116.95 118.24.8.185 121.4.85.107 129.226.58.12 139.59.70.21 156.236.74.201 178.128.223.85 180.168.201.126 188.165.210.176 209.141.49.169 218.75.77.92 220.132.68.51 40.84.137.248 41.63.0.133 49.234.209.4 51.68.198.113 58.246.64.11 59.36.178.98 61.132.225.82 64.20.56.222 68.183.81.191 159.75.16.106 221.213.63.210 153.126.201.44 212.145.192.205 165.227.132.96 177.103.229.58 167.114.103.140 138.204.100.70 54.38.137.36 128.199.193.246 112.94.224.60 35.240.145.169 165.22.50.164 116.24.67.107 167.71.224.129 177.221.73.75 219.150.93.157 200.206.81.154 51.79.65.236 201.149.20.161 148.101.169.71 190.221.46.78 54.169.149.154 185.232.71.197 132.232.49.143 120.48.12.238 42.194.218.76 150.109.100.65 106.75.162.47 124.205.84.21 103.149.201.204 180.76.152.65 49.7.164.26 193.112.18.214 81.70.174.192 49.234.116.74 107.170.134.125 222.185.235.186 103.39.212.96 80.52.60.214 14.29.249.7 92.222.90.130 210.114.17.240 119.252.161.234 118.24.7.98 118.25.3.65 81.70.222.20 111.204.176.209 46.149.113.2 5.19.164.33 175.6.35.93 43.226.148.89 117.119.100.82 197.248.2.229 103.146.203.62 95.169.22.100 106.15.35.211 94.62.203.232 121.4.154.134 49.235.206.107 36.67.70.186 96.78.175.45 45.157.120.150 101.227.251.235 211.253.129.225 152.136.99.20 154.92.16.156 101.33.116.189 159.89.82.134 106.13.195.32 125.60.148.184 49.234.9.92 157.230.6.213 42.192.81.219 5.101.107.190 129.226.77.190 124.156.148.119 219.148.31.135 165.22.210.35 51.178.53.233 198.54.121.48 46.101.248.180 115.159.0.160 49.234.119.42 52.130.75.32 47.176.38.242 81.70.195.174 68.183.140.19 51.222.14.78
libvirt
  interfaces: virbr0
public
  interfaces: eno1

thierryR

Il y a un truc que je ne saisi pas. Comment depuis l'extérieur (le NET) un PC peut démarrer ton script ?
Pour moi, il a accès au port 80 en http et éventuellement appeler un numéro de port. Comment peut-il faire plus ?
En cherchant je vois que c'est inotify qui fait le boulot. Mais ce truc est-il sécurisé ? Car si il exécute des commandes root depuis une adresse http, ça me semble dangereux.

fgland

c'est bien pour cela que le mot de passe est incassable.
En soit, il n'y a pas de problème avec un service comme sshd car il ne peut que le démarrer ou l'arrêter ce qui ne change rien à la sécurité de la machine.
ce n'est pas une commande root depuis http ce qui est impossible, le http ne fait que modifier un fichier, un log si on veut et inotify ne fait que le travail de fail2ban qui est bien un traitement root !
J'utilise ce principe pour arrêter/redémarrer un raspberry qui me sert sert d'affichage un poste de vente en magasin, pas de clavier, pas de souris.
Tu peux rendre le mot de passe dynamique pour qu'il change à chaque connexion en se basant sur des variables connus comme la date et l'heure mélanger avec des caractères
Gérard

thierryR

J'essaie de règler quelques problèmes technique avant de mettre en place ta solution.
J'ai un filtre firewalld et fail2ban. J'ai fait actuellement 556 prisonniers. Quels fichiers faut-il sauvegarder pour une prochaine réinstallation en plus de ceux de conf ?

fgland

je ne vois pas trop l'intérêt de garder la liste des bannis car pour beaucoup ce sont des adresses qui n'existeront plus dans quelques temps et fail2ban les remettra de toute façon.
J’ai été vois le résulta de mon script.
/var/log/secure n'existant plus, il faut aller chercher dans journalctl :

# journalctl -u sshd

ne me retourne que mes lignes de connexions.
je ne connais pas la commande pour lire journalctl par la fin, donc après la commande ci-dessus, taper maj+g et patienter que cela arrive à la fin. On peut alors remonter le fichier avec les flèches de direction et pageup, pagedown.
On peut très bien mettre la fermeture du port comme dans knock mais cela me semble plus risqué en cas de problème si on a pas accès à la machine car au redémarrage, la fermeture sera toujours active...
Gérard

Nicosss

@fgland, utilise l'option -r.

@thierryR, comme le précise fgland il n'y a pas d'intérêt à conserver ta base. Les fichiers de configuration suffisent pour redéployer Fail2ban.

thierryR

Moi, j'utilise -f ( tail)

 
 -r, --reverse
           Reverse output so that the newest entries are displayed first.


-e, --pager-end
           Immediately jump to the end of the journal inside the implied pager tool. This implies -n1000 to guarantee that the pager will not buffer logs of unbounded size. This may be overridden with an explicit -n with some
           other numeric value, while -nall will disable this cap. Note that this option is only supported for the less(1) pager.
-t, --identifier=SYSLOG_IDENTIFIER
           Show messages for the specified syslog identifier SYSLOG_IDENTIFIER.

           This parameter can be specified multiple times.

fgland

@Nicosss merci, c'était trop simple
@thierryR tail ne permet pas de naviguer dans l'historique

Gérard

thierryR

@Nicosss Merci ce que tu m'as donné fait bien son effet.

[isabelle@localhost ~]$ sudo firewall-cmd --zone=drop --list-all
drop (active)
  target: DROP
  icmp-block-inversion: no
  interfaces: 
  sources: 101.32.45.140 103.215.236.2 106.75.116.95 118.24.8.185 121.4.85.107 129.226.58.12 139.59.70.21 156.236.74.201 178.128.223.85 180.168.201.126 188.165.210.176 209.141.49.169 218.75.77.92 220.132.68.51 40.84.137.248 41.63.0.133 49.234.209.4 51.68.198.113 58.246.64.11 59.36.178.98 61.132.225.82 64.20.56.222 68.183.81.191 159.75.16.106 221.213.63.210 153.126.201.44 212.145.192.205 165.227.132.96 177.103.229.58 167.114.103.140 138.204.100.70 54.38.137.36 128.199.193.246 112.94.224.60 35.240.145.169 165.22.50.164 116.24.67.107 167.71.224.129 177.221.73.75 219.150.93.157 200.206.81.154 51.79.65.236 201.149.20.161 148.101.169.71 190.221.46.78 54.169.149.154 185.232.71.197 132.232.49.143 120.48.12.238 42.194.218.76 150.109.100.65 106.75.162.47 124.205.84.21 103.149.201.204 180.76.152.65 49.7.164.26 193.112.18.214 81.70.174.192 49.234.116.74 107.170.134.125 222.185.235.186 103.39.212.96 80.52.60.214 14.29.249.7 92.222.90.130 210.114.17.240 119.252.161.234 118.24.7.98 118.25.3.65 81.70.222.20 111.204.176.209 46.149.113.2 5.19.164.33 175.6.35.93 43.226.148.89 117.119.100.82 197.248.2.229 103.146.203.62 95.169.22.100 106.15.35.211 94.62.203.232 121.4.154.134 49.235.206.107 36.67.70.186 96.78.175.45 45.157.120.150 101.227.251.235 211.253.129.225 152.136.99.20 154.92.16.156 101.33.116.189 159.89.82.134 106.13.195.32 125.60.148.184 49.234.9.92 157.230.6.213 42.192.81.219 5.101.107.190 129.226.77.190 124.156.148.119 219.148.31.135 165.22.210.35 51.178.53.233 198.54.121.48 46.101.248.180 115.159.0.160 49.234.119.42 52.130.75.32 47.176.38.242 81.70.195.174 68.183.140.19 51.222.14.78 176.31.202.70 119.45.43.139 221.6.206.14 81.70.20.28 190.147.162.41 178.128.41.141 118.24.114.205 175.126.38.47 35.185.30.133 139.99.119.28 45.112.242.77 148.70.129.112 182.61.21.155 103.142.26.144 139.59.121.221 165.22.50.136 64.225.53.31 52.155.121.150 140.143.10.96 133.125.58.171 2.82.170.124 111.230.241.110 118.24.158.103 129.211.54.147 91.131.199.45 67.205.186.76 104.224.140.216 45.10.24.60 176.112.79.111 35.188.49.176 198.211.115.252 118.123.244.100 51.140.185.84 103.215.139.109 117.158.87.112 150.158.153.78 106.53.8.180 103.48.193.7 139.155.90.176 202.77.105.98 154.85.48.8 122.155.0.205 51.68.88.26 182.61.147.176 81.68.225.56 154.8.146.181 179.93.149.17 165.22.216.228 81.71.135.159 152.231.93.130 170.254.226.157 167.114.185.237 65.49.196.138 51.38.135.250 101.133.235.161 124.156.103.155 51.195.42.58 18.216.112.210 94.55.126.2 195.223.211.242 157.230.55.192 104.131.13.185 106.12.114.101 129.144.9.93 123.207.19.105 124.239.153.215 154.211.12.167 138.99.7.75 146.59.153.189 40.80.89.113 146.56.198.246 164.90.210.8 49.89.157.20 138.68.140.190 114.239.30.62 193.123.228.215 27.111.44.196 106.110.218.52 51.75.19.175 106.110.198.45 159.65.30.66 49.89.77.24 50.254.136.133 114.239.30.235 119.29.155.214 104.131.16.72 68.183.97.244 181.209.159.166 42.192.152.72 123.207.92.183 167.172.106.237 49.234.43.224 106.52.96.107 101.36.179.145 61.155.233.227 49.233.34.9 118.24.118.97 81.68.120.181 161.97.146.25 111.229.219.39 103.147.4.49 180.76.171.20 200.142.124.30 106.12.199.117 182.92.166.64 181.40.122.2 49.234.84.58 188.166.250.201 202.72.243.198 36.48.145.242 49.232.112.204 121.123.94.97 138.68.255.120 42.192.83.239 178.62.6.215 202.188.20.126 113.31.117.196 91.232.4.149 146.56.206.116 109.228.168.80 112.196.54.35 103.94.6.69 111.19.198.4 193.239.178.91 161.35.26.90 106.51.76.223 178.128.15.57 49.235.8.95 180.76.150.139 49.234.28.149 106.12.202.180 83.13.74.14 218.11.10.252 118.27.106.230 106.12.112.4 140.143.31.157 106.75.214.198 223.223.194.101 51.195.116.201 51.83.68.203 157.230.2.208 211.159.148.181 46.101.103.148 159.75.38.169 120.92.141.241 111.229.187.216 120.132.105.211 49.232.143.159 118.25.129.131 139.199.74.92 1.179.185.50 114.97.240.65 36.110.27.122 121.121.220.201 128.199.52.4 178.62.63.15 101.68.78.194 103.240.79.40 139.199.45.83 46.101.173.231 106.53.238.111 142.93.52.3 188.166.16.36 159.203.165.122 122.51.168.254 180.167.225.118 68.183.132.72 119.45.239.67 111.161.74.100 149.129.181.48 68.183.108.46 210.245.92.204 46.5.98.133 122.51.56.87 178.128.199.106 167.99.226.56 170.106.159.113 68.183.88.186 190.144.182.86 119.45.206.87 154.8.136.57 51.15.216.255 63.88.57.202 128.199.102.242 115.159.200.183 119.84.144.54 119.45.242.37 122.51.52.109 154.85.44.200 50.115.168.140 152.67.9.207 45.184.24.5 101.33.123.67 157.245.54.200 122.228.2.3 40.115.79.44 27.128.173.81 107.182.191.188 162.204.50.89 31.31.216.170 120.53.227.85 223.240.65.72 107.180.106.60 140.238.246.239 68.183.148.159 106.75.147.233 58.87.84.31 101.33.118.239 187.248.75.226 182.156.209.222 124.152.118.194 189.209.7.168 167.172.38.238 106.15.193.147 62.28.222.221 206.189.46.85 103.119.92.107 193.112.208.73 182.74.25.246 128.199.143.157 119.28.113.246 119.6.253.56 104.248.138.120 49.7.164.140 106.12.102.210 138.197.213.192 103.156.179.201 81.70.208.33 213.39.55.13 165.227.225.195 91.121.86.22 106.52.239.66 167.99.143.45 206.189.35.67 64.227.100.165 115.159.158.72 155.94.138.158 124.160.96.249 202.29.239.161 159.203.84.241 103.100.159.206 159.75.21.36 77.247.94.131 201.116.233.90 188.166.211.179 116.62.216.238 81.69.12.243 52.249.217.193 178.128.12.65 203.195.141.177 64.225.25.59 59.111.103.165 103.136.40.17 120.132.68.57 106.12.7.40 201.163.180.183 161.35.227.204 81.71.3.99 121.4.112.248 150.95.31.150 47.112.116.126 167.71.127.113 68.183.221.177 103.100.209.118 118.27.21.129 106.13.229.67 106.54.112.173 120.48.21.252 93.125.114.97 103.50.205.186 142.93.138.116 81.70.213.240 167.172.252.132 49.233.173.136 103.129.222.171 81.70.173.185 59.152.62.40 200.73.130.213 51.254.100.56 128.199.152.105 139.59.72.206 200.233.163.65 119.45.105.184 70.37.75.157 95.216.167.136 139.186.73.140 146.59.155.106 122.202.32.70 106.13.72.139 178.128.248.121 212.64.3.194 8.210.206.62 162.243.232.174 192.144.236.197 103.40.242.32 121.152.221.196 140.210.92.82 120.53.118.140 159.89.202.95 49.233.4.31 49.235.124.111 178.234.37.197 165.22.217.96 49.234.235.35 152.32.186.240 170.245.200.100 121.4.213.118 42.192.50.24 101.36.127.150 153.36.233.60 112.64.33.38 119.28.55.81 151.80.119.61 145.239.85.21 117.196.195.60 180.169.76.210 119.115.26.125 111.231.202.118 159.65.127.239 140.143.201.190 119.63.84.130 106.13.228.207 111.229.147.84 119.115.19.30 129.211.107.163 103.205.5.176 198.211.121.90 182.61.144.110 81.156.142.165 138.68.50.30 153.127.63.142 128.199.89.136 47.93.118.104 1.193.160.164 68.183.22.85 61.148.17.146 42.193.102.205 49.235.122.137 101.32.44.108 142.93.8.99 142.93.3.47 54.38.185.131 86.170.111.228 175.24.152.35 188.166.4.178 178.176.224.36 81.68.75.34 119.45.137.52 51.75.140.38 121.4.51.174 118.190.148.25 49.233.117.199 161.35.118.14 87.170.34.35 106.75.254.114 211.218.192.149 119.97.252.154 106.55.149.162 49.235.146.95 200.91.192.60 159.89.48.31 107.173.149.104 114.67.95.121 138.197.194.141 102.164.61.237 119.29.85.229 103.75.34.219 189.79.92.125 180.151.56.119 149.202.189.5 159.203.188.141 49.235.249.185 111.229.85.157 111.19.157.70 129.226.188.130 27.254.206.238 182.75.115.59 104.248.181.156 138.68.72.167 113.108.195.242 222.175.223.74 110.78.208.28 157.245.5.202 120.53.225.81 134.122.124.193 111.231.140.184 45.117.168.152 180.109.37.226 175.24.103.72 106.52.12.21 188.166.218.105 167.71.117.84 49.235.221.66 101.231.146.36 134.175.55.212 195.29.51.134 175.24.107.175 142.44.160.40 129.28.103.85 180.76.234.185 212.52.131.9 161.53.232.83 178.62.199.240 190.145.81.37 81.70.193.181 101.251.219.115 42.5.100.215 194.152.206.93 164.90.217.167 153.121.33.107 42.59.39.81 81.68.80.98 114.67.95.61 51.77.215.227 128.199.128.169 221.214.74.10 115.159.112.66 222.122.31.133 222.185.241.130 202.110.125.135 118.89.164.55 115.159.157.154 120.53.10.40 119.29.163.13 103.100.159.204 117.69.30.26 132.232.117.103 150.158.175.66 157.230.45.3 45.55.134.210 49.232.221.213 175.24.123.25 157.122.149.18 218.201.133.86 193.112.127.245 157.245.252.154 133.167.95.209 171.244.137.147 181.49.42.30 112.216.3.211 119.147.42.82 119.28.156.31 49.235.74.192 190.146.13.180 189.54.45.74 119.28.100.102 193.148.71.14 130.61.255.187 185.165.175.52 121.46.244.194 183.56.167.10 128.199.249.246 181.115.156.59 150.185.9.190 187.18.108.73 46.61.247.131 189.7.25.246 114.86.148.152 51.79.51.246 51.79.206.29 81.70.32.28 51.254.129.128 139.199.23.233 201.33.167.234 114.67.106.197 170.106.50.166 149.56.12.88 162.14.23.147 62.234.22.200 181.143.10.148 129.226.175.92 61.181.80.253 77.109.173.12 106.12.213.89 183.111.96.44 103.10.87.54 144.34.178.90 104.248.13.213 51.195.219.254 45.251.33.187 27.69.189.171 119.45.172.85 85.187.158.15 95.79.45.205 106.120.75.98 115.238.62.154 209.141.61.29 52.130.93.83 138.68.75.113 188.166.185.157 106.53.207.227 180.151.58.108 203.129.218.76 95.169.5.166 51.158.171.117 159.65.147.235 113.111.231.89 45.158.199.156 197.5.145.102 146.185.130.101 189.50.97.242 138.197.129.38 103.245.181.2 172.80.195.104 117.50.119.23 178.128.127.62 43.128.20.17 129.146.250.102 144.48.227.75 103.63.108.25 45.119.82.251 142.93.65.9 175.162.5.8 189.57.73.18 95.182.123.194 210.12.168.79 150.158.163.228 119.96.158.238 47.156.24.46 101.32.204.190 159.65.176.156 190.210.182.179 45.231.132.52 91.134.13.250 198.12.118.97 36.66.151.17 82.65.23.62 60.191.134.34 138.219.100.78 201.210.154.252 123.140.114.196 107.170.104.125 121.225.24.235 201.210.43.5 168.138.47.40 187.191.96.60 51.159.67.187 112.16.211.200 159.89.172.207 122.248.37.50 150.95.25.165 178.128.105.135 23.95.231.154 128.199.11.84 106.13.81.111 118.24.255.210 157.245.108.35 47.97.119.237 143.92.47.107 211.184.187.129 180.250.124.227 177.184.75.130 122.51.83.195 123.207.251.54 106.13.140.138 115.71.239.208 118.89.78.206 162.243.237.90 176.174.199.40 138.197.178.159 139.219.111.150 81.68.93.5 27.50.63.7 139.155.252.63 128.199.2.81 103.242.3.134 223.223.176.184 118.192.101.108 187.207.179.113 45.55.167.87 101.33.118.38 106.53.219.165 51.75.255.250 157.230.63.81 119.188.3.66 104.248.159.69 165.22.99.216 187.188.90.141 91.121.108.159 119.45.148.171 109.86.187.241 204.44.76.132 31.20.193.52 160.251.8.225 91.121.65.15 178.33.216.187 106.13.9.244 202.153.37.194 139.59.186.178 51.159.70.22 119.29.170.170 81.68.223.9 106.52.105.178 106.52.130.172 112.31.56.247 81.68.251.58 81.68.105.55 91.210.224.196 49.232.72.13 150.109.120.152 42.200.78.78 201.116.3.194 120.92.149.231 45.186.248.135 194.38.108.57 51.68.215.178 144.217.162.194 177.73.3.206 152.32.201.49 123.19.129.66 117.2.22.85 54.38.243.187 49.135.39.149 47.105.36.164 167.71.228.31 49.135.33.10 175.193.13.3 157.230.229.23 175.125.94.166 52.231.92.23 68.183.12.127 106.55.240.252 106.13.99.107 49.232.153.92 114.100.116.216 121.4.121.128 210.112.232.29 81.68.135.238 177.10.164.105 190.187.240.84 1.193.176.14 66.45.232.18 103.45.191.202 221.213.129.46 159.65.152.201 138.68.254.64 200.46.22.187 73.98.38.135 106.52.28.75 103.150.142.118 151.236.193.195 206.172.233.212 201.217.159.155 95.85.8.215 119.45.193.78 116.4.10.38 164.100.6.145 54.39.50.204 120.236.105.190 165.22.48.140 201.48.246.26 152.136.130.227 47.75.52.4 150.158.163.46 123.206.51.192 185.59.139.99 157.230.232.67 180.114.178.28 45.55.41.113 180.114.178.164 120.53.237.161 49.235.76.225 117.84.58.123 121.4.207.159 180.113.64.94 180.114.150.227 81.70.240.53 49.233.69.138 118.25.79.235 49.234.69.205 106.12.199.30 47.93.97.47 111.229.221.142 123.207.52.90 110.175.128.62 222.175.62.130 118.190.60.24 120.151.90.157 61.133.232.252 61.133.232.253 61.133.232.250 61.133.232.248 61.133.232.254 61.133.232.251 58.56.140.62 124.95.143.135 190.128.64.133 218.89.222.16 192.168.1.218 192.168.1.57 211.26.187.128
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

FedoraUser

thierryR wrote:Bonjour. J'observe de drôles de choses dans mes logs.

févr. 03 11:54:55 localhost.localdomain sshd[2876]: Invalid user pp from 121.5.26.106 port 45600
févr. 03 11:54:55 localhost.localdomain sshd[2876]: pam_unix(sshd:auth): check pass; user unknown
févr. 03 11:54:55 localhost.localdomain sshd[2876]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.5.26.106
févr. 03 11:54:57 localhost.localdomain sshd[2876]: Failed password for invalid user pp from 121.5.26.106 port 45600 ssh2
févr. 03 11:55:00 localhost.localdomain sshd[2876]: Received disconnect from 121.5.26.106 port 45600:11: Bye Bye [preauth]

Serait une tentative d'intrusion ?

Région: Beijing
Pays: China
Ville: Beijing
latitude: 39.9289
longitude: 116.3883
Host: 121.5.26.106
IP: 121.5.26.106

Tu fais des achats sur Alibaba?
Tu utiilises une video surveillance? ( certains modeles de camera / commandes de portillon font des appels de mises à jour de leur logiciels, un peu comme windows ou whatsapp vers 2h du mat, en tout cas officiellement)

thierryR

Tu fais des achats sur Alibaba?

Non, mais il y a des ip d'un peu partout. Ce sont surement des PC craqués qui servent de base arrière à ce robot.
810 en prison actuellement.

FedoraUser

Si c est un Bot, regtarde si tu as un début de signature, genre procedure de test de port, ....

parfois c est mieux de le laisser rentrer et de le rediriger vers un lieu qui ne sert qu `a ca, puis tu regardes son fonctionnement, ca peut meme l arreter car il passe en deuxieme phase... du coup ca te le bloque quelques temps... sauf c est une attaque ciblée et pas un bot... là cette technique ne sert pas longtemps, mais ca te permet de casser les ips.

thierryR

Je n'ai malheureusement pas ton niveau. Je veux bien en apprendre avec toi, car ça me plairait bien de lui chatouiller les trous de nez.
Ou est ce qu'on peut récupérer un début de signature ?
Sur mon raspi il m'a bien flairé, car il est sur mon IP de connexion et il a même trouver le port pour entrer. Mais il n'a pas la clé....

FedoraUser

thierryR wrote:Je n'ai malheureusement pas ton niveau. Je veux bien en apprendre avec toi, car ça me plairait bien de lui chatouiller les trous de nez.
Ou est ce qu'on peut récupérer un début de signature ?
Sur mon raspi il m'a bien flairé, car il est sur mon IP de connexion et il a même trouver le port pour entrer. Mais il n'a pas la clé....

Oula, non je ne prétends à rien... pour moi la signature c est la facon dont il a fonctionné tu peux faire fonctionner une serie de tcpdump par exemple en filtrant certaines informations essentielles, et d autres plus generales... tu as des traces ainsi sur ce qui s est passé.

« Page précédente