Fedora-Fr - Communauté francophone Fedora - Linux

Communauté francophone des utilisateurs de la distribution Linux Fedora.

  

Dernière news : Fedora 34 n'est plus maintenu

#1 03/02/2021 13:46:05

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 880

tentative d'intrusion

Bonjour. J'observe de drôles de choses dans mes logs.

févr. 03 11:54:55 localhost.localdomain sshd[2876]: Invalid user pp from 121.5.26.106 port 45600
févr. 03 11:54:55 localhost.localdomain sshd[2876]: pam_unix(sshd:auth): check pass; user unknown
févr. 03 11:54:55 localhost.localdomain sshd[2876]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.5.26.106
févr. 03 11:54:57 localhost.localdomain sshd[2876]: Failed password for invalid user pp from 121.5.26.106 port 45600 ssh2
févr. 03 11:55:00 localhost.localdomain sshd[2876]: Received disconnect from 121.5.26.106 port 45600:11: Bye Bye [preauth]

Serait une tentative d'intrusion ?

Région: Beijing
Pays: China
Ville: Beijing
latitude: 39.9289
longitude: 116.3883
Host: 121.5.26.106
IP: 121.5.26.106

Dernière modification par thierryR (03/02/2021 13:49:00)


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.17.4-200.fc35.x86_64 bits: 64 Desktop: KDE Plasma 5.22.4
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#2 03/02/2021 13:57:20

Nicosss
Rédacteur Wiki
Rédacteur Wiki
Lieu : Isère
Inscription : 05/03/2007
Messages : 7 348
Site Web

Re : tentative d'intrusion

Oui !

Tu peux mettre en place une solution type Fail2ban pour palier aux insistants.

Sinon à voir si tu as besoin d'avoir un accès ssh depuis l'extérieur.


F35_64 Gnome-Shell - GA-990FXA-UD3 - Phenom II X6 1100T - NH-D14 - Ati HD 5750 Fanless - 16Go RAM /&/ F36_64 Gnome-Shell - Toshiba Satellite C660D-19X - 8Go RAM
F35_64 - ASRock 960GC-GS FX - AMD FX(tm)-8300 - 16Go RAM

Hors ligne

#3 03/02/2021 14:24:15

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 880

Re : tentative d'intrusion

Oui la connexion SSH me permet de prendre la main à distance. J'ai installé un fail2ban, mais sans paramètre particulier. J'ai donc les paramètres par défaut installé par fedora.  Est ce suffisant ?

Le paquet fail2ban-0.11.2-1.fc33.noarch est déjà installé.

Dernière modification par thierryR (03/02/2021 14:25:54)


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.17.4-200.fc35.x86_64 bits: 64 Desktop: KDE Plasma 5.22.4
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#4 03/02/2021 14:31:43

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 880

Re : tentative d'intrusion

En SSH: Est il possible d'installer une paire de clés RSA et interdire la connexion par password ? Car il semblerait que
UsePam = no
PasswordAuthentication = no
Avec ces 2 commandes l'entrée par mot de passe fonctionne quand même.

Dernière modification par thierryR (03/02/2021 14:43:08)


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.17.4-200.fc35.x86_64 bits: 64 Desktop: KDE Plasma 5.22.4
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#5 03/02/2021 15:58:38

Nicosss
Rédacteur Wiki
Rédacteur Wiki
Lieu : Isère
Inscription : 05/03/2007
Messages : 7 348
Site Web

Re : tentative d'intrusion

Tu as quels paquets fail2ban installés ?

$ rpm -qa fail2ban\*

Ensuite il va falloir activer tes jails que tu souhaites utiliser.

Tu sors ces informations de quel fichier pour les paramètres ?

Oui il est tout a fait possible de faire uniquement une authentification par clé pour les accès SSH. Tu trouveras pas mal de tutos sur le web.


F35_64 Gnome-Shell - GA-990FXA-UD3 - Phenom II X6 1100T - NH-D14 - Ati HD 5750 Fanless - 16Go RAM /&/ F36_64 Gnome-Shell - Toshiba Satellite C660D-19X - 8Go RAM
F35_64 - ASRock 960GC-GS FX - AMD FX(tm)-8300 - 16Go RAM

Hors ligne

#6 03/02/2021 16:15:07

fgland
Rédacteur Wiki
Rédacteur Wiki
Lieu : Lituanie
Inscription : 09/08/2004
Messages : 3 587

Re : tentative d'intrusion


F36, Kde/plasma (X11), ASUSTeK M5A78L-M/USB3, AMD FX-6300, NVIDIA GM107 [GeForce GTX 750 Ti], 8Go de mémoire

Hors ligne

#7 03/02/2021 16:52:41

Nicosss
Rédacteur Wiki
Rédacteur Wiki
Lieu : Isère
Inscription : 05/03/2007
Messages : 7 348
Site Web

Re : tentative d'intrusion

fgland a écrit :

Il faudrait revoir cet article aussi pour intégrer les chemins des fichiers de config dans les répertoires *.d/.


F35_64 Gnome-Shell - GA-990FXA-UD3 - Phenom II X6 1100T - NH-D14 - Ati HD 5750 Fanless - 16Go RAM /&/ F36_64 Gnome-Shell - Toshiba Satellite C660D-19X - 8Go RAM
F35_64 - ASRock 960GC-GS FX - AMD FX(tm)-8300 - 16Go RAM

Hors ligne

#8 03/02/2021 19:21:42

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 880

Re : tentative d'intrusion

Nicosss a écrit :

Tu as quels paquets fail2ban installés ?

$ rpm -qa fail2ban\*

Pour commencer après avoir installé une clé puis mis à no le UsePam et PasswordAuthentication

ssh isabelle
isabelle@sauvegarde's password: 
Warning: No xauth data; using fake authentication data for X11 forwarding.
Last login: Wed Feb  3 13:18:57 2021 from 193.57.124.63

Le password m'est redemandé. Donc la technique des clés ne sert pas.

Nicosss a écrit :

Ensuite il va falloir activer tes jails que tu souhaites utiliser.

Pas de configuration  jail à ma connaissance. Seul celle par défaut existe.
J'ai juste ajouté

bantime.multipliers = 1 5 30 60 300 720 1440 2880
Nicosss a écrit :

Tu sors ces informations de quel fichier pour les paramètres ?

/etc/ssh/sshd_config

Nicosss a écrit :

Oui il est tout a fait possible de faire uniquement une authentification par clé pour les accès SSH. Tu trouveras pas mal de tutos sur le web.

Oui je connais bien ce système et je l'utilise couremment. Avec mes raspberrys je n'ai que ça.
Mais avec les PC fedora, pas moyen de supprimer le mot de passe.
Je vais continuer de fouiller. Il y a peut-être un dossier *.d que je n'ai pas vu.

ls /etc/ss*
/etc/ssh:
moduli  ssh_config  ssh_config.d  sshd_config  sshd_config.d  ssh_host_ecdsa_key  ssh_host_ecdsa_key.pub  ssh_host_ed25519_key  ssh_host_ed25519_key.pub  ssh_host_rsa_key  ssh_host_rsa_key.pub

EDIT: Les attaques continuent depuis un petit nombre d'IP. C'est un robot qui insiste bêtement.

Dernière modification par thierryR (03/02/2021 19:49:12)


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.17.4-200.fc35.x86_64 bits: 64 Desktop: KDE Plasma 5.22.4
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#9 03/02/2021 21:15:14

fgland
Rédacteur Wiki
Rédacteur Wiki
Lieu : Lituanie
Inscription : 09/08/2004
Messages : 3 587

Re : tentative d'intrusion

par défaut, il n'y a pas de directive appliquée !
pour faire simple
éditer le fichier /etc/fail2ban/jail.conf
rechercher la partie des jails et pour sshd ajouter enabled = true

[sshd]
enabled = true

relancer avec

# systemctl restart fail2ban

ensuite

]# iptables -L

te permettra de voir les ip rejetées

en ne permettant l'accès qu'à un utilisateur au nom invraisemblable et mot de passe encore pire, il ne faut pas trop s'inquiéter de ces robots.

Gérard


F36, Kde/plasma (X11), ASUSTeK M5A78L-M/USB3, AMD FX-6300, NVIDIA GM107 [GeForce GTX 750 Ti], 8Go de mémoire

Hors ligne

#10 04/02/2021 19:47:37

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 880

Re : tentative d'intrusion

Merci Gérard. J'ai effectivement décommenter cette commande, mais je ne vois pas à quoi elle sert. Je cherche: https://reseau.developpez.com/tutoriels/fail2ban/

isabelle@pc-isabelle ~ $ sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
LIBVIRT_INP  all  --  anywhere             anywhere            

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
LIBVIRT_FWX  all  --  anywhere             anywhere            
LIBVIRT_FWI  all  --  anywhere             anywhere            
LIBVIRT_FWO  all  --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
LIBVIRT_OUT  all  --  anywhere             anywhere            

Chain LIBVIRT_FWI (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             192.168.122.0/24     ctstate RELATED,ESTABLISHED
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable

Chain LIBVIRT_FWO (1 references)
target     prot opt source               destination         
ACCEPT     all  --  192.168.122.0/24     anywhere            
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable

Chain LIBVIRT_FWX (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            

Chain LIBVIRT_INP (1 references)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootps
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:bootps

Chain LIBVIRT_OUT (1 references)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootpc
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:bootpc

J'ai ça:

 [root@pc-isabelle ~]# /usr/bin/fail2ban-client status
2021-02-04 19:03:33,283 fail2ban                [17050]: ERROR   Failed to access socket path: /var/run/fail2ban/fail2ban.sock. Is fail2ban running?

Je viens de trouver la bonne doc: https://doc.fedora-fr.org/wiki/SSH_:_Se … c_fail2ban
Je me demande si elle est bien à jour :

[root@pc-isabelle ~]# cat /var/log/secure.1 | grep "Failed password for root" --count
cat: /var/log/secure.1: Aucun fichier ou dossier de ce type
0

Et mon robot est toujours là. Ça ne lâche jamais l'affaire ?

Dernière modification par thierryR (04/02/2021 20:13:04)


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.17.4-200.fc35.x86_64 bits: 64 Desktop: KDE Plasma 5.22.4
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#11 04/02/2021 21:38:33

Nicosss
Rédacteur Wiki
Rédacteur Wiki
Lieu : Isère
Inscription : 05/03/2007
Messages : 7 348
Site Web

Re : tentative d'intrusion

La documentation n'est effectivement pas très à jour.
Ensuite tu n'as pas donné le retour des paquets installés.

Le fichier /etc/fail2ban/jail.conf n'est pas à modifier

# Changes:  in most of the cases you should not modify this
#           file, but provide customizations in jail.local file,
#           or separate .conf files under jail.d/ directory, e.g.:
#

Tu dois créer un fichier /etc/fail2ban/jail.d/01_ssh.conf par exemple qui contiendrait par exemple

# SSH servers
#

[sshd]

# To use more aggressive sshd modes set filter parameter "mode" in jail.local:
# normal (default), ddos, extra or aggressive (combines all).
# See "tests/files/logs/sshd" or "filter.d/sshd.conf" for usage example and details.
enabled = true
mode   = normal
port    = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s


[dropbear]

enabled = true
port     = ssh
logpath  = %(dropbear_log)s
backend  = %(dropbear_backend)s


[selinux-ssh]

enabled = true
port     = ssh
logpath  = %(auditd_log)s



# Jail for more extended banning of persistent abusers
# !!! WARNINGS !!!
# 1. Make sure that your loglevel specified in fail2ban.conf/.local
#    is not at DEBUG level -- which might then cause fail2ban to fall into
#    an infinite loop constantly feeding itself with non-informative lines
# 2. Increase dbpurgeage defined in fail2ban.conf to e.g. 648000 (7.5 days)
#    to maintain entries for failed logins for sufficient amount of time
[recidive]

enabled = true
logpath  = /var/log/fail2ban.log
banaction = %(banaction_allports)s
bantime  = 1w
findtime = 1d

Après avoir relancé le service tu pourras contrôler que ta jail est bien active

# fail2ban-client status sshd

Edit : Correction écriture enabled dans configuration

Dernière modification par Nicosss (05/02/2021 13:52:10)


F35_64 Gnome-Shell - GA-990FXA-UD3 - Phenom II X6 1100T - NH-D14 - Ati HD 5750 Fanless - 16Go RAM /&/ F36_64 Gnome-Shell - Toshiba Satellite C660D-19X - 8Go RAM
F35_64 - ASRock 960GC-GS FX - AMD FX(tm)-8300 - 16Go RAM

Hors ligne

#12 05/02/2021 13:15:46

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 880

Re : tentative d'intrusion

Me voici rebranché via ssh. J'ai fait ce que tu m'as dit, mais il me reste un souci.

isabelle@pc-isabelle /etc/fail2ban/jail.d $ sudo systemctl restart fail2ban

Attention Gérard: Mon fail2ban s'est retrouvé planté en décommentant la ligne que m'a indiqué ???

[sshd]
enabled = true

La solution de Nicosss semble bien passer.

sudo fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed: 5
|  |- Total failed:     42
|  `- Journal matches:  _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
   |- Currently banned: 6
   |- Total banned:     6
   `- Banned IP list:   64.227.46.1 51.210.243.134 82.156.86.184 128.199.140.157 193.112.98.79 37.187.113.47

Je trouve que ce petit fichier devrait être mis par défaut pour SSHD dans la distrib.


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.17.4-200.fc35.x86_64 bits: 64 Desktop: KDE Plasma 5.22.4
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#13 05/02/2021 13:44:50

VINDICATORs
RédactWikix and the graphicatorix!
Modérateur
Lieu : Toulouse(31) France
Inscription : 23/11/2004
Messages : 18 812
Site Web

Re : tentative d'intrusion

Perso je changerai le port du routeur pour le rediriger en interne sur le 22. Cela évite déjà pas mal de tentative.

J'ai pas mal modifié mon jail.local avec une autorisation des ip fiables et d'autres paramètres complémentaire (au niveau de http, pour les mails et autres exclusions des robots, ...).

Par contre ton histoire de mdp est bizarre.

Chez moi le = n'existe pas :

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no
PasswordAuthentication yes

Tu peux aussi changer de port interne, mais il faut penser à prévenir selinux.


AMD R7 5800x, MSI Pro Carbon X470, 64Go DDR4 3.6Ghz Kingston Renegarde C17, RX5700XT MSI OC, SSD : 1xPNY LXR8 1To + 1x970EVO 500Go + 2x500Go 860EVO, 3x1To 860EVO, HDD WD 2To + 4To Black, BeQuiet Dark 900 + Ppower 1kW plat
AMD R7 2700x + 32Go DDR4 3.2Ghz, 1xPNY LXR8 1To, 2x1To 860QVO, rx6500xt 4Go, BMT MBox Q300L
AMD R5 2600, 32Go DDR4 1.8Ghz, 1x250GO SSD, 3x 2To RAID5 WDBlue, 1030GT 2Go, BCubes Chieftec + AMD A6 9500, 16Go DDR4 2.1Ghz, SSD 250Go,3To Red

Hors ligne

#14 05/02/2021 13:48:54

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 880

Re : tentative d'intrusion

Bilan:
Il ne manque pas d'imagination ce robot. Il utilise de nouvelles IP ayant détecté qu'il était banni.

isabelle@pc-isabelle ~ $ journalctl -t sshd  -f
-- Logs begin at Thu 2021-01-28 14:38:12 CET. --
févr. 05 12:42:25 pc-isabelle sshd[12397]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=36.5.22.124
févr. 05 12:42:25 pc-isabelle sshd[12399]: Invalid user bd from 47.75.204.149 port 17236
févr. 05 12:42:25 pc-isabelle sshd[12399]: pam_unix(sshd:auth): check pass; user unknown
févr. 05 12:42:25 pc-isabelle sshd[12399]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=47.75.204.149
févr. 05 12:42:27 pc-isabelle sshd[12397]: Failed password for invalid user gw from 36.5.22.124 port 50166 ssh2
févr. 05 12:42:28 pc-isabelle sshd[12397]: Received disconnect from 36.5.22.124 port 50166:11: Bye Bye [preauth]
févr. 05 12:42:28 pc-isabelle sshd[12397]: Disconnected from invalid user gw 36.5.22.124 port 50166 [preauth]
févr. 05 12:42:28 pc-isabelle sshd[12399]: Failed password for invalid user bd from 47.75.204.149 port 17236 ssh2
févr. 05 12:42:29 pc-isabelle sshd[12399]: Received disconnect from 47.75.204.149 port 17236:11: Bye Bye [preauth]
févr. 05 12:42:29 pc-isabelle sshd[12399]: Disconnected from invalid user bd 47.75.204.149 port 17236 [preauth]
févr. 05 12:43:19 pc-isabelle sshd[12463]: Invalid user yaowenjing from 192.144.167.212 port 35556
févr. 05 12:43:19 pc-isabelle sshd[12463]: pam_unix(sshd:auth): check pass; user unknown
févr. 05 12:43:19 pc-isabelle sshd[12463]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.144.167.212
févr. 05 12:43:21 pc-isabelle sshd[12463]: Failed password for invalid user yaowenjing from 192.144.167.212 port 35556 ssh2
févr. 05 12:43:22 pc-isabelle sshd[12465]: Invalid user fxy from 120.53.243.163 port 36178
févr. 05 12:43:22 pc-isabelle sshd[12465]: pam_unix(sshd:auth): check pass; user unknown
févr. 05 12:43:22 pc-isabelle sshd[12465]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=120.53.243.163
févr. 05 12:43:22 pc-isabelle sshd[12463]: Received disconnect from 192.144.167.212 port 35556:11: Bye Bye [preauth]
févr. 05 12:43:22 pc-isabelle sshd[12463]: Disconnected from invalid user yaowenjing 192.144.167.212 port 35556 [preauth]
févr. 05 12:43:23 pc-isabelle sshd[12466]: Invalid user palge from 82.156.86.184 port 43410
févr. 05 12:43:23 pc-isabelle sshd[12466]: pam_unix(sshd:auth): check pass; user unknown
févr. 05 12:43:23 pc-isabelle sshd[12466]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=82.156.86.184
févr. 05 12:43:23 pc-isabelle sshd[12465]: Failed password for invalid user fxy from 120.53.243.163 port 36178 ssh2
févr. 05 12:43:24 pc-isabelle sshd[12465]: Received disconnect from 120.53.243.163 port 36178:11: Bye Bye [preauth]
févr. 05 12:43:24 pc-isabelle sshd[12465]: Disconnected from invalid user fxy 120.53.243.163 port 36178 [preauth]
févr. 05 12:43:26 pc-isabelle sshd[12466]: Failed password for invalid user palge from 82.156.86.184 port 43410 ssh2
févr. 05 12:43:29 pc-isabelle sshd[12466]: Received disconnect from 82.156.86.184 port 43410:11: Bye Bye [preauth]
févr. 05 12:43:29 pc-isabelle sshd[12466]: Disconnected from invalid user palge 82.156.86.184 port 43410 [preauth]

Le bannissement ne dure pas longtemps.

sudo fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed: 13
|  |- Total failed:     151
|  `- Journal matches:  _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
   |- Currently banned: 5
   |- Total banned:     22
   `- Banned IP list:   180.168.141.246 192.144.167.212 82.156.86.184 47.75.204.149 36.5.22.124

Je vais essayer de rajouter

bantime.multipliers = 1 5 30 60 300 720 1440 2880

si ça pouvait rallonger le bannissement de ceux qui insistent bêtement.


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.17.4-200.fc35.x86_64 bits: 64 Desktop: KDE Plasma 5.22.4
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#15 05/02/2021 13:51:12

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 880

Re : tentative d'intrusion

Pardon VINDICATORs, je n'ai pas rafraichit assez vite mon écran. Je regarde les  "="  et je reviens.


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.17.4-200.fc35.x86_64 bits: 64 Desktop: KDE Plasma 5.22.4
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#16 05/02/2021 13:55:50

cezame
Membre
Lieu : Arlon près du triangle BFL
Inscription : 24/10/2016
Messages : 458

Re : tentative d'intrusion

thierryR a écrit :

Bilan:
Il ne manque pas d'imagination ce robot. Il utilise de nouvelles IP ayant détecté qu'il était banni.


Je vais essayer de rajouter

bantime.multipliers = 1 5 30 60 300 720 1440 2880

si ça pouvait rallonger le bannissement de ceux qui insistent bêtement.

Dans un forum ils parlent de mettre carrément plusieurs jours de bannissement.

Hors ligne

#17 05/02/2021 14:26:26

VINDICATORs
RédactWikix and the graphicatorix!
Modérateur
Lieu : Toulouse(31) France
Inscription : 23/11/2004
Messages : 18 812
Site Web

Re : tentative d'intrusion

perso j'ai mis 1w = Une semaine tongue


AMD R7 5800x, MSI Pro Carbon X470, 64Go DDR4 3.6Ghz Kingston Renegarde C17, RX5700XT MSI OC, SSD : 1xPNY LXR8 1To + 1x970EVO 500Go + 2x500Go 860EVO, 3x1To 860EVO, HDD WD 2To + 4To Black, BeQuiet Dark 900 + Ppower 1kW plat
AMD R7 2700x + 32Go DDR4 3.2Ghz, 1xPNY LXR8 1To, 2x1To 860QVO, rx6500xt 4Go, BMT MBox Q300L
AMD R5 2600, 32Go DDR4 1.8Ghz, 1x250GO SSD, 3x 2To RAID5 WDBlue, 1030GT 2Go, BCubes Chieftec + AMD A6 9500, 16Go DDR4 2.1Ghz, SSD 250Go,3To Red

Hors ligne

#18 05/02/2021 14:32:21

fgland
Rédacteur Wiki
Rédacteur Wiki
Lieu : Lituanie
Inscription : 09/08/2004
Messages : 3 587

Re : tentative d'intrusion

thierryR a écrit :

Attention Gérard: Mon fail2ban s'est retrouvé planté en décommentant la ligne que m'a indiqué ???

remarque bien que je n'avais pas dit de décommenter mais d'ajouter car ce n'est pas au même endroit mais le fichier a pu changer
Modifier le jail.conf était comme indiqué une solution rapide mais déconseillée maintenant
Pour le ban, il ne faut pas avoir peur de mettre des jours...
il y a aussi findtime qui doit être cohérent avec le bantime...

Gérard


F36, Kde/plasma (X11), ASUSTeK M5A78L-M/USB3, AMD FX-6300, NVIDIA GM107 [GeForce GTX 750 Ti], 8Go de mémoire

Hors ligne

#19 05/02/2021 16:44:24

Nicosss
Rédacteur Wiki
Rédacteur Wiki
Lieu : Isère
Inscription : 05/03/2007
Messages : 7 348
Site Web

Re : tentative d'intrusion

fgland a écrit :
thierryR a écrit :

Attention Gérard: Mon fail2ban s'est retrouvé planté en décommentant la ligne que m'a indiqué ???

remarque bien que je n'avais pas dit de décommenter mais d'ajouter car ce n'est pas au même endroit mais le fichier a pu changer
Modifier le jail.conf était comme indiqué une solution rapide mais déconseillée maintenant
Pour le ban, il ne faut pas avoir peur de mettre des jours...
il y a aussi findtime qui doit être cohérent avec le bantime...

Gérard

Ainsi que la valeur de dbpurgeage sinon ça fonctionne moins bien. Surtout pour la jail recidive.


F35_64 Gnome-Shell - GA-990FXA-UD3 - Phenom II X6 1100T - NH-D14 - Ati HD 5750 Fanless - 16Go RAM /&/ F36_64 Gnome-Shell - Toshiba Satellite C660D-19X - 8Go RAM
F35_64 - ASRock 960GC-GS FX - AMD FX(tm)-8300 - 16Go RAM

Hors ligne

#20 05/02/2021 17:02:19

fgland
Rédacteur Wiki
Rédacteur Wiki
Lieu : Lituanie
Inscription : 09/08/2004
Messages : 3 587

Re : tentative d'intrusion

ce sont deux notions que je découvre...
Pourrais-tu remettre tout ça dans le wiki ?
Merci d'avance !


F36, Kde/plasma (X11), ASUSTeK M5A78L-M/USB3, AMD FX-6300, NVIDIA GM107 [GeForce GTX 750 Ti], 8Go de mémoire

Hors ligne

#21 05/02/2021 18:10:20

Nicosss
Rédacteur Wiki
Rédacteur Wiki
Lieu : Isère
Inscription : 05/03/2007
Messages : 7 348
Site Web

Re : tentative d'intrusion

fgland a écrit :

ce sont deux notions que je découvre...
Pourrais-tu remettre tout ça dans le wiki ?
Merci d'avance !

Effectivement, je viens de jeter un œil et il y a pas mal de choses à modifier. Je note dans ma liste.


F35_64 Gnome-Shell - GA-990FXA-UD3 - Phenom II X6 1100T - NH-D14 - Ati HD 5750 Fanless - 16Go RAM /&/ F36_64 Gnome-Shell - Toshiba Satellite C660D-19X - 8Go RAM
F35_64 - ASRock 960GC-GS FX - AMD FX(tm)-8300 - 16Go RAM

Hors ligne

#22 05/02/2021 19:33:48

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 880

Re : tentative d'intrusion

Est-il possible de prévoir une jail par défaut pour sshd ? ( Pour la version 34 ? )


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.17.4-200.fc35.x86_64 bits: 64 Desktop: KDE Plasma 5.22.4
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#23 05/02/2021 19:42:29

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 880

Re : tentative d'intrusion

J'ai une petite question: la bannissement intervient avant ou après SSHD
Je m'explique:

isabelle@pc-isabelle ~ $ sudo fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     0
|  `- Journal matches:  _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
   |- Currently banned: 2
   |- Total banned:     2
   `- Banned IP list:   101.33.118.38 119.45.203.170
isabelle@pc-isabelle ~ $ journalctl -t sshd  -f
-- Logs begin at Thu 2021-01-28 14:38:12 CET. --
févr. 05 18:32:01 pc-isabelle sshd[20192]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=101.33.118.38
févr. 05 18:32:03 pc-isabelle sshd[20192]: Failed password for invalid user ranger from 101.33.118.38 port 52592 ssh2
févr. 05 18:32:04 pc-isabelle sshd[20192]: Received disconnect from 101.33.118.38 port 52592:11: Bye Bye [preauth]
févr. 05 18:32:04 pc-isabelle sshd[20192]: Disconnected from invalid user ranger 101.33.118.38 port 52592 [preauth]
févr. 05 18:34:15 pc-isabelle sshd[20198]: Invalid user uw from 101.33.118.38 port 59782
févr. 05 18:34:15 pc-isabelle sshd[20198]: pam_unix(sshd:auth): check pass; user unknown
févr. 05 18:34:15 pc-isabelle sshd[20198]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=101.33.118.38
févr. 05 18:34:17 pc-isabelle sshd[20198]: Failed password for invalid user uw from 101.33.118.38 port 59782 ssh2
févr. 05 18:34:19 pc-isabelle sshd[20198]: Received disconnect from 101.33.118.38 port 59782:11: Bye Bye [preauth]
févr. 05 18:34:19 pc-isabelle sshd[20198]: Disconnected from invalid user uw 101.33.118.38 port 59782 [preauth]

On voit que malgré le bannissement SSHD intervient encore sur les mêmes IP


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.17.4-200.fc35.x86_64 bits: 64 Desktop: KDE Plasma 5.22.4
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#24 05/02/2021 19:48:58

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 880

Re : tentative d'intrusion

Que pensez vous de bannir les récidivistes  https://www1.zonewebmaster.eu/serveur-d … ecidiviste

Dernière modification par thierryR (05/02/2021 19:50:56)


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.17.4-200.fc35.x86_64 bits: 64 Desktop: KDE Plasma 5.22.4
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#25 05/02/2021 20:37:13

Nicosss
Rédacteur Wiki
Rédacteur Wiki
Lieu : Isère
Inscription : 05/03/2007
Messages : 7 348
Site Web

Re : tentative d'intrusion

thierryR a écrit :

Que pensez vous de bannir les récidivistes  https://www1.zonewebmaster.eu/serveur-d … ecidiviste

C'est ce que j'ai dit plus haut.


F35_64 Gnome-Shell - GA-990FXA-UD3 - Phenom II X6 1100T - NH-D14 - Ati HD 5750 Fanless - 16Go RAM /&/ F36_64 Gnome-Shell - Toshiba Satellite C660D-19X - 8Go RAM
F35_64 - ASRock 960GC-GS FX - AMD FX(tm)-8300 - 16Go RAM

Hors ligne

Pied de page des forums