tentative d'intrusion

thierryR · 03/02/2021 13:46:05

Bonjour. J'observe de drôles de choses dans mes logs.

févr. 03 11:54:55 localhost.localdomain sshd[2876]: Invalid user pp from 121.5.26.106 port 45600
févr. 03 11:54:55 localhost.localdomain sshd[2876]: pam_unix(sshd:auth): check pass; user unknown
févr. 03 11:54:55 localhost.localdomain sshd[2876]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.5.26.106
févr. 03 11:54:57 localhost.localdomain sshd[2876]: Failed password for invalid user pp from 121.5.26.106 port 45600 ssh2
févr. 03 11:55:00 localhost.localdomain sshd[2876]: Received disconnect from 121.5.26.106 port 45600:11: Bye Bye [preauth]

Serait une tentative d'intrusion ?

Région: Beijing
Pays: China
Ville: Beijing
latitude: 39.9289
longitude: 116.3883
Host: 121.5.26.106
IP: 121.5.26.106

Dernière modification par thierryR (03/02/2021 13:49:00)

Nicosss · 03/02/2021 13:57:20

Oui !

Tu peux mettre en place une solution type Fail2ban pour palier aux insistants.

Sinon à voir si tu as besoin d'avoir un accès ssh depuis l'extérieur.

thierryR · 03/02/2021 14:24:15

Oui la connexion SSH me permet de prendre la main à distance. J'ai installé un fail2ban, mais sans paramètre particulier. J'ai donc les paramètres par défaut installé par fedora. Est ce suffisant ?

Le paquet fail2ban-0.11.2-1.fc33.noarch est déjà installé.

Dernière modification par thierryR (03/02/2021 14:25:54)

thierryR · 03/02/2021 14:31:43

En SSH: Est il possible d'installer une paire de clés RSA et interdire la connexion par password ? Car il semblerait que
UsePam = no
PasswordAuthentication = no
Avec ces 2 commandes l'entrée par mot de passe fonctionne quand même.

Dernière modification par thierryR (03/02/2021 14:43:08)

Nicosss · 03/02/2021 15:58:38

Tu as quels paquets fail2ban installés ?

$ rpm -qa fail2ban\*

Ensuite il va falloir activer tes jails que tu souhaites utiliser.

Tu sors ces informations de quel fichier pour les paramètres ?

Oui il est tout a fait possible de faire uniquement une authentification par clé pour les accès SSH. Tu trouveras pas mal de tutos sur le web.

fgland · 03/02/2021 16:15:07

as-tu été voir : https://doc.fedora-fr.org/wiki/SSH_:_Au … on_par_clé
Gérard

Nicosss · 03/02/2021 16:52:41

fgland a écrit :

as-tu été voir : https://doc.fedora-fr.org/wiki/SSH_:_Au … on_par_clé

Il faudrait revoir cet article aussi pour intégrer les chemins des fichiers de config dans les répertoires *.d/.

thierryR · 03/02/2021 19:21:42

Nicosss a écrit :

Tu as quels paquets fail2ban installés ?
$ rpm -qa fail2ban\*

Pour commencer après avoir installé une clé puis mis à no le UsePam et PasswordAuthentication

ssh isabelle
isabelle@sauvegarde's password: 
Warning: No xauth data; using fake authentication data for X11 forwarding.
Last login: Wed Feb  3 13:18:57 2021 from 193.57.124.63

Le password m'est redemandé. Donc la technique des clés ne sert pas.

Nicosss a écrit :

Ensuite il va falloir activer tes jails que tu souhaites utiliser.

Pas de configuration jail à ma connaissance. Seul celle par défaut existe.
J'ai juste ajouté

bantime.multipliers = 1 5 30 60 300 720 1440 2880

Nicosss a écrit :

Tu sors ces informations de quel fichier pour les paramètres ?

/etc/ssh/sshd_config

Nicosss a écrit :

Oui il est tout a fait possible de faire uniquement une authentification par clé pour les accès SSH. Tu trouveras pas mal de tutos sur le web.

Oui je connais bien ce système et je l'utilise couremment. Avec mes raspberrys je n'ai que ça.
Mais avec les PC fedora, pas moyen de supprimer le mot de passe.
Je vais continuer de fouiller. Il y a peut-être un dossier *.d que je n'ai pas vu.

ls /etc/ss*
/etc/ssh:
moduli  ssh_config  ssh_config.d  sshd_config  sshd_config.d  ssh_host_ecdsa_key  ssh_host_ecdsa_key.pub  ssh_host_ed25519_key  ssh_host_ed25519_key.pub  ssh_host_rsa_key  ssh_host_rsa_key.pub

EDIT: Les attaques continuent depuis un petit nombre d'IP. C'est un robot qui insiste bêtement.

Dernière modification par thierryR (03/02/2021 19:49:12)

fgland · 03/02/2021 21:15:14

par défaut, il n'y a pas de directive appliquée !
pour faire simple
éditer le fichier /etc/fail2ban/jail.conf
rechercher la partie des jails et pour sshd ajouter enabled = true

[sshd]
enabled = true

relancer avec

# systemctl restart fail2ban

ensuite

]# iptables -L

te permettra de voir les ip rejetées

en ne permettant l'accès qu'à un utilisateur au nom invraisemblable et mot de passe encore pire, il ne faut pas trop s'inquiéter de ces robots.

Gérard

thierryR · 04/02/2021 19:47:37

Merci Gérard. J'ai effectivement décommenter cette commande, mais je ne vois pas à quoi elle sert. Je cherche: https://reseau.developpez.com/tutoriels/fail2ban/

isabelle@pc-isabelle ~ $ sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
LIBVIRT_INP  all  --  anywhere             anywhere            

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
LIBVIRT_FWX  all  --  anywhere             anywhere            
LIBVIRT_FWI  all  --  anywhere             anywhere            
LIBVIRT_FWO  all  --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
LIBVIRT_OUT  all  --  anywhere             anywhere            

Chain LIBVIRT_FWI (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             192.168.122.0/24     ctstate RELATED,ESTABLISHED
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable

Chain LIBVIRT_FWO (1 references)
target     prot opt source               destination         
ACCEPT     all  --  192.168.122.0/24     anywhere            
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable

Chain LIBVIRT_FWX (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            

Chain LIBVIRT_INP (1 references)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootps
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:bootps

Chain LIBVIRT_OUT (1 references)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootpc
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:bootpc

J'ai ça:

 [root@pc-isabelle ~]# /usr/bin/fail2ban-client status
2021-02-04 19:03:33,283 fail2ban                [17050]: ERROR   Failed to access socket path: /var/run/fail2ban/fail2ban.sock. Is fail2ban running?

Je viens de trouver la bonne doc: https://doc.fedora-fr.org/wiki/SSH_:_Se … c_fail2ban
Je me demande si elle est bien à jour :

[root@pc-isabelle ~]# cat /var/log/secure.1 | grep "Failed password for root" --count
cat: /var/log/secure.1: Aucun fichier ou dossier de ce type
0

Et mon robot est toujours là. Ça ne lâche jamais l'affaire ?

Dernière modification par thierryR (04/02/2021 20:13:04)

Nicosss · 04/02/2021 21:38:33

La documentation n'est effectivement pas très à jour.
Ensuite tu n'as pas donné le retour des paquets installés.

Le fichier /etc/fail2ban/jail.conf n'est pas à modifier

# Changes:  in most of the cases you should not modify this
#           file, but provide customizations in jail.local file,
#           or separate .conf files under jail.d/ directory, e.g.:
#

Tu dois créer un fichier /etc/fail2ban/jail.d/01_ssh.conf par exemple qui contiendrait par exemple

# SSH servers
#

[sshd]

# To use more aggressive sshd modes set filter parameter "mode" in jail.local:
# normal (default), ddos, extra or aggressive (combines all).
# See "tests/files/logs/sshd" or "filter.d/sshd.conf" for usage example and details.
enabled = true
mode   = normal
port    = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s


[dropbear]

enabled = true
port     = ssh
logpath  = %(dropbear_log)s
backend  = %(dropbear_backend)s


[selinux-ssh]

enabled = true
port     = ssh
logpath  = %(auditd_log)s



# Jail for more extended banning of persistent abusers
# !!! WARNINGS !!!
# 1. Make sure that your loglevel specified in fail2ban.conf/.local
#    is not at DEBUG level -- which might then cause fail2ban to fall into
#    an infinite loop constantly feeding itself with non-informative lines
# 2. Increase dbpurgeage defined in fail2ban.conf to e.g. 648000 (7.5 days)
#    to maintain entries for failed logins for sufficient amount of time
[recidive]

enabled = true
logpath  = /var/log/fail2ban.log
banaction = %(banaction_allports)s
bantime  = 1w
findtime = 1d

Après avoir relancé le service tu pourras contrôler que ta jail est bien active

# fail2ban-client status sshd

Edit : Correction écriture enabled dans configuration

Dernière modification par Nicosss (05/02/2021 13:52:10)

thierryR · 05/02/2021 13:15:46

Me voici rebranché via ssh. J'ai fait ce que tu m'as dit, mais il me reste un souci.

isabelle@pc-isabelle /etc/fail2ban/jail.d $ sudo systemctl restart fail2ban

Attention Gérard: Mon fail2ban s'est retrouvé planté en décommentant la ligne que m'a indiqué ???

[sshd]
enabled = true

La solution de Nicosss semble bien passer.

sudo fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed: 5
|  |- Total failed:     42
|  `- Journal matches:  _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
   |- Currently banned: 6
   |- Total banned:     6
   `- Banned IP list:   64.227.46.1 51.210.243.134 82.156.86.184 128.199.140.157 193.112.98.79 37.187.113.47

Je trouve que ce petit fichier devrait être mis par défaut pour SSHD dans la distrib.

VINDICATORs · 05/02/2021 13:44:50

Perso je changerai le port du routeur pour le rediriger en interne sur le 22. Cela évite déjà pas mal de tentative.

J'ai pas mal modifié mon jail.local avec une autorisation des ip fiables et d'autres paramètres complémentaire (au niveau de http, pour les mails et autres exclusions des robots, ...).

Par contre ton histoire de mdp est bizarre.

Chez moi le = n'existe pas :

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no
PasswordAuthentication yes

Tu peux aussi changer de port interne, mais il faut penser à prévenir selinux.

thierryR · 05/02/2021 13:48:54

Bilan:
Il ne manque pas d'imagination ce robot. Il utilise de nouvelles IP ayant détecté qu'il était banni.

isabelle@pc-isabelle ~ $ journalctl -t sshd  -f
-- Logs begin at Thu 2021-01-28 14:38:12 CET. --
févr. 05 12:42:25 pc-isabelle sshd[12397]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=36.5.22.124
févr. 05 12:42:25 pc-isabelle sshd[12399]: Invalid user bd from 47.75.204.149 port 17236
févr. 05 12:42:25 pc-isabelle sshd[12399]: pam_unix(sshd:auth): check pass; user unknown
févr. 05 12:42:25 pc-isabelle sshd[12399]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=47.75.204.149
févr. 05 12:42:27 pc-isabelle sshd[12397]: Failed password for invalid user gw from 36.5.22.124 port 50166 ssh2
févr. 05 12:42:28 pc-isabelle sshd[12397]: Received disconnect from 36.5.22.124 port 50166:11: Bye Bye [preauth]
févr. 05 12:42:28 pc-isabelle sshd[12397]: Disconnected from invalid user gw 36.5.22.124 port 50166 [preauth]
févr. 05 12:42:28 pc-isabelle sshd[12399]: Failed password for invalid user bd from 47.75.204.149 port 17236 ssh2
févr. 05 12:42:29 pc-isabelle sshd[12399]: Received disconnect from 47.75.204.149 port 17236:11: Bye Bye [preauth]
févr. 05 12:42:29 pc-isabelle sshd[12399]: Disconnected from invalid user bd 47.75.204.149 port 17236 [preauth]
févr. 05 12:43:19 pc-isabelle sshd[12463]: Invalid user yaowenjing from 192.144.167.212 port 35556
févr. 05 12:43:19 pc-isabelle sshd[12463]: pam_unix(sshd:auth): check pass; user unknown
févr. 05 12:43:19 pc-isabelle sshd[12463]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.144.167.212
févr. 05 12:43:21 pc-isabelle sshd[12463]: Failed password for invalid user yaowenjing from 192.144.167.212 port 35556 ssh2
févr. 05 12:43:22 pc-isabelle sshd[12465]: Invalid user fxy from 120.53.243.163 port 36178
févr. 05 12:43:22 pc-isabelle sshd[12465]: pam_unix(sshd:auth): check pass; user unknown
févr. 05 12:43:22 pc-isabelle sshd[12465]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=120.53.243.163
févr. 05 12:43:22 pc-isabelle sshd[12463]: Received disconnect from 192.144.167.212 port 35556:11: Bye Bye [preauth]
févr. 05 12:43:22 pc-isabelle sshd[12463]: Disconnected from invalid user yaowenjing 192.144.167.212 port 35556 [preauth]
févr. 05 12:43:23 pc-isabelle sshd[12466]: Invalid user palge from 82.156.86.184 port 43410
févr. 05 12:43:23 pc-isabelle sshd[12466]: pam_unix(sshd:auth): check pass; user unknown
févr. 05 12:43:23 pc-isabelle sshd[12466]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=82.156.86.184
févr. 05 12:43:23 pc-isabelle sshd[12465]: Failed password for invalid user fxy from 120.53.243.163 port 36178 ssh2
févr. 05 12:43:24 pc-isabelle sshd[12465]: Received disconnect from 120.53.243.163 port 36178:11: Bye Bye [preauth]
févr. 05 12:43:24 pc-isabelle sshd[12465]: Disconnected from invalid user fxy 120.53.243.163 port 36178 [preauth]
févr. 05 12:43:26 pc-isabelle sshd[12466]: Failed password for invalid user palge from 82.156.86.184 port 43410 ssh2
févr. 05 12:43:29 pc-isabelle sshd[12466]: Received disconnect from 82.156.86.184 port 43410:11: Bye Bye [preauth]
févr. 05 12:43:29 pc-isabelle sshd[12466]: Disconnected from invalid user palge 82.156.86.184 port 43410 [preauth]

Le bannissement ne dure pas longtemps.

sudo fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed: 13
|  |- Total failed:     151
|  `- Journal matches:  _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
   |- Currently banned: 5
   |- Total banned:     22
   `- Banned IP list:   180.168.141.246 192.144.167.212 82.156.86.184 47.75.204.149 36.5.22.124

Je vais essayer de rajouter

bantime.multipliers = 1 5 30 60 300 720 1440 2880

si ça pouvait rallonger le bannissement de ceux qui insistent bêtement.

thierryR · 05/02/2021 13:51:12

Pardon VINDICATORs, je n'ai pas rafraichit assez vite mon écran. Je regarde les "=" et je reviens.

cezame · 05/02/2021 13:55:50

thierryR a écrit :

Bilan:
Il ne manque pas d'imagination ce robot. Il utilise de nouvelles IP ayant détecté qu'il était banni.

Je vais essayer de rajouter
bantime.multipliers = 1 5 30 60 300 720 1440 2880
si ça pouvait rallonger le bannissement de ceux qui insistent bêtement.

Dans un forum ils parlent de mettre carrément plusieurs jours de bannissement.

VINDICATORs · 05/02/2021 14:26:26

perso j'ai mis 1w = Une semaine tongue

fgland · 05/02/2021 14:32:21

thierryR a écrit :

Attention Gérard: Mon fail2ban s'est retrouvé planté en décommentant la ligne que m'a indiqué ???

remarque bien que je n'avais pas dit de décommenter mais d'ajouter car ce n'est pas au même endroit mais le fichier a pu changer
Modifier le jail.conf était comme indiqué une solution rapide mais déconseillée maintenant
Pour le ban, il ne faut pas avoir peur de mettre des jours...
il y a aussi findtime qui doit être cohérent avec le bantime...

Gérard

Nicosss · 05/02/2021 16:44:24

fgland a écrit :

thierryR a écrit :
Attention Gérard: Mon fail2ban s'est retrouvé planté en décommentant la ligne que m'a indiqué ???
remarque bien que je n'avais pas dit de décommenter mais d'ajouter car ce n'est pas au même endroit mais le fichier a pu changer
Modifier le jail.conf était comme indiqué une solution rapide mais déconseillée maintenant
Pour le ban, il ne faut pas avoir peur de mettre des jours...
il y a aussi findtime qui doit être cohérent avec le bantime...
Gérard

Ainsi que la valeur de dbpurgeage sinon ça fonctionne moins bien. Surtout pour la jail recidive.

fgland · 05/02/2021 17:02:19

ce sont deux notions que je découvre...
Pourrais-tu remettre tout ça dans le wiki ?
Merci d'avance !

Nicosss · 05/02/2021 18:10:20

fgland a écrit :

ce sont deux notions que je découvre...
Pourrais-tu remettre tout ça dans le wiki ?
Merci d'avance !

Effectivement, je viens de jeter un œil et il y a pas mal de choses à modifier. Je note dans ma liste.

thierryR · 05/02/2021 19:33:48

Est-il possible de prévoir une jail par défaut pour sshd ? ( Pour la version 34 ? )

thierryR · 05/02/2021 19:42:29

J'ai une petite question: la bannissement intervient avant ou après SSHD
Je m'explique:

isabelle@pc-isabelle ~ $ sudo fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     0
|  `- Journal matches:  _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
   |- Currently banned: 2
   |- Total banned:     2
   `- Banned IP list:   101.33.118.38 119.45.203.170
isabelle@pc-isabelle ~ $ journalctl -t sshd  -f
-- Logs begin at Thu 2021-01-28 14:38:12 CET. --
févr. 05 18:32:01 pc-isabelle sshd[20192]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=101.33.118.38
févr. 05 18:32:03 pc-isabelle sshd[20192]: Failed password for invalid user ranger from 101.33.118.38 port 52592 ssh2
févr. 05 18:32:04 pc-isabelle sshd[20192]: Received disconnect from 101.33.118.38 port 52592:11: Bye Bye [preauth]
févr. 05 18:32:04 pc-isabelle sshd[20192]: Disconnected from invalid user ranger 101.33.118.38 port 52592 [preauth]
févr. 05 18:34:15 pc-isabelle sshd[20198]: Invalid user uw from 101.33.118.38 port 59782
févr. 05 18:34:15 pc-isabelle sshd[20198]: pam_unix(sshd:auth): check pass; user unknown
févr. 05 18:34:15 pc-isabelle sshd[20198]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=101.33.118.38
févr. 05 18:34:17 pc-isabelle sshd[20198]: Failed password for invalid user uw from 101.33.118.38 port 59782 ssh2
févr. 05 18:34:19 pc-isabelle sshd[20198]: Received disconnect from 101.33.118.38 port 59782:11: Bye Bye [preauth]
févr. 05 18:34:19 pc-isabelle sshd[20198]: Disconnected from invalid user uw 101.33.118.38 port 59782 [preauth]

On voit que malgré le bannissement SSHD intervient encore sur les mêmes IP

thierryR · 05/02/2021 19:48:58

Que pensez vous de bannir les récidivistes https://www1.zonewebmaster.eu/serveur-d … ecidiviste

Dernière modification par thierryR (05/02/2021 19:50:56)

Nicosss · 05/02/2021 20:37:13

thierryR a écrit :

Que pensez vous de bannir les récidivistes https://www1.zonewebmaster.eu/serveur-d … ecidiviste

C'est ce que j'ai dit plus haut.

Fedora-Fr - Communauté francophone Fedora - Linux

#1 03/02/2021 13:46:05

tentative d'intrusion

#2 03/02/2021 13:57:20

Re : tentative d'intrusion

#3 03/02/2021 14:24:15

Re : tentative d'intrusion

#4 03/02/2021 14:31:43

Re : tentative d'intrusion

#5 03/02/2021 15:58:38

Re : tentative d'intrusion

#6 03/02/2021 16:15:07

Re : tentative d'intrusion

#7 03/02/2021 16:52:41

Re : tentative d'intrusion

#8 03/02/2021 19:21:42

Re : tentative d'intrusion

#9 03/02/2021 21:15:14

Re : tentative d'intrusion

#10 04/02/2021 19:47:37

Re : tentative d'intrusion

#11 04/02/2021 21:38:33

Re : tentative d'intrusion

#12 05/02/2021 13:15:46

Re : tentative d'intrusion

#13 05/02/2021 13:44:50

Re : tentative d'intrusion

#14 05/02/2021 13:48:54

Re : tentative d'intrusion

#15 05/02/2021 13:51:12

Re : tentative d'intrusion

#16 05/02/2021 13:55:50

Re : tentative d'intrusion

#17 05/02/2021 14:26:26

Re : tentative d'intrusion

#18 05/02/2021 14:32:21

Re : tentative d'intrusion

#19 05/02/2021 16:44:24

Re : tentative d'intrusion

#20 05/02/2021 17:02:19

Re : tentative d'intrusion

#21 05/02/2021 18:10:20

Re : tentative d'intrusion

#22 05/02/2021 19:33:48

Re : tentative d'intrusion

#23 05/02/2021 19:42:29

Re : tentative d'intrusion

#24 05/02/2021 19:48:58

Re : tentative d'intrusion

#25 05/02/2021 20:37:13

Re : tentative d'intrusion

Pied de page des forums