tentative d'intrusion

thierryR · 05/02/2021 22:17:29

Je ne suis pas compétent dans ce domaine,même si ça m'intéresse; mais pour le post #23 t'en penses quoi ?

Nicosss · 07/02/2021 11:35:57

thierryR a écrit :

Je ne suis pas compétent dans ce domaine,même si ça m'intéresse; mais pour le post #23 t'en penses quoi ?

Pour la 3ème fois que retourne

$ rpm -qa fail2ban\*

thierryR · 07/02/2021 13:51:38

Avec mes excuses.

isabelle@pc-isabelle ~ $  rpm -qa fail2ban\*
fail2ban-selinux-0.11.2-1.fc33.noarch
fail2ban-server-0.11.2-1.fc33.noarch
fail2ban-firewalld-0.11.2-1.fc33.noarch
fail2ban-sendmail-0.11.2-1.fc33.noarch
fail2ban-0.11.2-1.fc33.noarch

EDIT:

isabelle@pc-isabelle ~ $ sudo fail2ban-client status sshd
[sudo] Mot de passe de isabelle : 
Status for the jail: sshd
|- Filter
|  |- Currently failed: 2
|  |- Total failed:     245
|  `- Journal matches:  _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
   |- Currently banned: 3
   |- Total banned:     38
   `- Banned IP list:   177.170.163.251 140.238.246.239 58.33.49.196

38 IP bannies mais en fait seulement 3 retenues et pour pas longtemps.
Comme j'ai encore le robot, si tu veux que je fasse des essais, je suis à ta disposition. Pour ma part, malgré ma bonne volonté, je ne suis pas compétent pour travailler ce sujet.

REEDIT:
J'ai ajouté une commande. J'ai l'impression qu'elle ne sert à rien, à moins qu'elle soit mal placée.

isabelle@pc-isabelle ~ $ sudo nano /etc/fail2ban/jail.d/01_ssh.conf
[sshd]

# To use more aggressive sshd modes set filter parameter "mode" in jail.local:
# normal (default), ddos, extra or aggressive (combines all).
# See "tests/files/logs/sshd" or "filter.d/sshd.conf" for usage example and details.
enabled = true
mode   = normal
port    = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s
bantime.multipliers = 1 5 30 60 300 720 1440 2880

[dropbear]

enbaled = true
port     = ssh
logpath  = %(dropbear_log)s
backend  = %(dropbear_backend)s

Dernière modification par thierryR (07/02/2021 15:27:02)

Nicosss · 07/02/2021 22:06:02

Tu peux installer le paquet fail2ban-systemd afin d'utiliser le journal de systemd.

Dans le fichier /etc/fail2ban/jail.d/01_ssh.conf, il faut corriger enbaled = true par enabled = true pour la jail [dropbear] (c'était une erreur de ma part).

Pour ce qui est de bantime.multipliers, tu peux faire une copie de /etc/fail2ban/jail.conf en /etc/fail2ban/jail.local puis retirer les # devant bantime.factor = 1 et bantime.multipliers = 1 5 30 60 300 720 1440 2880.

Ensuite tu peux ajouter la jail [recidive] comme parlé plus haut à la fin de ton fichier /etc/fail2ban/jail.d/01_ssh.conf.

# Jail for more extended banning of persistent abusers
# !!! WARNINGS !!!
# 1. Make sure that your loglevel specified in fail2ban.conf/.local
#    is not at DEBUG level -- which might then cause fail2ban to fall into
#    an infinite loop constantly feeding itself with non-informative lines
# 2. Increase dbpurgeage defined in fail2ban.conf to e.g. 648000 (7.5 days)
#    to maintain entries for failed logins for sufficient amount of time
[recidive]

enabled = true
logpath  = /var/log/fail2ban.log
banaction = %(banaction_allports)s
bantime  = 1w
findtime = 1d

Il faudra en outre faire une copie de /etc/fail2ban/fail2ban.conf en /etc/fail2ban/fail2ban.local puis modifier la valeur de dbpurge de 24 h à 7,5 jours dans ce denier

dbpurgeage = 7.5d

thierryR · 08/02/2021 12:40:24

Merci Nicosss. Etant en mode apprentissage, j'ai des questions de newbies à te poser.
J'ai fait une copie de /etc/fail2ban/jail.conf en /etc/fail2ban/jail.d/jail.local et pas en /etc/fail2ban/jail.local , car il me semble que les fichiers modifiés par l'utilisateur se mettent en .d .
En même temps les .d ne devraient pas être écrasés par une mise à jour.

Dans ce fichier j'ai trouvé bantime.factor = 1 et bantime.multipliers = 1 5 30 60 300 720 1440 2880. Pas de problème.Je les ai décommentés.
Dans le même fichier je trouve [recidive]. Est-il nécessaire de recopier les mêmes données dans le fichier 01_ssh.conf ?
Ce n'est pas de la mauvaise volonté de ma part, mais c'est pour bien comprendre.
Merci de ton aide.

Dernière modification par thierryR (08/02/2021 13:08:54)

thierryR · 08/02/2021 12:49:41

Dans l'observation je vois:

isabelle@pc-isabelle ~ $ sudo fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed: 3
|  |- Total failed:     10
|  `- Journal matches:  _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
   |- Currently banned: 6
   |- Total banned:     8
   `- Banned IP list:   106.12.217.204 134.175.244.158 139.155.251.145 154.8.195.36 188.166.210.204 203.195.204.122

isabelle@pc-isabelle ~ $ sudo fail2ban-client status sshd
[sudo] Mot de passe de isabelle : 
Status for the jail: sshd
|- Filter
|  |- Currently failed: 12
|  |- Total failed:     92
|  `- Journal matches:  _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
   |- Currently banned: 14
   |- Total banned:     24
   `- Banned IP list:   112.196.26.202 188.166.210.204 139.59.22.107 113.31.147.54 116.196.94.108 103.75.34.218 203.195.204.122 106.12.217.204 154.83.14.60 154.8.195.36 134.175.244.158 139.155.251.145 117.80.119.63 14.227.12.7

Je ne comprends pas la différence entre filter et Actions
Pour moi seul les IP montrées sont stoppées. Je ne vois pas à quoi sert filter.

Dernière modification par thierryR (08/02/2021 13:00:02)

Nicosss · 08/02/2021 14:54:32

Je ne me suis pas trompé et il faut bien laisser les fichiers en .local au même endroit, voir https://github.com/fail2ban/fail2ban/wi … figuration.

Oui, tu peux recopier des sections dans tes fichiers que tu places cette fois dans le répertoire /etc/fail2ban/jail.d/. Tu peux donner des noms de fichiers différents selon le type de surveillance que tu souhaites.

Tu as une jail qui utilises des filtres et ces filtres ont des actions, voir https://github.com/fail2ban/fail2ban/wi … 2ban-works. Tu peux aussi te balader dans les répertoires filter.d et action.d afin de voir comment sont construites chaque règles.

thierryR · 08/02/2021 22:04:17

On peut faire du banissement sans limite. wink

bantime = -1

En recopiant le fichier jail.conf en jail.local, on pourrait se passer du dossier jail.d, tu ne trouves pas ?
J'ai trouvé un beau site bien expliqué.
https://translate.google.com/translate? … ch&pto=aue Ça peut être utile pour la doc .

Dernière modification par thierryR (08/02/2021 22:08:24)

thierryR · 09/02/2021 12:15:48

J'ai ajouté ceci:

banaction = iptables-multiport

Ce qui donne:

sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
f2b-sshd   tcp  --  anywhere             anywhere             multiport dports ssh
LIBVIRT_INP  all  --  anywhere             anywhere            

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
LIBVIRT_FWX  all  --  anywhere             anywhere            
LIBVIRT_FWI  all  --  anywhere             anywhere            
LIBVIRT_FWO  all  --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
LIBVIRT_OUT  all  --  anywhere             anywhere            

Chain LIBVIRT_FWI (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             192.168.122.0/24     ctstate RELATED,ESTABLISHED
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable

Chain LIBVIRT_FWO (1 references)
target     prot opt source               destination         
ACCEPT     all  --  192.168.122.0/24     anywhere            
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable

Chain LIBVIRT_FWX (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            

Chain LIBVIRT_INP (1 references)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootps
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:bootps

Chain LIBVIRT_OUT (1 references)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootpc
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:bootpc

Chain f2b-sshd (1 references)
target     prot opt source               destination         
REJECT     all  --  24-54-15-51.instances.scw.cloud  anywhere             reject-with icmp-port-unreachable
REJECT     all  --  61.133.122.19        anywhere             reject-with icmp-port-unreachable
REJECT     all  --  134.13.201.202.in-addr.arpa  anywhere             reject-with icmp-port-unreachable
REJECT     all  --  119.73.179.114       anywhere             reject-with icmp-port-unreachable
REJECT     all  --  49.232.62.214        anywhere             reject-with icmp-port-unreachable
REJECT     all  --  202.179.185.130      anywhere             reject-with icmp-port-unreachable
REJECT     all  --  host191.186-122-149.telmex.net.ar  anywhere             reject-with icmp-port-unreachable
REJECT     all  --  109.116.41.238       anywhere             reject-with icmp-port-unreachable
REJECT     all  --  pppoe-151-252-105-151.clients.kubtel.ru  anywhere             reject-with icmp-port-unreachable
REJECT     all  --  124.156.150.83       anywhere             reject-with icmp-port-unreachable
REJECT     all  --  121.4.136.65         anywhere             reject-with icmp-port-unreachable
REJECT     all  --  128.199.123.0        anywhere             reject-with icmp-port-unreachable
REJECT     all  --  54033B85.catv.pool.telekom.hu  anywhere             reject-with icmp-port-unreachable
REJECT     all  --  171.111.153.216      anywhere             reject-with icmp-port-unreachable
REJECT     all  --  118.40.248.20        anywhere             reject-with icmp-port-unreachable
REJECT     all  --  vps-78815a29.vps.ovh.net  anywhere             reject-with icmp-port-unreachable
REJECT     all  --  46.101.245.176       anywhere             reject-with icmp-port-unreachable
REJECT     all  --  2.ip-158-69-222.net  anywhere             reject-with icmp-port-unreachable
REJECT     all  --  115.159.85.147       anywhere             reject-with icmp-port-unreachable
REJECT     all  --  106.55.240.205       anywhere             reject-with icmp-port-unreachable
REJECT     all  --  46x146x136x8.static-business.perm.ertelecom.ru  anywhere             reject-with icmp-port-unreachable
REJECT     all  --  27.71.228.25         anywhere             reject-with icmp-port-unreachable
REJECT     all  --  36.155.113.40        anywhere             reject-with icmp-port-unreachable
REJECT     all  --  149.185.220.60.adsl-pool.sx.cn  anywhere             reject-with icmp-port-unreachable
REJECT     all  --  4.7.94.244           anywhere             reject-with icmp-port-unreachable
REJECT     all  --  49.232.9.144         anywhere             reject-with icmp-port-unreachable
REJECT     all  --  140.143.207.57       anywhere             reject-with icmp-port-unreachable
REJECT     all  --  20.194.50.237        anywhere             reject-with icmp-port-unreachable
RETURN     all  --  anywhere             anywhere

Nicosss · 09/02/2021 14:48:40

Tu commences à faire pleins de mélanges.

Pour un certain confort il faut placer tes fichiers dans jail.d, c'est plus simple pour gérer finement sinon tous les paramètres s'appliquent à toutes les jails.

Ensuite sous Fedora il faut utiliser systemd journald et firewalld.

Edit : Correction pour les journaux

Dernière modification par Nicosss (10/02/2021 06:13:49)

thierryR · 09/02/2021 18:34:43

Nicosss a écrit :

Tu commences à faire pleins de mélanges.

Je n'en doute pas. Je suis là pour apprendre.

Nicosss a écrit :

Pour un certain confort il faut placer tes fichiers dans jail.d, c'est plus simple pour gérer finement sinon tous les paramètres s'appliquent à toutes les jails.

Ben là, c'est la question de newbie que je t'avais posé, mais tu m'as fait une autre réponse. Modifier un .local dans jail me semble confu, mais mettre tous les fichiers modifier en .d, pour moi, ça me semble plus clair.
En même temps, si on s'amuse à sauvegarder tous les .d on récupère nos paramètres spécifiques par la même occasion.

Nicosss a écrit :

Ensuite sous Fedora il faut utiliser systemd et firewalld.

Là, je ne vois pas ce que tu veux dire.

Nicosss · 09/02/2021 21:27:24

Bon je vais essayer d'être plus clair du coup.

A partir du moment où tu veux modifier un fichier .conf pour les paramètres (et non les jails) alors il faut faire un .local. Pourquoi ? Parce que suite à une mise à jour des paquets tu vas perdre tes modifications.

Ensuite, il faut mettre les jails que tu veux activer dans des fichiers dans le répertoire jail.d. Pourquoi ? Parce que tu peux rapidement voir ce qui est actif par type de service à protéger et que tu peux définir des paramètres dédiés pour chaque jail selon le besoin. Par exemple bantime ou findtime différent selon les jails.

Sous Fedora les journaux systèmes et applicatifs sont gérés par journald (erreur de ma part quand j'ai écrit systemd à la place) donc il faut baser les filtres sur lui. Il se peut que certaines applications utilisent leur journal qui contiendra des informations plus détaillées, c'est pour ça qu'il faut regarder sur le système ce qui est présent ou non et pertinent.

Sous Fedora le pare-feu est géré par firewalld donc tes actions doivent l'utiliser afin d'éviter des rétro-compatibilités qui ne dureront pas.

thierryR · 12/02/2021 09:48:25

A notre époque les attaques se multiplient partout. Je crois que la sécurité ne doit pas être un vain mot, même pour un particulier. J'ai ici une attaque en force brut, mais il y en a d'autres. Il va falloir faire une page wiki dédiée à la protection et la sécurité. Des règles de bases devront être exprimées. SSH, Fail2ban, firewall, mais il y a aussi les rootkits, et toutes ces saloperies qu'on trouve au fond d'un mail. Surtout ne pas dire: "Moi, je n'ai rien à cacher". Certes, on ne voudrait pas non plus que notre machine deviennent une base arrière pour des crackeurs. On ne demande pas la police à notre porte... La protection au XXIe siècles est capital. Le sujet demande une réflexion de fond, dans les hautes instances de Fedora.
Et pourquoi pas faire un RPM "sécurité" qui va installer tous les bons outils pour un newbie.

nouvo09 · 12/02/2021 12:22:08

Et pourquoi pas faire un RPM "sécurité" qui va installer tous les bons outils pour un newbie.

Bravo et puisque tu le proposes si gentiment merci de t'y coller.

thierryR · 12/02/2021 12:53:56

T'as peur de rien.... T'as vu mon niveau?

nouvo09 · 12/02/2021 18:57:17

C'était un joke.

Nicosss · 12/02/2021 21:32:43

La sécurité n'est pas quelque chose qui n'est pas pris en compte chez Fedora.

Il y a déjà de base plusieurs mécanismes qui sont activés pour quelqu'un qui installe une version Workstation.

L'utilisateur root qui n'a pas de mot de passe déclaré donc ça va être compliqué d'y accéder par un couple root/mdp.
L'utilisateur déclaré n'a des droits administrateur limités que par élévation des privilèges via sudo et par la saisie de son mot de passe. De base il n'utilisera jamais sudo, même pas sûr qu'il connaisse l'existence de la commande smile
SELinux qui est activé en mode enforcing.
Polkit qui gère finement les droits pour les interactions avec des services privilégiés du système sans élévation de privilège administrateur.
Firewalld, le pare-feu, qui est activé par défaut en zone FedoraWorkstation.
L'accès SSH qui n'est pas activé, l'utilisateur peut l'activer directement dans les paramètres mais de ce fait il doit aussi savoir à quoi il s'expose.

Voilà comme ça rapidement ce qui me passe par la tête, donc après c'est du plus pour quelqu'un qui va avoir une utilisation serveur et donc exposer des ports et services derrières.

La première protection reste de connaitre ce que l'on utilise et comment ça fonctionne, mais pour ça il faut prendre le temps de lire des documentations.

Ensuite, tu as des attaques à l'aveugle avec des utilisateurs au pif et des mots de passe associés selon ce qui a pu fuiter, même pas sûr que ton ton root s'il venait à exister soit visé. Bienvenue sur internet hammer

thierryR · 13/02/2021 00:50:51

Effectivement , vu comme ça, c'est rassurant. Merci.
Mais ce robot a réussi à passer la box SFR, trouver la règle NAT, et attaqué un PC derrière. C'est déjà for! Ou alors, il n'y a aucune protection sur ce genre de box.

Dernière modification par thierryR (13/02/2021 00:51:46)

Nicosss · 13/02/2021 06:39:35

thierryR a écrit :

Effectivement , vu comme ça, c'est rassurant. Merci.
Mais ce robot a réussi à passer la box SFR, trouver la règle NAT, et attaqué un PC derrière. C'est déjà for! Ou alors, il n'y a aucune protection sur ce genre de box.

Tu peux détailler un peu plus ?

nouvo09 · 13/02/2021 09:55:49

thierryR a écrit :

Ou alors, il n'y a aucune protection sur ce genre de box.

Mais ça c'est à toi de le vérifier. Entre dans la configuration de la box et explore.

thierryR · 15/02/2021 00:14:08

@nicosss: La liaison SSH que j’établis avec cet ordinateur est en dehors de mon LAN. Je passe par internet après avoir établi des règles NAT sur la box de destination (SFR) et rejoindre le PC attaqué. Le port 22 n'existe pas sur internet. C'est la box qui fait la redirection. Le robot a trouvé une IP à attaquer, puis il a trouvé le port d'entrée NATé pour se retrouver à la porte de l'ordinateur. Visiblement il n'y a pas grand chose en protection sur cette box. Un simple fail2ban aurait déjà du éviter cette attaque directe sur un PC sur un LAN privé. SFR ne repère pas le trafic et toutes ces IP qui passent.

@nouvo09: C'est effectivement une précaution à prendre, mais je pensais qu'une grosse boite comme SFR gérait par elle même la protection de ses abonnés. Comme quoi les idées reçues ....

Dernière modification par thierryR (15/02/2021 00:17:19)

nouvo09 · 15/02/2021 09:21:32

Comme quoi les idées reçues ....

Ou inventées.

Nicosss · 15/02/2021 14:22:45

thierryR a écrit :

@nicosss: La liaison SSH que j’établis avec cet ordinateur est en dehors de mon LAN. Je passe par internet après avoir établi des règles NAT sur la box de destination (SFR) et rejoindre le PC attaqué. Le port 22 n'existe pas sur internet. C'est la box qui fait la redirection. Le robot a trouvé une IP à attaquer, puis il a trouvé le port d'entrée NATé pour se retrouver à la porte de l'ordinateur. Visiblement il n'y a pas grand chose en protection sur cette box. Un simple fail2ban aurait déjà du éviter cette attaque directe sur un PC sur un LAN privé. SFR ne repère pas le trafic et toutes ces IP qui passent.
@nouvo09: C'est effectivement une précaution à prendre, mais je pensais qu'une grosse boite comme SFR gérait par elle même la protection de ses abonnés. Comme quoi les idées reçues ....

J'ai bien compris le concept de la règle NAT dans la Box mais c'était pour savoir si tu utilisais un autre port.
"Le port 22 n'existe pas sur internet." -> Ah bon ?

Les robots scannent les ports d'IP puis quand ça répond, ça lance les scripts de connexions.

Les FAI ne veulent pas perdre de temps en développement pour des fonctionnalités qui ne servent qu'à quelques personnes et risquent de complexifier leur maintenance.

SFR s'en fout comme les autres, il sont juste là pour te fournir un accès à internet et surtout te vendre pleins d'options, services, etc. Le côté sécurité c'est surtout pour eux afin de ne pas se faire exploiter leurs Box.

thierryR · 15/02/2021 14:58:42

Merci Nicosss, tu éclaires bien ma lanterne. Quand je disais "Le port 22 n'existe pas sur internet." c'est juste dans ce que j'ai mis en place.
Pour les box, il faut donc considérer que rien n'existe. C'est dur à entendre quand on pense qu'elle doit protéger notre LAN. Du coup les tablettes et téléphone deviennent très vulnérables. Donc dans l'idéal, il faudrait placer un routeur perso qu'on équiperait d'un max de protection ?

Nicosss · 15/02/2021 16:52:49

Après tu peux déployer une solution type pfSense pour mettre en tête ou il existe d'autres solutions propriétaires aussi dont des matériels.

Je te dirais que c'est déjà pas mal ce qui peut être fourni par certaines Box pour ce qui est de la partie réseau. Combien de personnes savent qu'ils ont une interface avec leur Box et la possibilité de faire des réglages qu'ils comprennent ?

En attendant Fail2ban fait le job aussi.

Fedora-Fr - Communauté francophone Fedora - Linux

#26 05/02/2021 22:17:29

Re : tentative d'intrusion

#27 07/02/2021 11:35:57

Re : tentative d'intrusion

#28 07/02/2021 13:51:38

Re : tentative d'intrusion

#29 07/02/2021 22:06:02

Re : tentative d'intrusion

#30 08/02/2021 12:40:24

Re : tentative d'intrusion

#31 08/02/2021 12:49:41

Re : tentative d'intrusion

#32 08/02/2021 14:54:32

Re : tentative d'intrusion

#33 08/02/2021 22:04:17

Re : tentative d'intrusion

#34 09/02/2021 12:15:48

Re : tentative d'intrusion

#35 09/02/2021 14:48:40

Re : tentative d'intrusion

#36 09/02/2021 18:34:43

Re : tentative d'intrusion

#37 09/02/2021 21:27:24

Re : tentative d'intrusion

#38 12/02/2021 09:48:25

Re : tentative d'intrusion

#39 12/02/2021 12:22:08

Re : tentative d'intrusion

#40 12/02/2021 12:53:56

Re : tentative d'intrusion

#41 12/02/2021 18:57:17

Re : tentative d'intrusion

#42 12/02/2021 21:32:43

Re : tentative d'intrusion

#43 13/02/2021 00:50:51

Re : tentative d'intrusion

#44 13/02/2021 06:39:35

Re : tentative d'intrusion

#45 13/02/2021 09:55:49

Re : tentative d'intrusion

#46 15/02/2021 00:14:08

Re : tentative d'intrusion

#47 15/02/2021 09:21:32

Re : tentative d'intrusion

#48 15/02/2021 14:22:45

Re : tentative d'intrusion

#49 15/02/2021 14:58:42

Re : tentative d'intrusion

#50 15/02/2021 16:52:49

Re : tentative d'intrusion

Pied de page des forums