Fedora-Fr - Communauté francophone Fedora - Linux

Communauté francophone des utilisateurs de la distribution Linux Fedora.

  

Dernière news : Fedora 37 Beta est disponible

#76 17/02/2021 22:13:37

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 887

Re : tentative d'intrusion

J'en reviens sur ce que dit Nicosss à #35 concernant l'utilisation de firewalld. Est ce que cette solution est intelligente ? https://serverfault.com/questions/85275 … -firewalld

1. Créez une nouvelle règle d'action (/etc/fail2ban/action.d/custom-firewalld.conf)

[INCLUDES]
before  =

[Definition]
actionstart =
actionstop =
actioncheck =

actionflush = sed -i '/<source address=/d' /etc/firewalld/zones/drop.xml
actionban = firewall-cmd --change-source=<ip> --zone=drop && firewall-cmd --change-source=<ip> --zone=drop --permanent
actionunban = firewall-cmd --remove-source=<ip> --zone=drop && firewall-cmd --remove-source=<ip> --zone=drop --permanent || echo 0

[Init]

Puis dans la jail local

[DEFAULT]
banaction = custom-firewalld

201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.17.4-200.fc35.x86_64 bits: 64 Desktop: KDE Plasma 5.22.4
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#77 19/02/2021 10:52:59

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 887

Re : tentative d'intrusion

Je l'ai mise en place. Elle semble pas mal. Mon journal SSH ne se rempli plus.

journalctl -t sshd  -f
-- Logs begin at Mon 2021-02-15 14:01:49 CET. --
févr. 19 09:15:56 localhost.localdomain sshd[6565]: Failed password for invalid user root from 42.194.218.76 port 40964 ssh2
févr. 19 09:15:57 localhost.localdomain sshd[6565]: Received disconnect from 42.194.218.76 port 40964:11: Bye Bye [preauth]
févr. 19 09:15:57 localhost.localdomain sshd[6565]: Disconnected from invalid user root 42.194.218.76 port 40964 [preauth]
févr. 19 09:36:58 localhost.localdomain sshd[6727]: User root from 42.194.218.76 not allowed because not listed in AllowUsers
févr. 19 09:36:59 localhost.localdomain sshd[6727]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=42.194.218.76  user=root
févr. 19 09:37:01 localhost.localdomain sshd[6727]: Failed password for invalid user root from 42.194.218.76 port 35100 ssh2
févr. 19 09:37:06 localhost.localdomain sshd[6727]: Received disconnect from 42.194.218.76 port 35100:11: Bye Bye [preauth]
févr. 19 09:37:06 localhost.localdomain sshd[6727]: Disconnected from invalid user root 42.194.218.76 port 35100 [preauth]
sudo fail2ban-client status sshd
[sudo] Mot de passe de isabelle : 
Status for the jail: sshd
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     132
|  `- Journal matches:  _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
   |- Currently banned: 50
   |- Total banned:     50
   `- Banned IP list:   101.32.45.140 103.215.236.2 106.75.116.95 118.24.8.185 121.4.85.107 129.226.58.12 139.59.70.21 156.236.74.201 178.128.223.85 180.168.201.126 188.165.210.176 209.141.49.169 218.75.77.92 220.132.68.51 40.84.137.248 41.63.0.133 49.234.209.4 51.68.198.113 58.246.64.11 59.36.178.98 61.132.225.82 64.20.56.222 68.183.81.191 159.75.16.106 221.213.63.210 153.126.201.44 212.145.192.205 165.227.132.96 177.103.229.58 167.114.103.140 138.204.100.70 54.38.137.36 128.199.193.246 112.94.224.60 35.240.145.169 165.22.50.164 116.24.67.107 167.71.224.129 177.221.73.75 219.150.93.157 200.206.81.154 51.79.65.236 201.149.20.161 148.101.169.71 190.221.46.78 54.169.149.154 185.232.71.197 132.232.49.143 120.48.12.238 42.194.218.76

EDIT: 10:08
Plus de modification après 1/2 heure. On dirait que le robot ralenti la fréquence d'attaque.

Dernière modification par thierryR (19/02/2021 11:08:15)


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.17.4-200.fc35.x86_64 bits: 64 Desktop: KDE Plasma 5.22.4
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#78 19/02/2021 12:54:30

fgland
Rédacteur Wiki
Rédacteur Wiki
Lieu : Lituanie
Inscription : 09/08/2004
Messages : 3 615

Re : tentative d'intrusion

thierryR a écrit :

Ce serait super Gérard, car je me sens dépassé tout en étant super intéressé. ...

Le résultat sans prétention et qui admet toute critique est sur  http://landroware.ovh/acces.php
Gérard


F36, Kde/plasma (X11), ASUSTeK M5A78L-M/USB3, AMD FX-6300, NVIDIA GM107 [GeForce GTX 750 Ti], 8Go de mémoire

Hors ligne

#79 19/02/2021 18:25:43

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 887

Re : tentative d'intrusion

Merci Gérard. Je vais examiner ton affaire , mais en attendant ça a l'air de bien fonctionner.

[isabelle@localhost ~]$ firewall-cmd --get-active-zone
drop
  sources: 101.32.45.140 103.215.236.2 106.75.116.95 118.24.8.185 121.4.85.107 129.226.58.12 139.59.70.21 156.236.74.201 178.128.223.85 180.168.201.126 188.165.210.176 209.141.49.169 218.75.77.92 220.132.68.51 40.84.137.248 41.63.0.133 49.234.209.4 51.68.198.113 58.246.64.11 59.36.178.98 61.132.225.82 64.20.56.222 68.183.81.191 159.75.16.106 221.213.63.210 153.126.201.44 212.145.192.205 165.227.132.96 177.103.229.58 167.114.103.140 138.204.100.70 54.38.137.36 128.199.193.246 112.94.224.60 35.240.145.169 165.22.50.164 116.24.67.107 167.71.224.129 177.221.73.75 219.150.93.157 200.206.81.154 51.79.65.236 201.149.20.161 148.101.169.71 190.221.46.78 54.169.149.154 185.232.71.197 132.232.49.143 120.48.12.238 42.194.218.76 150.109.100.65 106.75.162.47 124.205.84.21 103.149.201.204 180.76.152.65 49.7.164.26 193.112.18.214 81.70.174.192 49.234.116.74 107.170.134.125 222.185.235.186 103.39.212.96 80.52.60.214 14.29.249.7 92.222.90.130 210.114.17.240 119.252.161.234 118.24.7.98 118.25.3.65 81.70.222.20 111.204.176.209 46.149.113.2 5.19.164.33 175.6.35.93 43.226.148.89 117.119.100.82 197.248.2.229 103.146.203.62 95.169.22.100 106.15.35.211 94.62.203.232 121.4.154.134 49.235.206.107 36.67.70.186 96.78.175.45 45.157.120.150 101.227.251.235 211.253.129.225 152.136.99.20 154.92.16.156 101.33.116.189 159.89.82.134 106.13.195.32 125.60.148.184 49.234.9.92 157.230.6.213 42.192.81.219 5.101.107.190 129.226.77.190 124.156.148.119 219.148.31.135 165.22.210.35 51.178.53.233 198.54.121.48 46.101.248.180 115.159.0.160 49.234.119.42 52.130.75.32 47.176.38.242 81.70.195.174 68.183.140.19 51.222.14.78
libvirt
  interfaces: virbr0
public
  interfaces: eno1

Dernière modification par thierryR (19/02/2021 18:41:07)


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.17.4-200.fc35.x86_64 bits: 64 Desktop: KDE Plasma 5.22.4
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#80 19/02/2021 19:17:56

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 887

Re : tentative d'intrusion

Il y a un truc que je ne saisi pas. Comment depuis l'extérieur (le NET) un PC peut démarrer ton script ?
Pour moi, il a accès au port 80 en http et éventuellement appeler un numéro de port. Comment peut-il faire plus ?
En cherchant je vois que c'est inotify qui fait le boulot. Mais ce truc est-il sécurisé ? Car si il exécute des commandes root depuis une adresse http, ça me semble dangereux.

Dernière modification par thierryR (19/02/2021 19:28:11)


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.17.4-200.fc35.x86_64 bits: 64 Desktop: KDE Plasma 5.22.4
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#81 19/02/2021 20:21:35

fgland
Rédacteur Wiki
Rédacteur Wiki
Lieu : Lituanie
Inscription : 09/08/2004
Messages : 3 615

Re : tentative d'intrusion

c'est bien pour cela que le mot de passe est incassable.
En soit, il n'y a pas de problème avec un service comme sshd car il ne peut que le démarrer ou l'arrêter ce qui ne change rien à la sécurité de la machine.
ce n'est pas une commande root depuis http ce qui est impossible, le http ne fait que modifier un fichier, un log si on veut et inotify ne fait que le travail de fail2ban qui est bien un traitement root !
J'utilise ce principe pour arrêter/redémarrer un raspberry qui me sert sert d'affichage un poste de vente en magasin, pas de clavier, pas de souris.
Tu peux rendre le mot de passe dynamique pour qu'il change à chaque connexion en se basant sur des variables connus comme la date et l'heure mélanger avec des caractères
Gérard


F36, Kde/plasma (X11), ASUSTeK M5A78L-M/USB3, AMD FX-6300, NVIDIA GM107 [GeForce GTX 750 Ti], 8Go de mémoire

Hors ligne

#82 25/02/2021 15:48:25

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 887

Re : tentative d'intrusion

J'essaie de règler quelques problèmes technique avant de mettre en place ta solution.
J'ai un filtre firewalld et fail2ban. J'ai fait actuellement 556 prisonniers. Quels fichiers faut-il sauvegarder pour une prochaine réinstallation en plus de ceux de conf ?


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.17.4-200.fc35.x86_64 bits: 64 Desktop: KDE Plasma 5.22.4
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#83 25/02/2021 17:16:10

fgland
Rédacteur Wiki
Rédacteur Wiki
Lieu : Lituanie
Inscription : 09/08/2004
Messages : 3 615

Re : tentative d'intrusion

je ne vois pas trop l'intérêt de garder la liste des bannis car pour beaucoup ce sont des adresses qui n'existeront plus dans quelques temps et fail2ban les remettra de toute façon.
J’ai été vois le résulta de mon script.
/var/log/secure n'existant plus, il faut aller chercher dans journalctl :

# journalctl -u sshd

ne me retourne que mes lignes de connexions.
je ne connais pas la commande pour lire journalctl par la fin, donc après la commande ci-dessus, taper maj+g et patienter que cela arrive à la fin. On peut alors remonter le fichier avec les flèches de direction et pageup, pagedown.
On peut très bien mettre la fermeture du port comme dans knock mais cela me semble plus risqué en cas de problème si on a pas accès à la machine car au redémarrage, la fermeture sera toujours active...
Gérard


F36, Kde/plasma (X11), ASUSTeK M5A78L-M/USB3, AMD FX-6300, NVIDIA GM107 [GeForce GTX 750 Ti], 8Go de mémoire

Hors ligne

#84 25/02/2021 19:11:34

Nicosss
Rédacteur Wiki
Rédacteur Wiki
Lieu : Isère
Inscription : 05/03/2007
Messages : 7 491
Site Web

Re : tentative d'intrusion

@fgland, utilise l'option -r.

@thierryR, comme le précise fgland il n'y a pas d'intérêt à conserver ta base. Les fichiers de configuration suffisent pour redéployer Fail2ban.


F36_64 Gnome-Shell - GA-990FXA-UD3 - Phenom II X6 1100T - NH-D14 - Ati HD 5750 Fanless - 16Go RAM /&/ F36_64 Gnome-Shell - Toshiba Satellite C660D-19X - 8Go RAM
F36_64 - ASRock 960GC-GS FX - AMD FX(tm)-8300 - 16Go RAM

Hors ligne

#85 25/02/2021 19:55:54

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 887

Re : tentative d'intrusion

Moi, j'utilise -f ( tail)

 
 -r, --reverse
           Reverse output so that the newest entries are displayed first.


-e, --pager-end
           Immediately jump to the end of the journal inside the implied pager tool. This implies -n1000 to guarantee that the pager will not buffer logs of unbounded size. This may be overridden with an explicit -n with some
           other numeric value, while -nall will disable this cap. Note that this option is only supported for the less(1) pager.
-t, --identifier=SYSLOG_IDENTIFIER
           Show messages for the specified syslog identifier SYSLOG_IDENTIFIER.

           This parameter can be specified multiple times.

Dernière modification par thierryR (25/02/2021 19:58:09)


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.17.4-200.fc35.x86_64 bits: 64 Desktop: KDE Plasma 5.22.4
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#86 25/02/2021 21:01:40

fgland
Rédacteur Wiki
Rédacteur Wiki
Lieu : Lituanie
Inscription : 09/08/2004
Messages : 3 615

Re : tentative d'intrusion

@Nicosss merci, c'était trop simple
@thierryR tail ne permet pas de naviguer dans l'historique

Gérard


F36, Kde/plasma (X11), ASUSTeK M5A78L-M/USB3, AMD FX-6300, NVIDIA GM107 [GeForce GTX 750 Ti], 8Go de mémoire

Hors ligne

#87 19/03/2021 10:39:50

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 887

Re : tentative d'intrusion

@Nicosss Merci ce que tu m'as donné fait bien son effet.

[isabelle@localhost ~]$ sudo firewall-cmd --zone=drop --list-all
drop (active)
  target: DROP
  icmp-block-inversion: no
  interfaces: 
  sources: 101.32.45.140 103.215.236.2 106.75.116.95 118.24.8.185 121.4.85.107 129.226.58.12 139.59.70.21 156.236.74.201 178.128.223.85 180.168.201.126 188.165.210.176 209.141.49.169 218.75.77.92 220.132.68.51 40.84.137.248 41.63.0.133 49.234.209.4 51.68.198.113 58.246.64.11 59.36.178.98 61.132.225.82 64.20.56.222 68.183.81.191 159.75.16.106 221.213.63.210 153.126.201.44 212.145.192.205 165.227.132.96 177.103.229.58 167.114.103.140 138.204.100.70 54.38.137.36 128.199.193.246 112.94.224.60 35.240.145.169 165.22.50.164 116.24.67.107 167.71.224.129 177.221.73.75 219.150.93.157 200.206.81.154 51.79.65.236 201.149.20.161 148.101.169.71 190.221.46.78 54.169.149.154 185.232.71.197 132.232.49.143 120.48.12.238 42.194.218.76 150.109.100.65 106.75.162.47 124.205.84.21 103.149.201.204 180.76.152.65 49.7.164.26 193.112.18.214 81.70.174.192 49.234.116.74 107.170.134.125 222.185.235.186 103.39.212.96 80.52.60.214 14.29.249.7 92.222.90.130 210.114.17.240 119.252.161.234 118.24.7.98 118.25.3.65 81.70.222.20 111.204.176.209 46.149.113.2 5.19.164.33 175.6.35.93 43.226.148.89 117.119.100.82 197.248.2.229 103.146.203.62 95.169.22.100 106.15.35.211 94.62.203.232 121.4.154.134 49.235.206.107 36.67.70.186 96.78.175.45 45.157.120.150 101.227.251.235 211.253.129.225 152.136.99.20 154.92.16.156 101.33.116.189 159.89.82.134 106.13.195.32 125.60.148.184 49.234.9.92 157.230.6.213 42.192.81.219 5.101.107.190 129.226.77.190 124.156.148.119 219.148.31.135 165.22.210.35 51.178.53.233 198.54.121.48 46.101.248.180 115.159.0.160 49.234.119.42 52.130.75.32 47.176.38.242 81.70.195.174 68.183.140.19 51.222.14.78 176.31.202.70 119.45.43.139 221.6.206.14 81.70.20.28 190.147.162.41 178.128.41.141 118.24.114.205 175.126.38.47 35.185.30.133 139.99.119.28 45.112.242.77 148.70.129.112 182.61.21.155 103.142.26.144 139.59.121.221 165.22.50.136 64.225.53.31 52.155.121.150 140.143.10.96 133.125.58.171 2.82.170.124 111.230.241.110 118.24.158.103 129.211.54.147 91.131.199.45 67.205.186.76 104.224.140.216 45.10.24.60 176.112.79.111 35.188.49.176 198.211.115.252 118.123.244.100 51.140.185.84 103.215.139.109 117.158.87.112 150.158.153.78 106.53.8.180 103.48.193.7 139.155.90.176 202.77.105.98 154.85.48.8 122.155.0.205 51.68.88.26 182.61.147.176 81.68.225.56 154.8.146.181 179.93.149.17 165.22.216.228 81.71.135.159 152.231.93.130 170.254.226.157 167.114.185.237 65.49.196.138 51.38.135.250 101.133.235.161 124.156.103.155 51.195.42.58 18.216.112.210 94.55.126.2 195.223.211.242 157.230.55.192 104.131.13.185 106.12.114.101 129.144.9.93 123.207.19.105 124.239.153.215 154.211.12.167 138.99.7.75 146.59.153.189 40.80.89.113 146.56.198.246 164.90.210.8 49.89.157.20 138.68.140.190 114.239.30.62 193.123.228.215 27.111.44.196 106.110.218.52 51.75.19.175 106.110.198.45 159.65.30.66 49.89.77.24 50.254.136.133 114.239.30.235 119.29.155.214 104.131.16.72 68.183.97.244 181.209.159.166 42.192.152.72 123.207.92.183 167.172.106.237 49.234.43.224 106.52.96.107 101.36.179.145 61.155.233.227 49.233.34.9 118.24.118.97 81.68.120.181 161.97.146.25 111.229.219.39 103.147.4.49 180.76.171.20 200.142.124.30 106.12.199.117 182.92.166.64 181.40.122.2 49.234.84.58 188.166.250.201 202.72.243.198 36.48.145.242 49.232.112.204 121.123.94.97 138.68.255.120 42.192.83.239 178.62.6.215 202.188.20.126 113.31.117.196 91.232.4.149 146.56.206.116 109.228.168.80 112.196.54.35 103.94.6.69 111.19.198.4 193.239.178.91 161.35.26.90 106.51.76.223 178.128.15.57 49.235.8.95 180.76.150.139 49.234.28.149 106.12.202.180 83.13.74.14 218.11.10.252 118.27.106.230 106.12.112.4 140.143.31.157 106.75.214.198 223.223.194.101 51.195.116.201 51.83.68.203 157.230.2.208 211.159.148.181 46.101.103.148 159.75.38.169 120.92.141.241 111.229.187.216 120.132.105.211 49.232.143.159 118.25.129.131 139.199.74.92 1.179.185.50 114.97.240.65 36.110.27.122 121.121.220.201 128.199.52.4 178.62.63.15 101.68.78.194 103.240.79.40 139.199.45.83 46.101.173.231 106.53.238.111 142.93.52.3 188.166.16.36 159.203.165.122 122.51.168.254 180.167.225.118 68.183.132.72 119.45.239.67 111.161.74.100 149.129.181.48 68.183.108.46 210.245.92.204 46.5.98.133 122.51.56.87 178.128.199.106 167.99.226.56 170.106.159.113 68.183.88.186 190.144.182.86 119.45.206.87 154.8.136.57 51.15.216.255 63.88.57.202 128.199.102.242 115.159.200.183 119.84.144.54 119.45.242.37 122.51.52.109 154.85.44.200 50.115.168.140 152.67.9.207 45.184.24.5 101.33.123.67 157.245.54.200 122.228.2.3 40.115.79.44 27.128.173.81 107.182.191.188 162.204.50.89 31.31.216.170 120.53.227.85 223.240.65.72 107.180.106.60 140.238.246.239 68.183.148.159 106.75.147.233 58.87.84.31 101.33.118.239 187.248.75.226 182.156.209.222 124.152.118.194 189.209.7.168 167.172.38.238 106.15.193.147 62.28.222.221 206.189.46.85 103.119.92.107 193.112.208.73 182.74.25.246 128.199.143.157 119.28.113.246 119.6.253.56 104.248.138.120 49.7.164.140 106.12.102.210 138.197.213.192 103.156.179.201 81.70.208.33 213.39.55.13 165.227.225.195 91.121.86.22 106.52.239.66 167.99.143.45 206.189.35.67 64.227.100.165 115.159.158.72 155.94.138.158 124.160.96.249 202.29.239.161 159.203.84.241 103.100.159.206 159.75.21.36 77.247.94.131 201.116.233.90 188.166.211.179 116.62.216.238 81.69.12.243 52.249.217.193 178.128.12.65 203.195.141.177 64.225.25.59 59.111.103.165 103.136.40.17 120.132.68.57 106.12.7.40 201.163.180.183 161.35.227.204 81.71.3.99 121.4.112.248 150.95.31.150 47.112.116.126 167.71.127.113 68.183.221.177 103.100.209.118 118.27.21.129 106.13.229.67 106.54.112.173 120.48.21.252 93.125.114.97 103.50.205.186 142.93.138.116 81.70.213.240 167.172.252.132 49.233.173.136 103.129.222.171 81.70.173.185 59.152.62.40 200.73.130.213 51.254.100.56 128.199.152.105 139.59.72.206 200.233.163.65 119.45.105.184 70.37.75.157 95.216.167.136 139.186.73.140 146.59.155.106 122.202.32.70 106.13.72.139 178.128.248.121 212.64.3.194 8.210.206.62 162.243.232.174 192.144.236.197 103.40.242.32 121.152.221.196 140.210.92.82 120.53.118.140 159.89.202.95 49.233.4.31 49.235.124.111 178.234.37.197 165.22.217.96 49.234.235.35 152.32.186.240 170.245.200.100 121.4.213.118 42.192.50.24 101.36.127.150 153.36.233.60 112.64.33.38 119.28.55.81 151.80.119.61 145.239.85.21 117.196.195.60 180.169.76.210 119.115.26.125 111.231.202.118 159.65.127.239 140.143.201.190 119.63.84.130 106.13.228.207 111.229.147.84 119.115.19.30 129.211.107.163 103.205.5.176 198.211.121.90 182.61.144.110 81.156.142.165 138.68.50.30 153.127.63.142 128.199.89.136 47.93.118.104 1.193.160.164 68.183.22.85 61.148.17.146 42.193.102.205 49.235.122.137 101.32.44.108 142.93.8.99 142.93.3.47 54.38.185.131 86.170.111.228 175.24.152.35 188.166.4.178 178.176.224.36 81.68.75.34 119.45.137.52 51.75.140.38 121.4.51.174 118.190.148.25 49.233.117.199 161.35.118.14 87.170.34.35 106.75.254.114 211.218.192.149 119.97.252.154 106.55.149.162 49.235.146.95 200.91.192.60 159.89.48.31 107.173.149.104 114.67.95.121 138.197.194.141 102.164.61.237 119.29.85.229 103.75.34.219 189.79.92.125 180.151.56.119 149.202.189.5 159.203.188.141 49.235.249.185 111.229.85.157 111.19.157.70 129.226.188.130 27.254.206.238 182.75.115.59 104.248.181.156 138.68.72.167 113.108.195.242 222.175.223.74 110.78.208.28 157.245.5.202 120.53.225.81 134.122.124.193 111.231.140.184 45.117.168.152 180.109.37.226 175.24.103.72 106.52.12.21 188.166.218.105 167.71.117.84 49.235.221.66 101.231.146.36 134.175.55.212 195.29.51.134 175.24.107.175 142.44.160.40 129.28.103.85 180.76.234.185 212.52.131.9 161.53.232.83 178.62.199.240 190.145.81.37 81.70.193.181 101.251.219.115 42.5.100.215 194.152.206.93 164.90.217.167 153.121.33.107 42.59.39.81 81.68.80.98 114.67.95.61 51.77.215.227 128.199.128.169 221.214.74.10 115.159.112.66 222.122.31.133 222.185.241.130 202.110.125.135 118.89.164.55 115.159.157.154 120.53.10.40 119.29.163.13 103.100.159.204 117.69.30.26 132.232.117.103 150.158.175.66 157.230.45.3 45.55.134.210 49.232.221.213 175.24.123.25 157.122.149.18 218.201.133.86 193.112.127.245 157.245.252.154 133.167.95.209 171.244.137.147 181.49.42.30 112.216.3.211 119.147.42.82 119.28.156.31 49.235.74.192 190.146.13.180 189.54.45.74 119.28.100.102 193.148.71.14 130.61.255.187 185.165.175.52 121.46.244.194 183.56.167.10 128.199.249.246 181.115.156.59 150.185.9.190 187.18.108.73 46.61.247.131 189.7.25.246 114.86.148.152 51.79.51.246 51.79.206.29 81.70.32.28 51.254.129.128 139.199.23.233 201.33.167.234 114.67.106.197 170.106.50.166 149.56.12.88 162.14.23.147 62.234.22.200 181.143.10.148 129.226.175.92 61.181.80.253 77.109.173.12 106.12.213.89 183.111.96.44 103.10.87.54 144.34.178.90 104.248.13.213 51.195.219.254 45.251.33.187 27.69.189.171 119.45.172.85 85.187.158.15 95.79.45.205 106.120.75.98 115.238.62.154 209.141.61.29 52.130.93.83 138.68.75.113 188.166.185.157 106.53.207.227 180.151.58.108 203.129.218.76 95.169.5.166 51.158.171.117 159.65.147.235 113.111.231.89 45.158.199.156 197.5.145.102 146.185.130.101 189.50.97.242 138.197.129.38 103.245.181.2 172.80.195.104 117.50.119.23 178.128.127.62 43.128.20.17 129.146.250.102 144.48.227.75 103.63.108.25 45.119.82.251 142.93.65.9 175.162.5.8 189.57.73.18 95.182.123.194 210.12.168.79 150.158.163.228 119.96.158.238 47.156.24.46 101.32.204.190 159.65.176.156 190.210.182.179 45.231.132.52 91.134.13.250 198.12.118.97 36.66.151.17 82.65.23.62 60.191.134.34 138.219.100.78 201.210.154.252 123.140.114.196 107.170.104.125 121.225.24.235 201.210.43.5 168.138.47.40 187.191.96.60 51.159.67.187 112.16.211.200 159.89.172.207 122.248.37.50 150.95.25.165 178.128.105.135 23.95.231.154 128.199.11.84 106.13.81.111 118.24.255.210 157.245.108.35 47.97.119.237 143.92.47.107 211.184.187.129 180.250.124.227 177.184.75.130 122.51.83.195 123.207.251.54 106.13.140.138 115.71.239.208 118.89.78.206 162.243.237.90 176.174.199.40 138.197.178.159 139.219.111.150 81.68.93.5 27.50.63.7 139.155.252.63 128.199.2.81 103.242.3.134 223.223.176.184 118.192.101.108 187.207.179.113 45.55.167.87 101.33.118.38 106.53.219.165 51.75.255.250 157.230.63.81 119.188.3.66 104.248.159.69 165.22.99.216 187.188.90.141 91.121.108.159 119.45.148.171 109.86.187.241 204.44.76.132 31.20.193.52 160.251.8.225 91.121.65.15 178.33.216.187 106.13.9.244 202.153.37.194 139.59.186.178 51.159.70.22 119.29.170.170 81.68.223.9 106.52.105.178 106.52.130.172 112.31.56.247 81.68.251.58 81.68.105.55 91.210.224.196 49.232.72.13 150.109.120.152 42.200.78.78 201.116.3.194 120.92.149.231 45.186.248.135 194.38.108.57 51.68.215.178 144.217.162.194 177.73.3.206 152.32.201.49 123.19.129.66 117.2.22.85 54.38.243.187 49.135.39.149 47.105.36.164 167.71.228.31 49.135.33.10 175.193.13.3 157.230.229.23 175.125.94.166 52.231.92.23 68.183.12.127 106.55.240.252 106.13.99.107 49.232.153.92 114.100.116.216 121.4.121.128 210.112.232.29 81.68.135.238 177.10.164.105 190.187.240.84 1.193.176.14 66.45.232.18 103.45.191.202 221.213.129.46 159.65.152.201 138.68.254.64 200.46.22.187 73.98.38.135 106.52.28.75 103.150.142.118 151.236.193.195 206.172.233.212 201.217.159.155 95.85.8.215 119.45.193.78 116.4.10.38 164.100.6.145 54.39.50.204 120.236.105.190 165.22.48.140 201.48.246.26 152.136.130.227 47.75.52.4 150.158.163.46 123.206.51.192 185.59.139.99 157.230.232.67 180.114.178.28 45.55.41.113 180.114.178.164 120.53.237.161 49.235.76.225 117.84.58.123 121.4.207.159 180.113.64.94 180.114.150.227 81.70.240.53 49.233.69.138 118.25.79.235 49.234.69.205 106.12.199.30 47.93.97.47 111.229.221.142 123.207.52.90 110.175.128.62 222.175.62.130 118.190.60.24 120.151.90.157 61.133.232.252 61.133.232.253 61.133.232.250 61.133.232.248 61.133.232.254 61.133.232.251 58.56.140.62 124.95.143.135 190.128.64.133 218.89.222.16 192.168.1.218 192.168.1.57 211.26.187.128
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.17.4-200.fc35.x86_64 bits: 64 Desktop: KDE Plasma 5.22.4
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#88 19/03/2021 12:44:42

FedoraUser
Membre
Inscription : 12/12/2020
Messages : 58

Re : tentative d'intrusion

thierryR a écrit :

Bonjour. J'observe de drôles de choses dans mes logs.

févr. 03 11:54:55 localhost.localdomain sshd[2876]: Invalid user pp from 121.5.26.106 port 45600
févr. 03 11:54:55 localhost.localdomain sshd[2876]: pam_unix(sshd:auth): check pass; user unknown
févr. 03 11:54:55 localhost.localdomain sshd[2876]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.5.26.106
févr. 03 11:54:57 localhost.localdomain sshd[2876]: Failed password for invalid user pp from 121.5.26.106 port 45600 ssh2
févr. 03 11:55:00 localhost.localdomain sshd[2876]: Received disconnect from 121.5.26.106 port 45600:11: Bye Bye [preauth]

Serait une tentative d'intrusion ?

Région: Beijing
Pays: China
Ville: Beijing
latitude: 39.9289
longitude: 116.3883
Host: 121.5.26.106
IP: 121.5.26.106

Tu fais des achats sur Alibaba?
Tu utiilises une video surveillance? ( certains modeles de camera / commandes de portillon font des appels de mises à jour de leur logiciels, un peu comme windows ou whatsapp vers 2h du mat,  en tout cas officiellement)

Dernière modification par FedoraUser (19/03/2021 16:39:28)

Hors ligne

#89 20/03/2021 18:24:48

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 887

Re : tentative d'intrusion

Tu fais des achats sur Alibaba?

Non, mais il y a des ip d'un peu partout. Ce sont surement des PC craqués qui servent de base arrière à ce robot.
810 en prison actuellement.

Dernière modification par thierryR (20/03/2021 18:25:35)


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.17.4-200.fc35.x86_64 bits: 64 Desktop: KDE Plasma 5.22.4
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#90 20/03/2021 20:23:47

FedoraUser
Membre
Inscription : 12/12/2020
Messages : 58

Re : tentative d'intrusion

Si c est un Bot, regtarde si tu as un début de signature, genre procedure de test de port, ....

parfois c est mieux de le laisser rentrer et de le rediriger vers un lieu qui ne sert qu `a ca, puis tu regardes son fonctionnement, ca peut meme l arreter car il passe en deuxieme phase... du coup ca te le bloque quelques temps... sauf c est une attaque ciblée et pas un bot... là cette technique ne sert pas longtemps, mais ca te permet de casser les ips.

Hors ligne

#91 21/03/2021 22:44:57

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 887

Re : tentative d'intrusion

Je n'ai malheureusement pas ton niveau. Je veux bien en apprendre avec toi, car ça me plairait bien de lui chatouiller les trous de nez.
Ou est ce qu'on peut récupérer un début de signature ?
Sur mon raspi il m'a bien flairé, car il est sur mon IP de connexion et il a même trouver le port pour entrer. Mais il n'a pas la clé....

Dernière modification par thierryR (21/03/2021 22:46:44)


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.17.4-200.fc35.x86_64 bits: 64 Desktop: KDE Plasma 5.22.4
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#92 22/03/2021 20:17:33

FedoraUser
Membre
Inscription : 12/12/2020
Messages : 58

Re : tentative d'intrusion

thierryR a écrit :

Je n'ai malheureusement pas ton niveau. Je veux bien en apprendre avec toi, car ça me plairait bien de lui chatouiller les trous de nez.
Ou est ce qu'on peut récupérer un début de signature ?
Sur mon raspi il m'a bien flairé, car il est sur mon IP de connexion et il a même trouver le port pour entrer. Mais il n'a pas la clé....

Oula, non je ne prétends à rien... pour moi la signature c est la facon dont il a fonctionné tu peux faire fonctionner une serie de tcpdump par exemple en filtrant certaines informations essentielles, et d autres plus generales... tu as des traces ainsi sur ce qui s est passé.

Hors ligne

#93 23/03/2021 10:01:41

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 887

Re : tentative d'intrusion

J'ai les logs qui se remplissent à fond, qui me parlent des attaques encore actuellement. Je crois que ce n'est pas prêt de s'arrêter.


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.17.4-200.fc35.x86_64 bits: 64 Desktop: KDE Plasma 5.22.4
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#94 23/03/2021 14:02:45

FedoraUser
Membre
Inscription : 12/12/2020
Messages : 58

Re : tentative d'intrusion

Un petit tuto interessant pour deja decrypter le traffic des trames:
https://danielmiessler.com/study/tcpdump/

par exemple:  lance en permanence ( tu affines suivant ton besoin)

          sudo tcpdump -n not stp -v

et dans une autre fenetre:

          sudo tcpdump > monlogtcp

le deuxieme sert si tu veux investiguer plus loin.

voir une troisieme fenetre

          sudo tcpdump -n not stp and not arp -v

Et puis si tu ne sais pas ecrire des prisons-ip, ( dans le cas ou tu utilises iptables)
https://www.it-connect.fr/premiers-pas-avec-fail2ban/


je ne suis pas expert,  mais déjà si ce sont des bots fait par des outils standards ( que beaucoup de gamins simples utilisateurs d outil utilisent ) , ca devrait pouvoir se résoudre.

mais si tu es ciblé par un geek taré qui a rien d autre à faire que ca ( ils sont légion comme on dit :) ), souvent l;e mur n est pas la meilleure solution, car c est plus facile de tester quand ca marche pas de suite... faut plutot laisser entrer, mais c est compliqué à gérer.

Dernière modification par FedoraUser (23/03/2021 14:37:22)

Hors ligne

#95 25/03/2021 17:47:23

thierryR
Membre
Lieu : Chalons en Champagne
Inscription : 31/01/2011
Messages : 1 887

Re : tentative d'intrusion

Si j'en avais le savoir, je ferais déjà un mur perçable, pour donner bonne impression au bot. Une fois entré dans ma jail, je le laisserais essayer d'installer ses trucs, et percé ainsi son secret. L’informatique, c'est un peu la guerre des cerveaux ou "intelligence et savoir" se cumulent.
Il y a des trucs ou je me damande à quoi ça sert?

sudo tcpdump 'tcp[(tcp[12]>>2):4] = 0x5353482D'
[sudo] Mot de passe de isabelle : 
dropped privs to tcpdump
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on eno1, link-type EN10MB (Ethernet), snapshot length 262144 bytes
17:45:59.757036 IP fedora.ssh > 175.24.72.209.59900: Flags [P.], seq 2280744113:2280744134, ack 1272931211, win 510, options [nop,nop,TS val 3410276531 ecr 3781050774], length 21: SSH: SSH-2.0-OpenSSH_8.4
17:46:00.014473 IP 175.24.72.209.59900 > fedora.ssh: Flags [P.], seq 1:22, ack 21, win 229, options [nop,nop,TS val 3781051043 ecr 3410276531], length 21: SSH: SSH-2.0-libssh-0.6.3
17:49:57.164516 IP fedora.ssh > 150.158.181.16.59696: Flags [P.], seq 10795366:10795387, ack 294943351, win 510, options [nop,nop,TS val 2893045661 ecr 2218370961], length 21: SSH: SSH-2.0-OpenSSH_8.4
17:50:04.071165 IP fedora.ssh > 150.158.181.16.59696: Flags [P.], seq 0:21, ack 1, win 510, options [nop,nop,TS val 2893052568 ecr 2218370961], length 21: SSH: SSH-2.0-OpenSSH_8.4
17:50:04.909263 IP 150.158.181.16.59696 > fedora.ssh: Flags [P.], seq 1:22, ack 21, win 229, options [nop,nop,TS val 2218378717 ecr 2893052568], length 21: SSH: SSH-2.0-libssh-0.6.3

Dernière modification par thierryR (25/03/2021 18:54:12)


201119024340877569.gifChalons en Champagne: Au nord, un peu avant la banquise (Ah ben non... Elle a fondu)
Kernel: 5.17.4-200.fc35.x86_64 bits: 64 Desktop: KDE Plasma 5.22.4
Type: Desktop Mobo: ASRock model: X470 Gaming-ITX/ac  UEFI: CPU: Topology: 8-Core model: AMD Ryzen 7 2700X bits: 64 type: MT MCP L2 cache: 4096 KiB

Hors ligne

#96 25/03/2021 18:22:36

fgland
Rédacteur Wiki
Rédacteur Wiki
Lieu : Lituanie
Inscription : 09/08/2004
Messages : 3 615

Re : tentative d'intrusion

ça c'est jouer avec le feu et je ne m'y risquerai pas.
Je pense que tu te prends la tête pour rien. Pour ne pas avoir de robot il ne faut pas avoir de connexion.


F36, Kde/plasma (X11), ASUSTeK M5A78L-M/USB3, AMD FX-6300, NVIDIA GM107 [GeForce GTX 750 Ti], 8Go de mémoire

Hors ligne

Pied de page des forums