Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Attaque brute force depuis différents serveurs

mediaforest

Par mediaforest
dans OS alternatifs

 Partager

Messages recommandés

mediaforest Mega Power Member

mediaforest

Posté(e)
Posté(e)

Bonjour à tous,

depuis quelques jours, un de mes serveurs subit des attaques brute force sur ssh en provenance de multiples machines !

Je ne sais pas comment l'attaquant peut mettre cette attaque en oeuvre, mais cela lui permet de contourner la protection mise en place avec fail2ban puisque les ip ne sont jamais les mêmes...

 

Ce qui m'a mis la puce à l'oreille c'est la progression des logins utilisés par les différentes attaquantes : ils sont en ordre alphabétique comme si ils faisaient partie du même dictionnaire !

voici un extrait de mes logs pour préciser le mode d'attaque que je subi :

 

May 14 00:14:59 ns1 sshd[7776]: Failed keyboard-interactive/pam for invalid user aleksandr from 62.72.110.203 port 11999 ssh2
May 14 00:16:02 ns1 sshd[8156]: Invalid user alessandra from 137.192.198.220
May 14 00:16:04 ns1 sshd[8156]: Failed keyboard-interactive/pam for invalid user alessandra from 137.192.198.220 port 54454 ssh2
May 14 00:17:33 ns1 sshd[8163]: Invalid user alessandra from 68.213.208.164
May 14 00:17:36 ns1 sshd[8163]: Failed keyboard-interactive/pam for invalid user alessandra from 68.213.208.164 port 53050 ssh2
May 14 00:18:34 ns1 sshd[8171]: Invalid user alessandro from 213.186.56.83
May 14 00:18:36 ns1 sshd[8171]: Failed keyboard-interactive/pam for invalid user alessandro from 213.186.56.83 port 59721 ssh2
May 14 00:19:48 ns1 sshd[8174]: Invalid user alessandro from 88.149.192.134
May 14 00:19:50 ns1 sshd[8174]: Failed keyboard-interactive/pam for invalid user alessandro from 88.149.192.134 port 39465 ssh2
May 14 00:21:12 ns1 sshd[8572]: Invalid user alexander from 212.202.248.70
May 14 00:21:14 ns1 sshd[8572]: Failed keyboard-interactive/pam for invalid user alexander from 212.202.248.70 port 33096 ssh2
May 14 00:22:15 ns1 sshd[8575]: Invalid user alexander from 81.80.90.88
May 14 00:22:17 ns1 sshd[8575]: Failed keyboard-interactive/pam for invalid user alexander from 81.80.90.88 port 36610 ssh2
May 14 00:23:41 ns1 sshd[8582]: Invalid user alexandr from 62.168.67.111
May 14 00:23:43 ns1 sshd[8582]: Failed keyboard-interactive/pam for invalid user alexandr from 62.168.67.111 port 25718 ssh2
May 14 00:24:41 ns1 sshd[8585]: Invalid user alexandr from 207.47.162.126
May 14 00:24:43 ns1 sshd[8585]: Failed keyboard-interactive/pam for invalid user alexandr from 207.47.162.126 port 62409 ssh2
May 14 00:26:08 ns1 sshd[8962]: Invalid user alexandra from 193.251.186.239
May 14 00:26:11 ns1 sshd[8962]: Failed keyboard-interactive/pam for invalid user alexandra from 193.251.186.239 port 39186 ssh2
May 14 00:27:05 ns1 sshd[8965]: Invalid user alexandra from 68.190.97.197
May 14 00:27:07 ns1 sshd[8965]: Failed keyboard-interactive/pam for invalid user alexandra from 68.190.97.197 port 63336 ssh2
May 14 00:28:30 ns1 sshd[8973]: Invalid user alexandre from 74.238.205.245
May 14 00:28:33 ns1 sshd[8973]: Failed keyboard-interactive/pam for invalid user alexandre from 74.238.205.245 port 40285 ssh2
May 14 00:30:05 ns1 sshd[9155]: Invalid user alexandre from 216.123.234.91
May 14 00:30:09 ns1 sshd[9155]: Failed keyboard-interactive/pam for invalid user alexandre from 216.123.234.91 port 34628 ssh2
May 14 00:30:58 ns1 sshd[9360]: Invalid user alexandrina from 212.239.212.25
May 14 00:30:59 ns1 sshd[9360]: Failed keyboard-interactive/pam for invalid user alexandrina from 212.239.212.25 port 34253 ssh2
May 14 00:32:22 ns1 sshd[9363]: Invalid user alexandrina from 193.252.220.64
May 14 00:32:24 ns1 sshd[9363]: Failed keyboard-interactive/pam for invalid user alexandrina from 193.252.220.64 port 49765 ssh2
May 14 00:34:48 ns1 sshd[9370]: Invalid user alexandro from 88.80.206.168
May 14 00:34:49 ns1 sshd[9370]: Failed keyboard-interactive/pam for invalid user alexandro from 88.80.206.168 port 53177 ssh2
May 14 00:35:49 ns1 sshd[9746]: Invalid user alexandros from 212.30.80.85
May 14 00:35:51 ns1 sshd[9746]: Failed keyboard-interactive/pam for invalid user alexandros from 212.30.80.85 port 33622 ssh2
May 14 00:38:05 ns1 sshd[9749]: Invalid user alexandros from 84.19.184.207
May 14 00:38:07 ns1 sshd[9749]: Failed keyboard-interactive/pam for invalid user alexandros from 84.19.184.207 port 55682 ssh2
May 14 00:38:38 ns1 sshd[9757]: Invalid user algernon from 212.80.237.58
May 14 00:38:40 ns1 sshd[9757]: Failed keyboard-interactive/pam for invalid user algernon from 212.80.237.58 port 52662 ssh2
May 14 00:39:42 ns1 sshd[9768]: Invalid user algernon from 83.17.26.90
May 14 00:39:45 ns1 sshd[9768]: Failed keyboard-interactive/pam for invalid user algernon from 83.17.26.90 port 58779 ssh2
May 14 00:42:13 ns1 sshd[10163]: Invalid user alisander from 66.193.161.130
May 14 00:42:15 ns1 sshd[10163]: Failed keyboard-interactive/pam for invalid user alisander from 66.193.161.130 port 60349 ssh2
May 14 00:43:48 ns1 sshd[10170]: Invalid user alistair from 200.79.37.194
May 14 00:43:50 ns1 sshd[10170]: Failed keyboard-interactive/pam for invalid user alistair from 200.79.37.194 port 53774 ssh2
May 14 00:44:33 ns1 sshd[10173]: Invalid user alistair from 88.191.29.130
May 14 00:44:35 ns1 sshd[10173]: Failed keyboard-interactive/pam for invalid user alistair from 88.191.29.130 port 34219 ssh2
May 14 00:46:12 ns1 sshd[10550]: Invalid user allianora from 200.69.205.5
May 14 00:46:14 ns1 sshd[10550]: Failed keyboard-interactive/pam for invalid user allianora from 200.69.205.5 port 33654 ssh2
May 14 00:48:47 ns1 sshd[10558]: Invalid user allister from 219.151.8.5
May 14 00:48:49 ns1 sshd[10558]: Failed keyboard-interactive/pam for invalid user allister from 219.151.8.5 port 35657 ssh2
May 14 00:50:09 ns1 sshd[10936]: Invalid user allister from 74.238.205.245
May 14 00:50:11 ns1 sshd[10936]: Failed keyboard-interactive/pam for invalid user allister from 74.238.205.245 port 49319 ssh2
May 14 00:53:23 ns1 sshd[10948]: Invalid user aloysius from 69.15.102.215
May 14 00:53:25 ns1 sshd[10948]: Failed keyboard-interactive/pam for invalid user aloysius from 69.15.102.215 port 42721 ssh2
May 14 00:54:57 ns1 sshd[10951]: Invalid user aloysius from 69.104.213.25
May 14 00:54:59 ns1 sshd[10951]: Failed keyboard-interactive/pam for invalid user aloysius from 69.104.213.25 port 25732 ssh2
May 14 00:55:55 ns1 sshd[11329]: Invalid user alphonse from 61.125.195.160
May 14 00:55:57 ns1 sshd[11329]: Failed keyboard-interactive/pam for invalid user alphonse from 61.125.195.160 port 43492 ssh2
May 14 00:57:29 ns1 sshd[11332]: Invalid user alphonse from 201.251.61.108
May 14 00:57:32 ns1 sshd[11332]: Failed keyboard-interactive/pam for invalid user alphonse from 201.251.61.108 port 34135 ssh2
May 14 00:59:00 ns1 sshd[11340]: Invalid user alphonso from 200.123.174.145
May 14 00:59:02 ns1 sshd[11340]: Failed keyboard-interactive/pam for invalid user alphonso from 200.123.174.145 port 15100 ssh2
May 14 01:01:13 ns1 sshd[11742]: Invalid user alturing from 87.139.20.244
May 14 01:01:16 ns1 sshd[11742]: Failed keyboard-interactive/pam for invalid user alturing from 87.139.20.244 port 49986 ssh2
May 14 01:02:19 ns1 sshd[11745]: Invalid user alturing from 164.77.145.60
May 14 01:02:22 ns1 sshd[11745]: Failed keyboard-interactive/pam for invalid user alturing from 164.77.145.60 port 13696 ssh2
May 14 01:06:20 ns1 sshd[12125]: Invalid user ambassador from 75.14.225.218
May 14 01:06:22 ns1 sshd[12125]: Failed keyboard-interactive/pam for invalid user ambassador from 75.14.225.218 port 55264 ssh2
May 14 01:08:33 ns1 sshd[12133]: Invalid user ambrosio from 80.154.37.149
May 14 01:08:35 ns1 sshd[12133]: Failed keyboard-interactive/pam for invalid user ambrosio from 80.154.37.149 port 44927 ssh2
May 14 01:10:44 ns1 sshd[12531]: Invalid user ambrosio from 61.9.200.10
May 14 01:10:47 ns1 sshd[12531]: Failed keyboard-interactive/pam for invalid user ambrosio from 61.9.200.10 port 35647 ssh2
May 14 01:11:09 ns1 sshd[12534]: Invalid user ambrosius from 217.167.10.53
May 14 01:11:12 ns1 sshd[12534]: Failed keyboard-interactive/pam for invalid user ambrosius from 217.167.10.53 port 28739 ssh2
May 14 01:12:52 ns1 sshd[12537]: Invalid user ambrosius from 200.94.23.18
May 14 01:12:54 ns1 sshd[12537]: Failed keyboard-interactive/pam for invalid user ambrosius from 200.94.23.18 port 34550 ssh2
May 14 01:13:32 ns1 sshd[12544]: Invalid user ammamaria from 213.203.197.86
May 14 01:13:35 ns1 sshd[12544]: Failed keyboard-interactive/pam for invalid user ammamaria from 213.203.197.86 port 12159 ssh2
May 14 01:15:02 ns1 sshd[12562]: Invalid user ammamaria from 194.63.142.78
May 14 01:15:04 ns1 sshd[12562]: Failed keyboard-interactive/pam for invalid user ammamaria from 194.63.142.78 port 52403 ssh2
May 14 01:16:05 ns1 sshd[12923]: Invalid user anabella from 62.97.71.54
May 14 01:16:07 ns1 sshd[12923]: Failed keyboard-interactive/pam for invalid user anabella from 62.97.71.54 port 29037 ssh2
May 14 01:17:28 ns1 sshd[12930]: Invalid user anabella from 213.25.185.5
May 14 01:17:30 ns1 sshd[12930]: Failed keyboard-interactive/pam for invalid user anabella from 213.25.185.5 port 39466 ssh2
May 14 01:18:54 ns1 sshd[12938]: Invalid user anabelle from 81.223.199.34
May 14 01:18:56 ns1 sshd[12938]: Failed keyboard-interactive/pam for invalid user anabelle from 81.223.199.34 port 63975 ssh2
May 14 01:19:58 ns1 sshd[12941]: Invalid user anabelle from 88.191.29.130
May 14 01:20:00 ns1 sshd[12941]: Failed keyboard-interactive/pam for invalid user anabelle from 88.191.29.130 port 46248 ssh2
May 14 01:21:52 ns1 sshd[13336]: Invalid user analiese from 211.154.254.89
May 14 01:21:55 ns1 sshd[13336]: Failed keyboard-interactive/pam for invalid user analiese from 211.154.254.89 port 15279 ssh2
May 14 01:22:28 ns1 sshd[13339]: Invalid user analiese from 87.230.19.127
May 14 01:22:30 ns1 sshd[13339]: Failed keyboard-interactive/pam for invalid user analiese from 87.230.19.127 port 33503 ssh2
May 14 01:24:57 ns1 sshd[13346]: Invalid user anallese from 85.25.139.12
May 14 01:24:59 ns1 sshd[13346]: Failed keyboard-interactive/pam for invalid user anallese from 85.25.139.12 port 26469 ssh2
May 14 01:26:26 ns1 sshd[13722]: Invalid user anallise from 213.151.215.76
May 14 01:26:27 ns1 sshd[13722]: Failed keyboard-interactive/pam for invalid user anallise from 213.151.215.76 port 32871 ssh2
May 14 01:27:59 ns1 sshd[13725]: Invalid user anallise from 89.110.157.149
May 14 01:28:02 ns1 sshd[13725]: Failed keyboard-interactive/pam for invalid user anallise from 89.110.157.149 port 48737 ssh2
May 14 01:28:56 ns1 sshd[13749]: Invalid user anarchist from 84.73.181.108
May 14 01:28:58 ns1 sshd[13749]: Failed keyboard-interactive/pam for invalid user anarchist from 84.73.181.108 port 3604 ssh2
May 14 01:30:49 ns1 sshd[14127]: Invalid user spiel from 83.14.93.178
May 14 01:30:51 ns1 sshd[14127]: Failed keyboard-interactive/pam for invalid user spiel from 83.14.93.178 port 6485 ssh2
May 14 01:32:42 ns1 sshd[14130]: Invalid user spiel from 196.38.110.5
May 14 01:32:44 ns1 sshd[14130]: Failed keyboard-interactive/pam for invalid user spiel from 196.38.110.5 port 40228 ssh2
May 14 01:33:23 ns1 sshd[14137]: Invalid user admin5 from 149.99.41.218
May 14 01:33:25 ns1 sshd[14137]: Failed keyboard-interactive/pam for invalid user admin5 from 149.99.41.218 port 20397 ssh2
May 14 01:35:03 ns1 sshd[14151]: Invalid user admin5 from 62.112.222.9
May 14 01:35:06 ns1 sshd[14151]: Failed keyboard-interactive/pam for invalid user admin5 from 62.112.222.9 port 36485 ssh2
May 14 01:35:42 ns1 sshd[14516]: Invalid user orant from 200.126.119.91
May 14 01:35:44 ns1 sshd[14516]: Failed keyboard-interactive/pam for invalid user orant from 200.126.119.91 port 46096 ssh2
May 14 01:37:02 ns1 sshd[14519]: Invalid user orant from 213.251.169.141
May 14 01:37:04 ns1 sshd[14519]: Failed keyboard-interactive/pam for invalid user orant from 213.251.169.141 port 38905 ssh2
May 14 01:37:57 ns1 sshd[14522]: Invalid user albrecht from 81.210.83.18
May 14 01:37:59 ns1 sshd[14522]: Failed keyboard-interactive/pam for invalid user albrecht from 81.210.83.18 port 49965 ssh2
May 14 01:39:55 ns1 sshd[14538]: Invalid user albrecht from 202.118.76.61
May 14 01:39:59 ns1 sshd[14538]: Failed keyboard-interactive/pam for invalid user albrecht from 202.118.76.61 port 58003 ssh2
May 14 01:41:21 ns1 sshd[14933]: Invalid user appen from 60.19.28.157
May 14 01:41:23 ns1 sshd[14933]: Failed keyboard-interactive/pam for invalid user appen from 60.19.28.157 port 4417 ssh2
May 14 01:41:43 ns1 sshd[14936]: Invalid user appen from 82.209.52.162
May 14 01:41:45 ns1 sshd[14936]: Failed keyboard-interactive/pam for invalid user appen from 82.209.52.162 port 20658 ssh2
May 14 01:43:24 ns1 sshd[14943]: Invalid user bache from 216.197.204.76
May 14 01:43:26 ns1 sshd[14943]: Failed keyboard-interactive/pam for invalid user bache from 216.197.204.76 port 50207 ssh2
May 14 01:44:10 ns1 sshd[14946]: Invalid user bache from 200.79.37.194
May 14 01:44:12 ns1 sshd[14946]: Failed keyboard-interactive/pam for invalid user bache from 200.79.37.194 port 43558 ssh2
May 14 01:45:24 ns1 sshd[15323]: Invalid user bartloff from 149.156.65.10
May 14 01:45:26 ns1 sshd[15323]: Failed keyboard-interactive/pam for invalid user bartloff from 149.156.65.10 port 44736 ssh2
May 14 01:46:32 ns1 sshd[15326]: Invalid user bartloff from 211.232.103.213
May 14 01:46:35 ns1 sshd[15326]: Failed keyboard-interactive/pam for invalid user bartloff from 211.232.103.213 port 19084 ssh2
May 14 01:48:01 ns1 sshd[15329]: Invalid user bethke from 85.219.222.6
May 14 01:48:04 ns1 sshd[15329]: Failed keyboard-interactive/pam for invalid user bethke from 85.219.222.6 port 3446 ssh2
May 14 01:48:54 ns1 sshd[15337]: Invalid user bethke from 196.211.191.58
May 14 01:48:56 ns1 sshd[15337]: Failed keyboard-interactive/pam for invalid user bethke from 196.211.191.58 port 56740 ssh2
May 14 01:50:11 ns1 sshd[15713]: Invalid user boback from 88.48.111.85
May 14 01:50:13 ns1 sshd[15713]: Failed keyboard-interactive/pam for invalid user boback from 88.48.111.85 port 10698 ssh2
May 14 01:52:10 ns1 sshd[15716]: Invalid user boback from 201.217.4.214
May 14 01:52:13 ns1 sshd[15716]: Failed keyboard-interactive/pam for invalid user boback from 201.217.4.214 port 56973 ssh2
May 14 01:52:49 ns1 sshd[15719]: Invalid user boehm from 61.9.200.10
May 14 01:52:52 ns1 sshd[15719]: Failed keyboard-interactive/pam for invalid user boehm from 61.9.200.10 port 38383 ssh2
May 14 01:54:06 ns1 sshd[15726]: Invalid user boehm from 66.159.198.155
May 14 01:54:09 ns1 sshd[15726]: Failed keyboard-interactive/pam for invalid user boehm from 66.159.198.155 port 59226 ssh2
May 14 01:55:00 ns1 sshd[15729]: Invalid user bohmbach from 196.38.110.5
May 14 01:55:02 ns1 sshd[15729]: Failed keyboard-interactive/pam for invalid user bohmbach from 196.38.110.5 port 54618 ssh2
May 14 01:56:33 ns1 sshd[16108]: Invalid user bohmbach from 200.241.233.130
May 14 01:56:36 ns1 sshd[16108]: Failed keyboard-interactive/pam for invalid user bohmbach from 200.241.233.130 port 34037 ssh2
May 14 01:57:16 ns1 sshd[16111]: Invalid user bossmann from 194.94.205.135
May 14 01:57:18 ns1 sshd[16111]: Failed keyboard-interactive/pam for invalid user bossmann from 194.94.205.135 port 37950 ssh2
May 14 01:58:43 ns1 sshd[16119]: Invalid user bossmann from 72.237.31.200
May 14 01:58:45 ns1 sshd[16119]: Failed keyboard-interactive/pam for invalid user bossmann from 72.237.31.200 port 18990 ssh2
May 14 02:00:30 ns1 sshd[16521]: Invalid user braun from 200.207.9.57
May 14 02:00:32 ns1 sshd[16521]: Failed keyboard-interactive/pam for invalid user braun from 200.207.9.57 port 3289 ssh2
May 14 02:01:04 ns1 sshd[16524]: Invalid user braun from 213.160.166.102
May 14 02:01:06 ns1 sshd[16524]: Failed keyboard-interactive/pam for invalid user braun from 213.160.166.102 port 53473 ssh2
May 14 02:03:33 ns1 sshd[16531]: Invalid user buesing from 168.243.151.152
May 14 02:03:35 ns1 sshd[16531]: Failed keyboard-interactive/pam for invalid user buesing from 168.243.151.152 port 37842 ssh2
May 14 02:04:58 ns1 sshd[16534]: Invalid user conrad from 213.136.105.130
May 14 02:05:00 ns1 sshd[16534]: Failed keyboard-interactive/pam for invalid user conrad from 213.136.105.130 port 34427 ssh2
May 14 02:05:53 ns1 sshd[16912]: Invalid user conrad from 217.86.138.15
May 14 02:05:55 ns1 sshd[16912]: Failed keyboard-interactive/pam for invalid user conrad from 217.86.138.15 port 1502 ssh2
May 14 02:07:23 ns1 sshd[16915]: Invalid user dregenus from 62.193.238.97
May 14 02:07:25 ns1 sshd[16915]: Failed keyboard-interactive/pam for invalid user dregenus from 62.193.238.97 port 50938 ssh2
May 14 02:08:38 ns1 sshd[16923]: Invalid user dregenus from 62.75.243.13
May 14 02:08:40 ns1 sshd[16923]: Failed keyboard-interactive/pam for invalid user dregenus from 62.75.243.13 port 49503 ssh2
May 14 02:09:52 ns1 sshd[16948]: Invalid user duelsen from 200.74.143.51
May 14 02:09:54 ns1 sshd[16948]: Failed keyboard-interactive/pam for invalid user duelsen from 200.74.143.51 port 52050 ssh2
May 14 02:11:20 ns1 sshd[17326]: Invalid user duelsen from 217.173.42.51
May 14 02:11:22 ns1 sshd[17326]: Failed keyboard-interactive/pam for invalid user duelsen from 217.173.42.51 port 50438 ssh2
May 14 02:14:14 ns1 sshd[17333]: Invalid user engelkin from 203.206.182.19
May 14 02:14:16 ns1 sshd[17333]: Failed keyboard-interactive/pam for invalid user engelkin from 203.206.182.19 port 23228 ssh2
May 14 02:14:39 ns1 sshd[17336]: Invalid user fellechn from 201.224.199.201
May 14 02:14:41 ns1 sshd[17336]: Failed keyboard-interactive/pam for invalid user fellechn from 201.224.199.201 port 4865 ssh2
May 14 02:16:00 ns1 sshd[17712]: Invalid user fellechn from 87.230.19.127
May 14 02:16:03 ns1 sshd[17712]: Failed keyboard-interactive/pam for invalid user fellechn from 87.230.19.127 port 56322 ssh2
May 14 02:17:05 ns1 sshd[17719]: Invalid user friebe from 62.72.101.154
May 14 02:17:08 ns1 sshd[17719]: Failed keyboard-interactive/pam for invalid user friebe from 62.72.101.154 port 37421 ssh2
May 14 02:18:45 ns1 sshd[17727]: Invalid user friebe from 200.207.9.57
May 14 02:18:47 ns1 sshd[17727]: Failed keyboard-interactive/pam for invalid user friebe from 200.207.9.57 port 2718 ssh2
May 14 02:20:03 ns1 sshd[17884]: Invalid user friese from 147.135.0.18
May 14 02:20:05 ns1 sshd[17884]: Failed keyboard-interactive/pam for invalid user friese from 147.135.0.18 port 46898 ssh2
May 14 02:21:10 ns1 sshd[18126]: Invalid user friese from 200.126.119.91
May 14 02:21:12 ns1 sshd[18126]: Failed keyboard-interactive/pam for invalid user friese from 200.126.119.91 port 55976 ssh2
May 14 02:22:41 ns1 sshd[18129]: Invalid user fuhrhop from 87.241.33.10
May 14 02:22:42 ns1 sshd[18129]: Failed keyboard-interactive/pam for invalid user fuhrhop from 87.241.33.10 port 35097 ssh2
May 14 02:23:42 ns1 sshd[18136]: Invalid user fuhrhop from 80.22.111.154
May 14 02:23:45 ns1 sshd[18136]: Failed keyboard-interactive/pam for invalid user fuhrhop from 80.22.111.154 port 24288 ssh2
May 14 02:25:06 ns1 sshd[18468]: Invalid user geffers from 68.190.97.197
May 14 02:25:08 ns1 sshd[18468]: Failed keyboard-interactive/pam for invalid user geffers from 68.190.97.197 port 63995 ssh2
May 14 02:26:02 ns1 sshd[18515]: Invalid user geffers from 201.224.224.37
May 14 02:26:05 ns1 sshd[18515]: Failed keyboard-interactive/pam for invalid user geffers from 201.224.224.37 port 3173 ssh2
May 14 02:27:28 ns1 sshd[18518]: Invalid user gentilot from 80.152.135.243
May 14 02:27:30 ns1 sshd[18518]: Failed keyboard-interactive/pam for invalid user gentilot from 80.152.135.243 port 52732 ssh2

 

Si quelqu'un a des informations sur ce mode d'attaque ou sur le moyen de s'en protéger, ça m'intéresse

xiloa Member

xiloa

Posté(e)
Posté(e)

une telle attaque necessite une certaine logistique à vue de nez. as tu vérifié les IP incriminés ? A vu de nez, enfin en en testant deux ou trois, ce sont des FAI, ce qui veux dire à priori des zombis chez des particuliers, infectés et qui ont l'ordre concerté de t'attaquer. Bref, bizarre, surtout pour une attaque aussi peu discrète que celle ci.

Pang Godlike Member

Pang

Posté(e)
Posté(e)
ce sont des FAI, ce qui veux dire à priori des zombis chez des particuliers, infectés et qui ont l'ordre concerté de t'attaquer.

Oui, où l'attaquant peu spoofer des adresses IP (quoi que la ça fait quand même beaucoup)

 

Bref, bizarre, surtout pour une attaque aussi peu discrète que celle ci.

C'est clair il a pas fait dans le discret !!

A regarder le log de cette attaque brute force par dictionnaire, on peut en déduire qu'il n'est pas Français; de plus il utilise toujours deux fois le même login user et sans majuscule pour les deux tentatives... soit c'est une erreur soit c'est dans un but que je comprends pas.

mediaforest Mega Power Member

mediaforest

Posté(e)
  • Auteur
Posté(e)

Effectivement, ça donne un peu l'impression que c'est vraiment ma mon serveur qui était ciblé, et que l'attaque était bien organisée, ou bien que l'attaquant a un script efficace pour commander ses différents zombies...

 

Les ips semblent valides, car certaines ont quand même fini par être bloquées par fail2ban lorsqu'elles ont fini par dépasser les 6 tentatives

 

Pour les logins en double, je me dis que la même attaque a peut-être été lancée en même temps depuis deux "clusters" de zombies différents, avec le même dictionnaire.

Ce qui m'inquiète c'est d'être attaqué par quelqu'un qui a la main sur autant de machines différentes : ça ne doit pas être un simple script kiddy :P

Invité Pang

Invité Pang

Posté(e)
Posté(e)

Dans ce milieu les informations passent vite.

Et puis, ceux qui créent les botnets ne sont pas forcement ceux qui les utilisent (certains botnets sont monnayables)

 

Les ips semblent valides, car certaines ont quand même fini par être bloquées par fail2ban lorsqu'elles ont fini par dépasser les 6 tentatives

Oui, il est préférable qu'elles soient valides.... sinon, si la machine reste en attente de toutes ces demandes de connexions et que personne ne répond, ça risque de poser un problème pour les ressources système (Ddos ?). A priori le but ici n'était pas de faire tomber le serveur.

 

Je viens de jeter un coup d'oeil sur les adresses utilisées (pas toutes).

98 % de ces IP sont des serveurs web accessibles sur le port 80. (italie allemagne pologne hungrie espagne... et ovh !. Une de ces adresses renvoie sur le site d'engins de chantier caterpillar :P )

Sur le lot, il y a deux machines sur lesquelles le port 139 est ouvert et le partage netbios ouvert à l'extérieur :P

 

Je serai curieux de savoir quelle genre de contre mesure mettre en place contre ce type d'attaque.

KewlCat Devil Member !

KewlCat

Posté(e)
Posté(e)
si la machine reste en attente de toutes ces demandes de connexions et que personne ne répond, ça risque de poser un problème pour les ressources système (Ddos ?).
FYI : sshd intègre un paramètre pour limiter le nombre de connexions ouvertes non répondues. Tant que le login n'a pas réussi ou échoué sur ces connexions, sshd n'en accepte pas d'autre ;-)

 

Je serai curieux de savoir quelle genre de contre mesure mettre en place contre ce type d'attaque.
Arrêter d'utiliser le port 22 pour sshd ?
marc2006 Godlike Member

marc2006

Posté(e)
Posté(e)

mediaforest - as tu essayé portsentry ?

 

sinon, tu peux toujours limiter le nombre d'adresses ip qui peuvent se connecter sur le port avec iptables !

 

++

mediaforest Mega Power Member

mediaforest

Posté(e)
  • Auteur
Posté(e)
Arrêter d'utiliser le port 22 pour sshd ?
ça ralentirait l'attaquant, mais je pense que quelqu'un qui balance une attaque pareille est aussi capable d'analyser les réponses sur les ports ouverts et de trouver sshd même si il n'est pas sur le port standard

 

sinon, tu peux toujours limiter le nombre d'adresses ip qui peuvent se connecter sur le port avec iptables
le problème c'est que j'ai souvent besoin de me connecter depuis chez moi ou ailleurs donc avec une ip dynamique

 

mediaforest - as tu essayé portsentry ?

Jusqu'ici fail2ban me paraissait suffisant, donc je n'avais pas cherché plus loin, mais je vais y jeter un coup d'oeil :P

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...