logo Homepage
+  NewbieContest
|-+  Général» Defouloir» attaque sur ssh...(coté victime)
Username:
Password:
Pages: [1]
  Imprimer  
Auteur Fil de discussion: attaque sur ssh...(coté victime)  (Lu 9740 fois)
balicocat

Profil challenge

Classement : 23/54252

Néophyte
*
Hors ligne Hors ligne
Messages: 44


Voir le profil
« le: 12 Mars 2008 à 14:06:35 »

Salut à tous,
Je n'ai pas trouvé mieux que la rubrique défouloir pour mon message :

Situation : J'administre à distance plusieurs PC perso sous linux (si si ça existe !) via ssh et/ou vnc. Le service ssh est donc accessible entre 12 et 16 heures par jour (la plupart des gens eteignent leur PC quand ils se couchent !) sur ces machines qui possedent des IP fixe (ADSL  free dégroupé oblige...).

Problème : Ces machines sont la cible de tentative de login ssh en provenance d'IP aussi exotiques que variées. Ca va de quelques tentatives sur les login root, test, user.... à quelques milliers de test (1 toutes les 2-3 secondes) sur une liste (alphabétique la plupart du temps) de login, des prénoms anglo-saxon essentiellement. Ces attaques n'ont pas abouti (du moins je le crois) car pas de compte root actif par défaut sur ubuntu et/ou les logins pas dans les listes et/ou mots de passe pas trouvé...

Contre-mesures : un petit tout sur google et j'installe fail2ban et on change de port et obligation d'un mot de passe plus fort, le tout à distance (et vive ssh). Bref. apparemment une attaque.... minable !

Questions sans réponse : et c'est la que je sollicite votre avis de vilains petits hackers 

Bien sur je me suis déjà renseigné auprès de notre ami commun, mais les réponses ne m'ont pas pleinement satisfait !)

1. un petit Whois et on se rends compte que les IP d'origine sont en chine, roumanie, brésil, usa, afrique du sud, etc.... Ce sont des proxys hackés ? des utilisateur Lambda ? ou des serveurs innocents ? avec #nmap -sS je peux scanner les ports ouverts sur ces machines... (je ne vais pas me gener, tiens) Comment en déduire le type de machine ?

2. Faut-il être obligatoirelent sous linux pour tenter un login ssh ? (existe-il seulement un ssh pour Win ?)

3. Obtenir un accès utilisateur sur une machine... pourquoi faire ? (à part le social engineering)

4. Sous ubuntu, le sudo permet une administration complète du système pour au moins un utilisateur (dont le passe est en général faible...) Selon vous c'est un point faible de la sécurité ? faut-il prévenir les députés français qui sont sous ubuntu me semble-t-il ?

5. A part faire chi... une attaque par dictionnaire toutes les secondes peut-elle mettre à mal mes postes Linux (l'un deux est un Pentium 2 de 300 MHz équipé de 64 Mo de RAM... (et il marche très bien  ) et quid de la bande passante ?

6. A propos des traces, avec un accès root je peux effacer mes traces dans /var/log/auth.log. Y a-t-il d'autre log, ailleurs, digne d'intéret ? je veux parler de l'activité de la personne loggée (car bien sur tous les logs sont dignes d'intérêt !)

7. Sans un problème sur l'un des postes, je n'aurais rien vu de ces attaques.... Donc si vous êtes sous Linux et profitez enfin de votre machine (Oh un troll !) et que, naïvement vous vous croyez à l'abri des importuns du net, vous savez ce qu'il vous reste à faire !!

8. Ces attaques perdurent encore aujourd'hui... Comme je suis plutôt un petit nouveau de l'administration à distance, j'aimerai savoir si c'est un phénomène ancien ou récent (par simple curiosité)

9. Comment remonter au type ou robot derrière l'adresse IP de l'attaque (qui est probablement elle aussi victime) (Ça c'est mon coté chevalier... )

10. Un lien avec les attaques que subissent actuellement les serveurs P2P ? (en relation avec  mes questions 2 3 et 8.) Après tout si vous êtes sur un réseau P2P, vous laissez trainer votre IP, et à partir du logiciel de P2P on peut déduire votre OS (ou du moins savoir que vous êtes sous linux)

Voili, voilou, vous avez tout lu ... Bravo ! le mot de passe est "vous n'êtes pas obligé de répondre à toutes mes interrogations, mais si vous pouvez éclairer ma lanterne sur certains points, je suis preneur !"

Balicocat



Journalisée

Look out honey, 'cause i'm using technology
Spaulding

Profil challenge

Classement : 8/54252

Membre Complet
***
Hors ligne Hors ligne
Messages: 190


Voir le profil WWW
« #1 le: 12 Mars 2008 à 15:02:53 »

1) il me semble que nmap -O te donne l'OS par fingerprint
2) non (putty pour windows par exemple)
3) la curiosité (des fois que tu cacherais du pr0n...) ?
4) c'est le pass faible qui est un faiblesse, pas le sudo : à l'heure ou je t'écrit, je suis admin de mon windows et la plupart de mes spyware s'en trouvent très bien !
5) je suppose que ce serai mieux sans, et pour la BP, y'a pas grand chose à faire, tu ne peux filtrer que à l'arrivée de ton accès internet. Mais regarde quand même du côté des IPtables afin de n'autoriser que ton IP à faire du ssh.
6) ?
7) C'est partout pareil, si tu laisses les alarmes de ton firewall activées, tu passes ton temps à cliquer sur des boîtes rouges.
8 ) Je suppose que ça existe depuis les débuts d'internet, et c'est pas avec la surenchère de BP disponible que ça va se calmer !
9) au mieux un whois, voire un abuse@provider ?
10) bof, je dirais plutôt un scan de range d'IP sur le port 22, si il y a un ACK, on attaque au dictionnaire
« Dernière édition: 12 Mars 2008 à 15:05:55 par Spaulding » Journalisée

---------------
the lsd
Administrateur

Profil challenge

Classement : 189/54252

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3096

poulping for fun & profit


Voir le profil WWW
« #2 le: 12 Mars 2008 à 17:19:41 »

1/ Un scan par TCP ou par IP donne normalement les meilleurs résultats
2/ heureusement qu'il existe du ssh sous win (imagine le bazar sinon)
3/ on peux essayer de voler tes machines pour en faire des zombies par exemple, ou juste pour l'exploit technique
4/ hmmm je sais pas trop, c'est fait comme ca, c'est tout !
5/ ben ca bouffe de la bande passante, mais ca va pas plus loin. Au pire, si ton P2 ne suit pas il risque de ramer, voire de planter mais c'tout
6/ Il y a les logs du /home du genre .bash_history 'fin tous les fichiers cachés du home peuvent etre interressant a regarder
7/ Sur nux, on est pas a l'abri de tout, principalement des virus, mais les backdoors et autres rootkits sont relativement fréquents.
8/ Ben c'est plutot ancien quand meme, depuis internet quoi
9/ Sinon tu peux essayer la geolocalisation par IP, mais ca ne te donneras que l'adresse du proxy. Et encore c'est pas vraiment fiable
10/ I dunno

Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
zours

Profil challenge

Classement : 552/54252

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 811


Voir le profil
« #3 le: 12 Mars 2008 à 21:55:13 »

Ces attaques sont à 99% des bidules automatisés tout pourris. Si ça te gêne de voir ces tentatives de connexion, il suffit de changer le port de ton ssh. C'est radical. Pourtant, c'est nul comme "protection", et ça empêcherait pas un vrai attaquant de trouver l'astuce... Mais ça éliminera presque tout.
Journalisée
Zmx

Profil challenge

Classement : 69/54252

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 559


Voir le profil WWW
« #4 le: 12 Mars 2008 à 22:12:19 »

1. nmap -O en effet, et sinon ça doit etre les 3 categorie.
2. Non => putty, un paquet de lib ssh, ssh sous cygwin
3. Zombie, exploit local (pour devenir root), profité d'un "stockage" gratos et discret
4. T'es pas obliger de laisser ton sudo en nopasswd, et surtout t'es pas obliger d'avoir un pass faible
5. Pas bcp de BP, pas trop de risque
6. Les logs user si il arrive a se loger il peux les effacer.
7. On est jamais a l'abri, meme avec un PC qui a pas internet.
8. Depuis l'invention de ssh (pour ton cas precis) (ce qui peux etre encore plus vieux que internet mais je pense pas)
10. Rien a voir.


J'ajouterais que perso mon ssh je my log par clef et que j'interdit les login par password. (et comme sur ubuntu par defaut, root n'as pas le droit de se loguer)
Néamoins je déconseille l'usage d'agent (ssh-agent), encore plus de forwarder son agent, et bien sur d'encoder votre clef.
Journalisée

balicocat

Profil challenge

Classement : 23/54252

Néophyte
*
Hors ligne Hors ligne
Messages: 44


Voir le profil
« #5 le: 12 Mars 2008 à 22:35:07 »

Merci pour  vos réponses
Voici un petit complément....

1.  @ Spaulding : l'option -O permet effectivement de déterminer l'OS, à la condition de détecter au moins un port ouvert et un port fermé (si j'ai bien tout lu le man) Les résultats ne sont malgré tout pas terribles : un exemple

Not shown: 1683 closed ports
PORT     STATE    SERVICE
22/tcp   open     ssh
25/tcp   filtered smtp
53/tcp   open     domain
80/tcp   open     http
135/tcp  filtered msrpc
136/tcp  filtered profile
137/tcp  filtered netbios-ns
138/tcp  filtered netbios-dgm
139/tcp  filtered netbios-ssn
445/tcp  filtered microsoft-ds
1434/tcp filtered ms-sql-m
1720/tcp filtered H.323/Q.931
3128/tcp open     squid-http
8080/tcp open     http-proxy
Device type: VoIP gateway|general purpose|WAP|security-misc|storage-misc|specialized
Running (JUST GUESSING) : Occam embedded (91%), Linux 2.4.X|2.6.X (91%), Siemens linux (88%), Aladdin Linux 2.4.X (86%), D-Link Linux 2.4.X (86%), Linksys Linux 2.4.X (86%), Asus Linux 2.4.X (86%), Maxtor Linux 2.4.X (86%)
Aggressive OS guesses: Occam ONT ON2342 Voice/Video over IP box (91%), Linux 2.4.31 w/grsec (x86) (91%), Linux 2.4.33 (91%), Linux 2.4.32 (x86) (89%), Linux 2.6.15-27-686 (Ubuntu Dapper, X86) (89%), Linux 2.6.15.4 (89%), Linux 2.6.18-em64t (x86-64) (89%), Linux 2.6.9-42.(x86, SMP) (89%), Siemens Gigaset SE515dsl wireless broadband router (88%), Linux 2.6.9 - 2.6.12 (x86) (88%)

j'ai du mal à saisir de quoi il s'agit... Je penche pour un routeur sous linux (y'en a plein) avec un PC sous windows derrière, mais je ne connais vraiment pas bien windows et quels ports il ouvre par défaut (déjà 5 ans que je suis sous linux !)
 @ the lsd : c'est quoi un scan TCP ou par IP ? tu peux m'en dire plus (eventuellement par MP) ?

2. Du ssh sous windows.... ?? vous n'avez pas l'air d'accord !  @ the lsd : tu veux parler d'un boîte DOS ? ou d'un vrai shell et si oui ça m'interresse de savoir lequel et comment et caetera...

3. D'accord avec vous, pas de limite à l'imagination -- Les seules limites sont les votres --

4. Mooais, le point faible c'est le passe, que ce soit celui du compte root ou d'un utilisateur ayant les droits d'administration, finalement ça reviens au même !

5. Effectivement, sur les machines modernes c'est resté complétement invisible (à par les traces dans auth.log). Ça doit pas consommer beaucoup de BP. La vieille bécane ne souffre pas non plus d'un test toutes les 4-5 secondes... @ Spaulding, pas bête le filtre sur IP, mais je ne suis pas toujours chez moi et comment faire si j'ai une IP dynamique ? (ce qui n'est pas le cas, mais cette configuration est à prendre en compte)

6. Ça peut faire beaucoup de log à analyser, heureusement il y a le shell avec ces commandes de recherche et d'extraction d'expressions. Si par hasard je trouve quelque chose de ce coté là je vous le préciserai.

7. On est bien d'accord: Pas de risque zéro surtout en informatique réseau ! C'est pas parce que tout mon parc est sous linux que je me croit en sécurité ! Non, j'ai juste l'impression d'être moins vulnérable et de pouvoir être réactif. @ Spaulding :mon parefeu n'est pas graphique donc pas de clicodrome. Des logs bordel, rien que des logs...

8. C'est bien ce que je pensai. Un exemple, il m'est arrivé d'essayer de me connecter avec un certain acharnement (scan de port) sur une IP qui aurait du me faisser passer... Mais je m'étais gourré en tapant l'IP ! Encore toutes mes confuses auprès de ma "victime", qui ne s'est probablement pas rendu compte des tentatives de connexion ni du scan de ports.

9. J'ai essayé le mail vers le abuse.... autant pisser dans un violon ! (une boite française m'a répondu un joli mail du genre : merci de votre intervention, nous allons chercher bla, bla, bla.... --encore une réponse automatique sans lendemain -- ). Enfin ça m'étonne que : caché derrière un proxy, anonymat complet assuré

10. C'est juste une idée un peu farfelue qui m'est passée par la tête mais pourquoi pas non ?

Bonus 11 . Une autre idée farfelue, j'ai entendu parler du pot-au-miel ("honey pot"). Laisser une machine vulnérable pour mieux étudier le comportement de "l'attaquant" et son ou ses buts. Quelqu'un a-t-il une expérience dans ce domaine (j'ai pas encore googelisé cette question...) parce que j'avoue que ca me tente et me fait rire sous cape par avance (je dois être un peu pervers !)

Salut, les gens

Balicocat


[EDIT] Deux réponses de plus le temps d'écrire ce message :
@ zours : merci pour le conseil : 99% d'emmerdeur en moins !
@ Zmx : heu tu peux préciser le ssh par clef ?
« Dernière édition: 12 Mars 2008 à 22:48:10 par balicocat » Journalisée

Look out honey, 'cause i'm using technology
Zmx

Profil challenge

Classement : 69/54252

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 559


Voir le profil WWW
« #6 le: 12 Mars 2008 à 22:54:47 »

1) oui bah c'est pas evident de deviner un OS
2)  ssh n'est pas un shell. (mais il existe des "client ssh" putty, comme des server ssh (sous cygwin au moins) pour windows
5) tu peux ouvrir ton port ssh grace au port knocking (orthographe ?): http://fr.wikipedia.org/wiki/Port_knocking
Edit key ssh: http://www.tuteurs.ens.fr/internet/loin/ssh.html#s1_2
Edit bis pour ssh: tu peux aussi copier tes clef avec ssh-copy-id
« Dernière édition: 12 Mars 2008 à 23:10:27 par Zmx » Journalisée

balicocat

Profil challenge

Classement : 23/54252

Néophyte
*
Hors ligne Hors ligne
Messages: 44


Voir le profil
« #7 le: 13 Mars 2008 à 00:03:53 »

Merci Zmx,

Tout ça est diablement interressant, je potasse....

Pour en revenir au post du départ,
j'ai déjà dit que grace au log /var/log/auth.log on peut obtenir la liste des tentatives de connexion à distance et en particulier le login employé, il sont nombreux (il faudra que je m'en fasse un dictionaire un jour !)
Existe-t-il un moyen de savoir quel mot de passe l'attaquant a employé en association avec tel login ?
(Pas de trace à part "Failed" dans le log cité)
Merci
Balicocat
Journalisée

Look out honey, 'cause i'm using technology
the lsd
Administrateur

Profil challenge

Classement : 189/54252

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 3096

poulping for fun & profit


Voir le profil WWW
« #8 le: 13 Mars 2008 à 00:30:39 »

scan TCP et scan IP ce sont des options de Nmap. Ce sont les options qui sont le plus utiles, à mon gout, pour faire du fingerprinting
Le probleme c'est qu'elles ne sont pas tres discretes...

SSH est un protocole, donc ce n'est pas spécialement un shell, comme l'a dit Zmx, donc on peut techniquement faire du ssh sans souci (et je disais imagine le bazar parce que si on ne pouvait que sur nux, ce serait pas pratique pour faire discuter plusieurs ordis avec des OS différents)

Enjoy

The lsd
Journalisée

Newbie Contest Staff :
The lsd - Th3_l5D (IRC)
Statut :
Administrateur
Citation :
Cartésien désabusé : je pense, donc je suis, mais je m'en fous !
balicocat

Profil challenge

Classement : 23/54252

Néophyte
*
Hors ligne Hors ligne
Messages: 44


Voir le profil
« #9 le: 14 Mars 2008 à 09:36:46 »

scan TCP et scan IP ce sont des options de Nmap. Ce sont les options qui sont le plus utiles, à mon gout, pour faire du fingerprinting
Le probleme c'est qu'elles ne sont pas tres discretes...

C'est quoi pas très discrètes ? plein d'IP de l'expediteur dans les logs ? des boites-à-clic qui alerte l'utilisateur ?

Bon, si SSH est un protocole (ça veux pourtant bien dire secure shell ?), quand je me connecte entre poste nux, j'ai un shell classique avec toutes ces bonnes commandes si typiques qui n'existe pas sous windows (enfin, c'est ce qu'il me semble...). Comment est-il possible d'avoir la même chose sur un poste Windows ?.
Si je tente de me connecter par ssh vers un poste windows, il lui faut un serveur ssh ? Zmx a parlé de putty (je ne me suis pas encore renseigné sur ce logiciel, mais j'imagine que c'est son rôle). putty permet-il un vrai shell sur un poste W?

Quand, je fait du ssh, je me logue sur un compte utilisateur ou root, y'a un équivalent Windows ? (J'imagine que vous trouvez ma question con mais je n'ai pas appris l'informatique à l'école, ni utilisé l'OS Windows depuis W98.... et j'essaie de me faire rembourser la licence de Vista vendue de force avec mon portable ! Donc mes connaissances des Windows récents sont quasi-nulles !)
Heureusement que windasm existe toujours et qu'il fonctionne avec Wine sinon, je suis mort pour les 'crackme'
A+
Balicocat
Journalisée

Look out honey, 'cause i'm using technology
s3th
Relecteur

Profil challenge

Classement : 416/54252

Membre Héroïque
*
Hors ligne Hors ligne
Messages: 645


Voir le profil WWW
« #10 le: 14 Mars 2008 à 10:14:30 »

secure shell for workstations
Journalisée

..\m/..  Tout n'est qu'illusion ..\m/..

http://backtrack-fr.net/

3NJ0Y et non pas enjoy comme certaine tapz
_o_
Relecteur

Profil challenge

Classement : 42/54252

Membre Héroïque
*
Hors ligne Hors ligne
Messages: 1258


Voir le profil
« #11 le: 14 Mars 2008 à 14:51:35 »

Bon, si SSH est un protocole (ça veux pourtant bien dire secure shell ?), quand je me connecte entre poste nux, j'ai un shell classique avec toutes ces bonnes commandes si typiques qui n'existe pas sous windows (enfin, c'est ce qu'il me semble...). Comment est-il possible d'avoir la même chose sur un poste Windows ?.

Oui... Et non. SSH (et particulièrement OpenSSH, l'implémentation classique) fournit la connexion réseau, avec authentification et chiffrage de la ligne. Il permet également l'encapsulation de flux (X11, HTTP, etc...) rudement pratiques. Mais au final, quand tu évoques l'utilisation d'un client simple, cela ne fait qu'ouvrir une session sur la machine et tu aboutis sur ton shell habituel (bash, ksh ou que sais-je), choses qui n'existent pas encore tout à fait en tant que telle sous windows.

Alors il existe un portage OpenSSH pour windows, que je déconseille fortement. Assez instable, et évidemment, à l'autre bout, on se retrouve avec une ligne de commande... DOS. Ben oui.

Autre possibilité : installer une émulation Unix (la plus connue : cygwin, la plus politiquement correcte : Service For Unix (parce que fournie gratuitement par MS)). Tu as là-dedans OpenSSH, les shells courants, et tous les autres outils usuels sur un Unix. La culotte de la crémière, en somme.

Citation de: balicocat
Zmx a parlé de putty (je ne me suis pas encore renseigné sur ce logiciel, mais j'imagine que c'est son rôle). putty permet-il un vrai shell sur un poste W?

Non, putty est un client SSH, pas un serveur.

Citation de: balicocat
Quand, je fait du ssh, je me logue sur un compte utilisateur ou root, y'a un équivalent Windows ?

Oui, oui, la notion multi-utilisateurs est quand même arrivée jusque chez Microsoft depuis le temps...
Journalisée

Les épreuves de hack de NC sont trop faciles ? Et pourtant ! Bienvenue dans la vraie vie : http://thedailywtf.com/Articles/So-You-Hacked-Our-Site!.aspx
Pages: [1]
  Imprimer  
 
Aller à: