5 votes

armando.sano avatar

Comment puis-je combattre toutes ces attaques par force brute ?

Demandé el 15 de Juin, 2015
Quand la question a-t-elle été
1275 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai 3 serveurs dédiés, tous sous CentOS, qui sont physiquement situés au Canada.

Sur le serveur le plus récent, cPHulk a commencé à détecter (et à mettre sur liste noire) les tentatives de connexion échouées. Cela a commencé le jour où le serveur a été mis en ligne. Depuis lors, je reçois 15 à 30 courriels par jour de cPHulk m'informant qu'il y a eu un "grand nombre de tentatives de connexion échouées".

J'ai remarqué que toutes les tentatives provenaient de Chine, j'ai donc installé csf et bloqué entièrement la Chine. Quelques jours plus tard, les attaques étaient de retour, mais en provenance de pays différents. Jusqu'à présent, j'ai bloqué quatre pays par désespoir, mais je sais que ce n'est pas une solution légitime. Les attaques proviennent maintenant de pays que je ne peux pas me permettre de bloquer, car je peux m'attendre à un trafic légitime en provenance de ces pays.

Je reçois également des attaques provenant d'IP qui ne semblent pas être associées à un pays, comme dans cette capture d'écran :

http://i.imgur.com/LN6qmfK.png

Je ne crains pas qu'ils soient capables de deviner le mot de passe, car celui que j'utilise est très fort.

Mes questions sont donc les suivantes , pourquoi visent-ils mon serveur et comment l'ont-ils trouvé si rapidement ? Comment puis-je atténuer ces tentatives de connexion sans bloquer des pays entiers ? Et d'où vient cette IP dans la capture d'écran ? Je ne peux que supposer qu'on m'a attribué une adresse IP ayant une mauvaise réputation, mais mon expérience et mes connaissances en matière d'administration de serveurs sont un peu limitées et je ne sais même pas si cela est plausible.

Demandé el 15 de Juin, 2015 par armando.sano

Réponses

Trop de publicités?

9voto

Katherine Villyard avatar
Katherine Villyard Points 18470

Comme Michael Hampton l'a dit, Ils [TM] font ça à tout le monde. Leurs scripts ont détecté une adresse IP écoutant sur un port et ils y jettent des noms d'utilisateur et des mots de passe pour voir si quelque chose colle. Ce site est une carte des attaques en direct.

Si les courriels vous dérangent, vous pouvez plutôt établir une liste blanche des adresses IP de connexion autorisées et faire en sorte que le système vous envoie un courriel lorsque quelqu'un se connecte à partir d'un site qui ne figure pas sur la liste blanche.

Quant à l'IP dans la capture d'écran, 0.42.0.0 :

L'adresse 0.0.0.0 ne peut être utilisée comme adresse d'un paquet sortant que dans les cas suivants lorsqu'un ordinateur apprend quelle adresse IP il doit utiliser. Elle n'est jamais utilisée comme adresse de destination. Les adresses commençant par "0". sont parfois utilisées pour des diffusions vers des périphériques directement connectés.

Si vous voyez des adresses commençant par un "0." dans les journaux, elles sont probablement utilisées sur votre réseau. utilisées sur votre réseau, qui peut être aussi petit qu'un ordinateur connecté à une à une passerelle domestique.

Ce bloc a été attribué par l'IETF, l'organisation qui développe protocoles Internet, dans le document standard, RFC 1122, et est en outre documenté dans le document RFC 6890 sur les meilleures pratiques actuelles. L'IANA est l'IANA est listée en tant que registrant afin de préciser que ce réseau n'est pas attribué à une seule organisation.

Ces documents peuvent être consultés à l'adresse suivante http://datatracker.ietf.org/doc/rfc1122 http://datatracker.ietf.org/doc/rfc6890

Répondu el 15 de Juin, 2015 par Katherine Villyard (18470 Points )

3voto

berto avatar
berto Points 221

Je suis surpris que personne ne l'ait mentionné, mais une façon radicale de se protéger contre ces attaques par force brute très courantes est de mettre en place un démon de frappe de port comme knockd . Ainsi, à moins que l'attaquant ne scanne votre machine avec une séquence spécifique de ports dans le bon ordre, il ne trouvera même pas un port SSH ouvert. Pour les utilisateurs légitimes, de nombreux clients SSH prennent en charge cette fonction et sont capables de déclencher la séquence de ports correcte avant de se connecter au serveur ssh.

Mais évidemment, une authentification non triviale avec une prison fail2ban en cours d'exécution et des temps de recherche et d'interdiction appropriés est suffisante dans presque tous les cas.

Répondu el 17 de Juin, 2015 par berto (221 Points )

-3voto

dr0i avatar
dr0i Points 211

Si c'est seulement pour sshd - Regardez, par exemple, ici https://unix.stackexchange.com/questions/21639/internet-ssh-server-security-considerations .

Je dois compter sur l'utilisation du nom d'utilisateur et du mot de passe, pas des clés. Pour être plus sûr, je lance le sshd sur un port non standard, ce qui semble entraver environ > 99% des attaques. Ensuite, définissez LoginGraceTime dans votre configuration sshd pour, disons 10 Cela signifie qu'après trois tentatives infructueuses, la tentative suivante ne peut avoir lieu qu'après 10 secondes. qui donne à toute tentative d'authentification 10 secondes avant de fermer la connexion. Donc, la force brute n'est plus que énergique :) Assurez-vous également de définir PermitRootLogin no .

Répondu el 15 de Juin, 2015 par dr0i (211 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X