Debian-facile

fanfray

Membre

Distrib. : 6

(G)UI : Aucune pour l'instant :)

Inscription : 06-04-2011

[Resolu] Attaque serveur

Bonjour,

J'ai reçu un log énorme ce matin et j'aurai aimé avoir votre avis sur les messages qu'il contient. Cela fait 2 semaines que je me suis à Linux car je dois administrer un site sur un serveur Debian.Voici un exemple de message:

pam_unix(smtp:auth): check pass; user unknown
pam_unix(smtp:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=
(Et ce message sur plus de 1000 lignes...)
//////////////////////////////////////////////////////////
smtp:
    Unknown Entries:
       authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= : 8225 Time(s)
       check pass; user unknown: 8225 Time(s)
       authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=  user=mail: 235 Time(s)
       authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=  user=root: 235 Time(s)
       authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=  user=sys: 235 Time(s)
//////////////////////////////////////////////////////////
su:
    Sessions Opened:
       root -> postgres: 1156 Time(s)
       root -> reverdy.fr: 12 Time(s)
///////////////////////////////////////////////////////////

Si il vous faut plus de détail je vous posterez le reste du log.

D’après ce que j'ai vu sur certain forum il s'agirait d'une attaque BruteForce.

Pouvez vous m'en dire un peu plus.

Merci

Dernière modification par fanfray (12-04-2011 22:05:04)

zoroastre74

Membre

Distrib. : Debian Wheezy

Noyau : Linux 3.2

(G)UI : Awesome wm v3.4.13 (Octopus)

Inscription : 28-08-2010

Re : [Resolu] Attaque serveur

Yep!

Effectivement cela ressemble à une attaque de type "bruteforce". Elle consiste à tester de multiple combinaisons de mot de passe sur un compte (login) connu, en l'occurence root.

Cela rejoint ce que je pressentais il y a peu dans ce post : http://debian-facile.org/forum/viewtopic.php?id=3720

As-tu fail2ban installé ? Je te le recommande fortement, il suspendra les ip qui ont échouées dans leur tentative de connection, parfait contre ce type d'attaque.

http://doc.ubuntu-fr.org/fail2ban

Si tu as un peu plus de courage, regardes aussi du côté de snort, utilitaire de détection d'intrusions. Il te permet de surveiller ton système sans être constemment devant.

En parlant d'être devant, si tu es temoin d'une attaque, il faut immédiatement la sniffer. En graphique avec wireshark, en console avec iptraf. Ils ont respectivement des options pour enregistrer les transactions en cours. Tu pourras ainsi retourner la situation à ton avantage et dénoncer ton hacker à son FAI (dans le cas où il s'agit d'un newbie qui ne masque pas son ip ).

@+

Zoroastre.

PS : J'ai omis l'excellent tcpdump ( Outil puissant pour la surveillance de réseau et l'acquisition de données )

Dernière modification par zoroastre74 (09-04-2011 20:27:33)

fanfray

Membre

Distrib. : 6

(G)UI : Aucune pour l'instant :)

Inscription : 06-04-2011

Re : [Resolu] Attaque serveur

Oui fail2ban est installé. Je vais vérifier sa config et voir si j'ai des erreurs dans mon log de demain matin.

fanfray

Membre

Distrib. : 6

(G)UI : Aucune pour l'instant :)

Inscription : 06-04-2011

Re : [Resolu] Attaque serveur

Avec un peu de retard. Les erreurs ne sont pas réapparus. La personne qui a préparé le serveur m'a dit qu'il s'agissait d'erreurs d'authentifications car le Smtp est désactivé.

Dernière modification par fanfray (12-04-2011 21:53:48)

Invité-5

Banni(e)

Re : [Resolu] Attaque serveur

Salut fanfary,

Peux tu mettre résolu et remplir infodistri dans ton Profil ?

Amicalement.

fanfray

Membre

Distrib. : 6

(G)UI : Aucune pour l'instant :)

Inscription : 06-04-2011

Re : [Resolu] Attaque serveur

Ok.

Dernière modification par fanfray (12-04-2011 22:02:12)