[gull] Tentative

magnus anderssen magnus at magooweb.com
Wed Dec 29 18:02:02 CET 2004 

Hello,

j'ai fait la même constation pour les essais sur ssh (il y en a même
un qui a essayé pendant 2 heures)! Ca ne fait que prouver l'importance
de mot de passe "fort" et de la gestion des comptes.

Ne voulant plus que ceci remplisse mes logs, j'ai cherché (un peu)
avec mon ami google pour voir si qqn n'avait pas déjà une solution
toute faite. Bredouille, j'ai fait un petit scipt en shell que je
lance toutes les 2 minutes. Ce dernier n'étant pas configurable ni pas
modulaire pour un sou, je ne pense pas qu'il est très intéressant de
l'attacher à ce mail.

Je me suis toutefois demandé en faisant ce script les critères
d'exclusion que je voulais utiliser. En effet, j'exécute purement et
simplement "iptables -I INPUT -s $ip -j DROP" pour les candidats à
l'exclusion. Non, ne sautez pas au plafond. Je pourrai n'interdire que
le ssh, mais bon...

J'ai pris en compte que je voulais:
- faire vite un "concept" (shell car je n'ai pas de connaissances
suffisantes avec d'autres langages)
- utiliser "auth.log" (et aussi auth.log.0 avec logrotate
hebdomadaire) -> 2 semaines de "mémoire".
- le nombre de tentatives avant de sévir (au pif, 6)
- ne pas être exclu moi-même de mon serveur pour avoir tapé les mots
de passe d'autres machines :-)
- pas de db autre qu'un simple fichier (cf. premier point).

Le résultat est là, mais la satisfaction pas trop. J'oscille entre
l'envie de faire mieux et celle d'en rester là. Il y a plusieurs
parties qui pourrait être vraiment mieux conçues. Je vais peut-être le
refaire en perl un jour.

Il pourait être intéressant d'avoir une sorte de DNS "à la spamhaus"
pour ce genre de kiddies. Mais cela implique bcp de considérations de
sécurité (histoire de ne pas faire un déni de service général) et
aussi de faire des "lookup" de chaque IP nouvelle qui tente une approche.

Salutations,

Magnus



Daniel Cordey wrote:

>  He, he... En regardant les logs (/var/log/messages) sur une de mes
>  machines, je suis tombe sur des tentatives de login avec ssh.
>
>  Ces essais emanent tous a partir d'adresse IPv6 (Coree,
>  semble-t-il) et il s'agit de 'force brute'. A savoir, un nombre de
>  noms d'utilisateurs avec des mots de passes. Ces tentatives sont
>  quasi quotidiennes et systematiques. Naturellement, elles sont
>  ralenties par le 'delai' observe par le sshd en cas d'insucces.
>
>  J'ai bien quelques idees pour decourager/ralentir ces essais, mais
>  j'aimerais savoir si l'un d'entre-vous a deja un peu d'experience
>  pour ce genre de situation. Quelle est la meilleure strategie a
>  adopter ? Faut-il ralentir le flux, ne plus repondre, le rejeter ?
>
>  Pour ceux que ca interesses, j'ai la liste des tentatives de noms
>  ainsi que les adresses IP.
>
>  dc _______________________________________________ gull mailing
>  list gull at lists.alphanet.ch
>  http://lists.alphanet.ch/mailman/listinfo/gull

More information about the gull mailing list