[gull] Attaque SSH
Daniel Cordey
dc at mjt.ch
Thu Dec 14 13:57:02 CET 2006
On Thursday 14 December 2006 12:59, Anne Possoz wrote:
> Je suis toujours surprise de ne pas voir mentionnée la solution
> que permet (x)inetd et ses fichiers hosts.allow / hosts.deny .
J'avais fait commence par mettre les adresses IP dans hosts.deny, mais je
m'etais rapidement rendu compte que ces adresses ne se repeteaient pas. Ce
qui fait qu'il etait inutile de scanner les logs une fois par jour. En fait
un site qui fait des tentatives en fait un certain nombre. L'objectif avec
des outils comme denyhost (ou autres) est de determiner tres rapidement que
l'on a 3 tentatives infrustueuses de la part d'un site et de l'empecher d'en
faire d'autres dans les minutes qui suivent.
> La redirection du port ssh me semble à terme assez naïve et d'ailleurs
> pas toujours utilisable (par exemple, si en amont on a des protections
> qui ne laissent passer que quelques ports, dont le 22).
C'est vrai lorsque tu est derriere en FW que tu ne controles pas. Par contre,
quand meme utile dans certains cas. Je pense que l'on devrait bientot voir
des tentatives sur sshd, dont les ports d'ecoutes ont ete scannes. Bien sur,
cela pose probleme car on risque d'etre detecte en effectuant le scan, mais
si j'etais craker, c'est ce que je ferais (--paranoid !), donc il n'y a pas
de raisons que ces types n'y pensent pas non plus. Quand on voit la
sofistication des bot-nets, il ne vaut mieux pas speculer sur la stupidite de
ces gens. Un jour ou l'autre ca arrivera.
dc
More information about the gull
mailing list