Intrusion sur serveur

[code]

Dans la série des problemes, j'ai du mal à résoudre celui-ci :

il semble que mon serveur soit victime (comme tant d'autres) de tentatives d'intrusions.

Cette semaine 2 grosses séries ont chargé le CPU à 90% et causé des ralentissements énormes sur mes sites.

J'ai mis en place des restrictions de port avec les iptables pensant que ça résoudrait un peu les choses.

Mais aujourd'hui je relève ceci dans mon fichier syslog
Extrait :

Jan 12 11:56:34 ns36878 sshd[29038]: Invalid user sierra1 from 211.115.86.242
Jan 12 11:56:36 ns36878 sshd[8002]: Invalid user sierra12 from 211.115.86.242
Jan 12 11:56:39 ns36878 sshd[540]: Invalid user sierra123 from 211.115.86.242
Jan 12 11:56:41 ns36878 sshd[32451]: Invalid user sierra1234 from 211.115.86.242
Jan 12 11:56:44 ns36878 sshd[32326]: Invalid user sierra12345 from 211.115.86.242
Jan 12 11:56:46 ns36878 sshd[16313]: Invalid user sierra123456 from 211.115.86.242
Jan 12 11:56:49 ns36878 sshd[9206]: Invalid user sierra1234567 from 211.115.86.242
Jan 12 11:56:51 ns36878 sshd[27599]: Invalid user sierra12345678 from 211.115.86.242
Jan 12 11:56:53 ns36878 sshd[4531]: Invalid user sierra123456789 from 211.115.86.242
Jan 12 11:56:56 ns36878 sshd[31922]: Invalid user lillian1 from 211.115.86.242
Jan 12 11:56:58 ns36878 sshd[2748]: Invalid user lillian12 from 211.115.86.242

et aussi des trucs de ce genre :

Jan 12 15:17:24 ns36878 named[23564]: FORMERR resolving 'aftersport.com/MX/IN': 64.20.49.218#53
Jan 12 15:17:24 ns36878 named[23564]: FORMERR resolving 'aftersport.com/MX/IN': 64.20.39.26#53
Jan 12 15:17:25 ns36878 named[23564]: FORMERR resolving 'aftersport.com/MX/IN': 64.20.49.218#53
Jan 12 15:17:25 ns36878 named[23564]: FORMERR resolving 'aftersport.com/MX/IN': 64.20.39.26#53
Jan 11 19:21:54 ns36878 named[22358]: lame server resolving 'singlemail.com' (in 'singlemail.com'?): 68.142.132.46#53
Jan 11 19:21:54 ns36878 named[22358]: lame server resolving 'cnnwarnews.com' (in 'cnnwarnews.com'?): 203.22.204.101#53
Jan 11 19:21:54 ns36878 named[22358]: lame server resolving 'singlemail.com' (in 'singlemail.com'?): 68.142.129.131#53
Jan 11 19:21:54 ns36878 named[22358]: lame server resolving 'cnnwarnews.com' (in 'cnnwarnews.com'?): 216.193.201.105#53
Jan 11 19:21:56 ns36878 named[22358]: lame server resolving 'singlemail.com' (in 'singlemail.com'?): 68.142.132.46#53
Jan 11 19:21:56 ns36878 named[22358]: lame server resolving 'cnnwarnews.com' (in 'cnnwarnews.com'?): 203.22.204.101#53
Jan 11 19:21:56 ns36878 named[22358]: lame server resolving 'singlemail.com' (in 'singlemail.com'?): 68.142.129.131#53
Jan 11 19:21:56 ns36878 named[22358]: lame server resolving 'cnnwarnews.com' (in 'cnnwarnews.com'?): 216.193.201.105#53
Jan 11 19:21:57 ns36878 named[22358]: lame server resolving 'singlemail.com' (in 'singlemail.com'?): 68.142.129.131#53

Même si le serveur n'est pas ralenti j'aimerais pouvoir résoudre ce problème.

La gestion d'un serveur n'est pas mon domaine et pour tout dire est un truc que je fais plus par nécessité que par plaisir.

Mais sa sécurité est un point fondamental au fonctionnement de mes sites.

Bref, quelqu'un aurait-il des conseils pour me débarrasser des intrus ?

[biddybulle]

ok il faut que tu configures mieux ton serveur SSH car là il se prend des milliers de connexions dans la tronche à l'heure jusqu'au jour ou il lachera et normalement il rentreront en Root.

J'ai eu le cas avec des roumains qui installait des systèmes de bot pour valider leur pub. Il ont installé quelque processus mais bon mon password invalidé j'ai heureusement repéré le problème.

Donc ferme ta connexion SSH à certaine IP par exemple ou encore limite le nombre de connexion tout les temps de seconde et ton serveur ne sera plus importuné

[code]

Merci pour ta réponse. Et je suis bien d'accord avec toi. Seulement je suis à cours d'idées...

J'ai un peu fureté pour voir comment je pouvais sécuriser mon serveur et j'ai trouvé des infos sur les iptables.
En outre j'ai trouvé cette page dont je me suis inspiré :

#!/bin/bash
echo Setting firewall rules...
#
# config de base dedibox
# Florian Cristina
#

###### Debut Initialisation ######

# Interdire toute connexion entrante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
echo - Interdire toute connexion entrante : [OK]

# Interdire toute connexion sortante
iptables -t filter -P OUTPUT DROP
echo - Interdire toute connexion sortante : [OK]

# Vider les tables actuelles
iptables -t filter -F
iptables -t filter -X
echo - Vidage : [OK]

# Autoriser SSH
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
echo - Autoriser SSH : [OK]

# Ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
echo - Ne pas casser les connexions établies : [OK]

###### Fin Inialisation ######

##### Debut Regles ######

# Autoriser les requetes DNS, FTP, HTTP, NTP
iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
echo - Autoriser les requetes DNS, FTP, HTTP, NTP : [OK]

# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
echo - Autoriser loopback : [OK]

# Autoriser ping
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
echo - Autoriser ping : [OK]

# HTTP
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT
echo - Autoriser serveur Apache : [OK]

# FTP
modprobe ip_conntrack_ftp
iptables -t filter -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo - Autoriser serveur FTP : [OK]

# Mail
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT
echo - Autoriser serveur Mail : [OK]

###### Fin Regles ######

echo Firewall mis a jour avec succes !

source : http://assistance.dedibox.fr/documentat ... n:iptables

Malheureusement même en mettant des restrictions, cela ne semble pas assez efficace ou alors il n'y a pas assez de resctriction.

par ailleurs, j'ai la mauvaise impression qu'il se passe un truc pas clair au niveau du serveur de mail et j'ai bien peur de servir de relais de spam

[kylliox]

si ton poste client à une ip fixe tu configure hosts.deny et hosts.allow

[biddybulle]

je dirais que tu ne dois pas toucher à iptable mais au paramètre du serveur SSH qui doit refuser par défaut l'authentification root et avoir un Time to wait for login à 10 par exemple

et tu as également la possibilité de figer les IP qui s'y connecte. Juste les tienne de préférence.

[code]

je dirais que tu ne dois pas toucher à iptable mais au paramètre du serveur SSH qui doit refuser par défaut l'authentification root et avoir un Time to wait for login à 10 par exemple

et tu as également la possibilité de figer les IP qui s'y connecte. Juste les tienne de préférence.

J'ai déjà mis un login à 5 et ça ne change rien. Mais je regarde pour l'authentification root. C'est clair que je n'ai que ce compte et je n'ai pas créé de compte utilisateur

sinon, j'avais aussi fait une restriction sur les ip mais le problème est que je n'ai pas une ip fixe...

[biddybulle]

tu as redémarrer ton ssh apres tes modifs ?

[MirageDemonAsh]

Dans un premier temps on crée un utilisateur simple toto avec un mot de passe béton : sj5dd4jhsqSQK5FFQS5D ensuite on s'occupe du root avec une interdiction.

Fichier à editer en supposant que ta machine utilise Debian GNU/Linux (De toute façon le nom du fichier et sshd_config) :

/etc/ssh/sshd_config

Tu mets no à PermitRootLogin

Soit PermitRootLogin no

et tu ajoutes le seul utilisateur autorisé :

AllowUsers toto

Tu redémarres ssh

Quand tu souhaites te connecter tu utilises ton utilisateur simple et ensuite avec la commande su tu te connectes en root

Tu peux pousser un peu, pour eviter les robots de pourrir tes logs, en changeant le port d'écoute de sshd :

Tu ouvres le port (par exemple) 6113 avec iptables (Ne pas fermer le port 22 tout de suite)
Tu edites le fichier /etc/ssh/sshd_config

Port 6113 remplace Port 22

Tu redémarres ssh et tu testes la connection avec le nouveau port soit :

ssh -p 6113 toto@194.xxx.xxx.xxx

Si ça fonctionne alors tu peux fermer le port 22 il n'est plus utile. Bien sûr, il faut tester que seul toto et le port 6113 soient autorisés.

[code]

tu as redémarrer ton ssh apres tes modifs ?

oui oui.

[code]

MirageDemonAsh je commence par créer un compte utilisateur pour le ssh et vois ce que ça donne

[MirageDemonAsh]

Oui, mais le changement du port d'écoute est indispensable pour completer cette technique.

------- C'est suffisant ---------- Mais y a toujours mieux ^^

Pour renforcer encore plus :

Une connexion au serveur uniquement par clé (Le reste interdit) :

Uniquement par clé avec passe phrase

[code]

Et en ce qui concerne ce que j'ai également dans mes log :

Jan 12 15:17:24 ns36878 named[23564]: FORMERR resolving 'aftersport.com/MX/IN': 64.20.49.218#53
Jan 12 15:17:24 ns36878 named[23564]: FORMERR resolving 'aftersport.com/MX/IN': 64.20.39.26#53
Jan 12 15:17:25 ns36878 named[23564]: FORMERR resolving 'aftersport.com/MX/IN': 64.20.49.218#53
Jan 12 15:17:25 ns36878 named[23564]: FORMERR resolving 'aftersport.com/MX/IN': 64.20.39.26#53
Jan 11 19:21:54 ns36878 named[22358]: lame server resolving 'singlemail.com' (in 'singlemail.com'?): 68.142.132.46#53
Jan 11 19:21:54 ns36878 named[22358]: lame server resolving 'cnnwarnews.com' (in 'cnnwarnews.com'?): 203.22.204.101#53
Jan 11 19:21:54 ns36878 named[22358]: lame server resolving 'singlemail.com' (in 'singlemail.com'?): 68.142.129.131#53
Jan 11 19:21:54 ns36878 named[22358]: lame server resolving 'cnnwarnews.com' (in 'cnnwarnews.com'?): 216.193.201.105#53
Jan 11 19:21:56 ns36878 named[22358]: lame server resolving 'singlemail.com' (in 'singlemail.com'?): 68.142.132.46#53
Jan 11 19:21:56 ns36878 named[22358]: lame server resolving 'cnnwarnews.com' (in 'cnnwarnews.com'?): 203.22.204.101#53
Jan 11 19:21:56 ns36878 named[22358]: lame server resolving 'singlemail.com' (in 'singlemail.com'?): 68.142.129.131#53
Jan 11 19:21:56 ns36878 named[22358]: lame server resolving 'cnnwarnews.com' (in 'cnnwarnews.com'?): 216.193.201.105#53

>> ce n'est pas une tentative de connection ssh mais un problème de mail non ?

[Topsitemaker]

Bonjour,
change de port SSH, puis installe Denyhosts http://denyhosts.sourceforge.net/, valable sur yum en rpm.

maintenant, j'en ai au minimum 200 fois moins de tentatives de connexion.

Ca reste de la sécurité 'empirique' mais ca marche, et les logs sont tellement plus lisible...

[ACth]

question: sur quels logs vous constater ces "attaques" ?

-> pourquoi changer le port ? n'existe t-il pas des outils permettant de scanner les ports ouverts sur un serveur ?

[code]

question: sur quels logs vous constater ces "attaques" ?

-> pourquoi changer le port ? n'existe t-il pas des outils permettant de scanner les ports ouverts sur un serveur ?

Dans ton dossier de logs, c'est le fichier syslog