Samedi dernier j'ai ouvert un port sur ma box, redirigé vers un port sur mon pc.
Genre le port 12345 sur la box redirige vers le port 21435 sur mon pc et sshd écoute sur ce port.
Je viens de me rendre compte que, un petit malin (ou son robot) a trouvé que ce port était ouvert et qu'un démon ssh tournait derrière.
Depuis lundi j'ai des tentative de connexion a peu prés toutes les 10 secondes, probablement pour trouver le mot de passe root (ou pas).
Extrait de auth.log
Code : Tout sélectionner
Dec 11 00:46:24 HostToFanch sshd[1378]: Bad protocol version identification '\026\003\001' from 78.227.244.184 port 57300
Dec 11 00:48:53 HostToFanch sshd[1405]: Did not receive identification string from 78.227.244.184
Dec 11 00:51:24 HostToFanch sshd[1415]: Did not receive identification string from 78.227.244.184
Dec 11 00:53:54 HostToFanch sshd[1426]: Did not receive identification string from 78.227.244.184
Dec 11 00:56:24 HostToFanch sshd[1435]: Did not receive identification string from 78.227.244.184
Dec 11 00:58:55 HostToFanch sshd[1458]: Did not receive identification string from 78.227.244.184
Dec 11 01:01:27 HostToFanch sshd[1487]: Bad protocol version identification '\026\003\001' from 78.227.244.184 port 57938
Dec 11 01:04:00 HostToFanch sshd[1522]: Did not receive identification string from 78.227.244.184
Dec 11 01:06:29 HostToFanch sshd[1643]: Bad protocol version identification '\026\003\001' from 78.227.244.184 port 58161
1) ce n'est pas l'adresse ip de l'attaquant qui apparaît dans les logs (même en bloquant l'ip avec iptables l'attaque continue)
2) ce n'est pas le bon port non plus ... En tout cas ce n'est pas le port d’écoute de sshd (et en plus c'est jamais le même port qui apparaît dans les logs)
La solution simple pour résoudre ce problème a été de fermer le port sur ma box.
Cependant j'ai quelques questions et besoins d'explication...
Est-ce que, c'est syslog-ng qui se fait leurrer ? Si oui comment ?
L’intérêt évident de se genre d'attaque c'est que l'ip de l'attaquant n'est jamais banni (par exemple par un fail2ban). Est-ce qu'il y a un moyen de récupérer la vrai ip quelque part ? (dans le journal de systemd par exemple ?)
Si c'est au niveau de tcp qu'une fausse ip est indiqué, alors comment l'attaquant fait pour récupérer la réponse de sshd ?
Est-ce que vous connaissez des outils pour reproduire ce genre de chose en interne sur mon réseau ? (Peut-être sur les dépôts blackarch ? )