[sécu] brutforce ssh et spoofing syslog-ng

Applications, problèmes de configuration réseau
Fanch
archer
Messages : 140
Inscription : lun. 01 déc. 2008, 21:16
Contact :

[sécu] brutforce ssh et spoofing syslog-ng

Message par Fanch »

Salut tlm,

Samedi dernier j'ai ouvert un port sur ma box, redirigé vers un port sur mon pc.
Genre le port 12345 sur la box redirige vers le port 21435 sur mon pc et sshd écoute sur ce port.

Je viens de me rendre compte que, un petit malin (ou son robot) a trouvé que ce port était ouvert et qu'un démon ssh tournait derrière.

Depuis lundi j'ai des tentative de connexion a peu prés toutes les 10 secondes, probablement pour trouver le mot de passe root (ou pas).

Extrait de auth.log

Code : Tout sélectionner

Dec 11 00:46:24 HostToFanch sshd[1378]: Bad protocol version identification '\026\003\001' from 78.227.244.184 port 57300
Dec 11 00:48:53 HostToFanch sshd[1405]: Did not receive identification string from 78.227.244.184
Dec 11 00:51:24 HostToFanch sshd[1415]: Did not receive identification string from 78.227.244.184
Dec 11 00:53:54 HostToFanch sshd[1426]: Did not receive identification string from 78.227.244.184
Dec 11 00:56:24 HostToFanch sshd[1435]: Did not receive identification string from 78.227.244.184
Dec 11 00:58:55 HostToFanch sshd[1458]: Did not receive identification string from 78.227.244.184
Dec 11 01:01:27 HostToFanch sshd[1487]: Bad protocol version identification '\026\003\001' from 78.227.244.184 port 57938
Dec 11 01:04:00 HostToFanch sshd[1522]: Did not receive identification string from 78.227.244.184
Dec 11 01:06:29 HostToFanch sshd[1643]: Bad protocol version identification '\026\003\001' from 78.227.244.184 port 58161
Ce qui est particulièrement intéressant :
1) ce n'est pas l'adresse ip de l'attaquant qui apparaît dans les logs (même en bloquant l'ip avec iptables l'attaque continue)
2) ce n'est pas le bon port non plus ... En tout cas ce n'est pas le port d’écoute de sshd (et en plus c'est jamais le même port qui apparaît dans les logs)

La solution simple pour résoudre ce problème a été de fermer le port sur ma box.

Cependant j'ai quelques questions et besoins d'explication...

Est-ce que, c'est syslog-ng qui se fait leurrer ? Si oui comment ?

L’intérêt évident de se genre d'attaque c'est que l'ip de l'attaquant n'est jamais banni (par exemple par un fail2ban). Est-ce qu'il y a un moyen de récupérer la vrai ip quelque part ? (dans le journal de systemd par exemple ?)

Si c'est au niveau de tcp qu'une fausse ip est indiqué, alors comment l'attaquant fait pour récupérer la réponse de sshd ?

Est-ce que vous connaissez des outils pour reproduire ce genre de chose en interne sur mon réseau ? (Peut-être sur les dépôts blackarch ? )
"The three principal virtues of a programmer are Laziness, Impatience, and Hubris." -> man perl
benjarobin
Maître du Kyudo
Messages : 16008
Inscription : sam. 30 mai 2009, 15:48
Localisation : Lyon

Re: [sécu] brutforce ssh et spoofing syslog-ng

Message par benjarobin »

Bonjour,
Au vu des messages d'erreur je ne dirais pas que tu t'es fait attaqué, tu as du juste choisir un port utilisé par un autre protocole. D'ailleurs on voit bien qu'aucune identification n'est faite, voir même que sshd ne comprend pas ce qui est envoyé
C'est impossible qu'avec iptable tu ne bloques pas la chose : mauvaise configuration ?
Et c'est le port source qui est affiché et non le port de destination.

Et en quoi syslog se fait avoir, il ne fait qu'afficher ce qu'indique sshd. D'ailleurs si tu veux un log plus "secure" tu as quand même journalctl qui sera plus complet aussi.

De plus tu ne serais pas chez free par hasard et habitant prêt de Brignoles (France - Provence-Alpes-Cote d'Azur) ?
Zsh | KDE | PC fixe : core i7, carte nvidia | Portable : Asus ul80vt
Titre d'un sujet : [Thème] Sujet (état)
Avatar de l’utilisateur
RoyalPanda
yeomen
Messages : 208
Inscription : lun. 19 mai 2014, 09:08

Re: [sécu] brutforce ssh et spoofing syslog-ng

Message par RoyalPanda »

benjarobin a écrit :Bonjour,
De plus tu ne serais pas chez free par hasard et habitant prêt de Brignoles (France - Provence-Alpes-Cote d'Azur) ?
Je vote personnellement pour Vanves, Ile-de-France.
Avatar de l’utilisateur
RoyalPanda
yeomen
Messages : 208
Inscription : lun. 19 mai 2014, 09:08

Re: [sécu] brutforce ssh et spoofing syslog-ng

Message par RoyalPanda »

Sinon, pour la question :

\026\003\001 semble être l'initialisation d'un handshake TLS. En gros, quelqu'un essaye de faire du https (ou autre protocole commençant par du TLS), sur le port d'écoute de SSHD.
Utilise tu un port souvent configuré par un logiciel répandu ? As-tu utilisé une configuration telle quelle depuis un tuto ?

En tout cas, pas de quoi s'alarmer. Il n'y pas de brute force, juste du trafic incompréhensible par ton serveur SSH.
Fanch
archer
Messages : 140
Inscription : lun. 01 déc. 2008, 21:16
Contact :

Re: [sécu] brutforce ssh et spoofing syslog-ng

Message par Fanch »

Je vote pas je sais ou j'habite :)

Ma configuration (iptables et fail2ban) est détaillé sur le site qui as servi a l'un de vous deux a avoir la bonne réponse (probablement avec un nslookup + whois ip).

Oui ça ressemble a du TLS, il n'y a rien d'autre que apache qui tourne sur ce mini serveur, avec les ports standard 80 et 443.

1448 ligne comme ca dans auth.log, en 3 jours, avec une ip d'un particulier chez free qui a priori n'est pas la bonne, c'est quand même louche.

Honnêtement je suis presque sur a 100% que les requêtes ne venait pas de cette ip, et je sais que syslog est connu pour être sensible au spoofing.
"The three principal virtues of a programmer are Laziness, Impatience, and Hubris." -> man perl
benjarobin
Maître du Kyudo
Messages : 16008
Inscription : sam. 30 mai 2009, 15:48
Localisation : Lyon

Re: [sécu] brutforce ssh et spoofing syslog-ng

Message par benjarobin »

A moins de faire du remote syslog, non il est improbable d'avoir des log "invalides" (en faite ce que tu dit cela n'a pas de sens). Si tu as un doute utilise journalctl...
Et il faudrait arrêter d'être parano comme cela, tu as tellement de chose en TLS maintenant et en fonction du port choisi tu n'as surement pas eu de chance : pourquoi une connexion régulière en TLS, du P2P ?
Et sur quelle base tu dis ce genre de chose :
Fanch a écrit : je suis presque sur a 100% que les requêtes ne venait pas de cette ip
Et de toute façon si le paquet été créé de toute pièce (Ip invalide), iptable pourrait le bloquer si tu l'as correctement configuré.
Zsh | KDE | PC fixe : core i7, carte nvidia | Portable : Asus ul80vt
Titre d'un sujet : [Thème] Sujet (état)
Avatar de l’utilisateur
RoyalPanda
yeomen
Messages : 208
Inscription : lun. 19 mai 2014, 09:08

Re: [sécu] brutforce ssh et spoofing syslog-ng

Message par RoyalPanda »

Une chose à tester est de voir si quelque chose écoute sur ton port 12342 (enfin celui de SSHD), lorsque SSHD n'est pas lancé. Juste histoire d'être sur que ce n'est pas une tentative de Command &Control.
Et si ça t'inquiète de trop, tu peux mettre un filtre iptables sur une chaine particulière. ( voir ici et / ou ici )
Ou alors un simple filtre fail2ban sur le auth.log qui cherche la chaine \026\003\001
Fanch
archer
Messages : 140
Inscription : lun. 01 déc. 2008, 21:16
Contact :

Re: [sécu] brutforce ssh et spoofing syslog-ng

Message par Fanch »

Je ne suis pas inquiet, j'essaye de comprendre pour apprendre ;) C'est donc plus de la curiosité que de la parano.

C'est justement parce que dans mes logs de fail2ban, j'ai a peu prés le même nombre de ligne que dans auth.log. Et que toutes ces lignes m'indique que l'ip est déjà banni par fail2ban.

J'ai d'ailleurs vérifier avec iptables -nvL, et je voyais bien une règle indiquer que l'ip en question était rejected sur tous les ports.
"The three principal virtues of a programmer are Laziness, Impatience, and Hubris." -> man perl
benjarobin
Maître du Kyudo
Messages : 16008
Inscription : sam. 30 mai 2009, 15:48
Localisation : Lyon

Re: [sécu] brutforce ssh et spoofing syslog-ng

Message par benjarobin »

Certes mais l'ordre des lignes est très important, tu peux très bien avoir une ligne juste au dessus qui l'autorise
Et si tu es curieux, lance Wireshark et analyse le flux entrant.
Zsh | KDE | PC fixe : core i7, carte nvidia | Portable : Asus ul80vt
Titre d'un sujet : [Thème] Sujet (état)
Répondre