[Fail2ban] - Aide configuration attaque bruteforce

Des questions pour configurer votre réseau, Wifi, installer un serveur, sécuriser votre machine ?

Modérateur : Mods GNU/Linux

Runner
Messages : 23
Inscription : 30 janv. 2019 21:43

[Fail2ban] - Aide configuration attaque bruteforce

par Runner »

Bonjour,

J'ai un serveur qui est actuellement attaqué par brut force.
J'ai donc installé fail2ban afin de limiter cette attaque mais je ne sais pas si j'ai la bonne configuration.

Dans fail2ban j'ai juste modifié la durée de bannissement.

Lorsque je tape la commande

Code : Tout sélectionner

fail2ban-client status ssh
J'obtiens bien une liste d'adresse ip de bloqué à savoir

Code : Tout sélectionner

Status for the jail: ssh
|- filter
|  |- File list:	/var/log/auth.log 
|  |- Currently failed:	13
|  `- Total failed:	7107
`- action
   |- Currently banned:	14
   |  `- IP list:	117.50.127.207 149.129.95.70 8.218.118.192 47.243.104.65 47.76.118.228 120.25.238.67 47.243.126.140 219.153.56.131 8.210.86.169 8.130.137.183 47.238.188.244 47.242.33.127 8.217.185.82 8.137.126.60 
   `- Total banned:	14
Or si je regarde en continu les log de auth.log je constate toujours les tentative de connexion de ces mêmes adresses ip

Code : Tout sélectionner

Jun 17 16:33:43 serveur sshd[5785]: Received disconnect from 219.153.56.131: 11: Bye Bye [preauth]
Jun 17 16:33:43 serveur sshd[5807]: Failed password for root from 149.129.95.70 port 38470 ssh2
Jun 17 16:33:43 serveur sshd[5807]: Received disconnect from 149.129.95.70: 11: Bye Bye [preauth]
Jun 17 16:33:44 serveur sshd[5803]: Failed password for root from 47.243.126.140 port 48228 ssh2
Jun 17 16:33:45 serveur sshd[5815]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=8.210.86.169  user=root
Jun 17 16:33:45 serveur sshd[5813]: Failed password for root from 8.130.137.183 port 48706 ssh2
Jun 17 16:33:45 serveur sshd[5803]: Received disconnect from 47.243.126.140: 11: Bye Bye [preauth]
Jun 17 16:33:45 serveur sshd[5813]: Received disconnect from 8.130.137.183: 11: Bye Bye [preauth]
Jun 17 16:33:46 serveur sshd[5819]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=8.217.185.82  user=root
Jun 17 16:33:46 serveur sshd[5809]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=120.25.238.67  user=root
Jun 17 16:33:47 serveur sshd[5817]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=47.76.118.228  user=root
Jun 17 16:33:47 serveur sshd[5815]: Failed password for root from 8.210.86.169 port 39140 ssh2
Jun 17 16:33:47 serveur sshd[5825]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=8.130.137.183  user=root
Jun 17 16:33:47 serveur sshd[5815]: Received disconnect from 8.210.86.169: 11: Bye Bye [preauth]
Jun 17 16:33:48 serveur sshd[5819]: Failed password for root from 8.217.185.82 port 55240 ssh2
Jun 17 16:33:48 serveur sshd[5819]: Received disconnect from 8.217.185.82: 11: Bye Bye [preauth]
Jun 17 16:33:48 serveur sshd[5809]: Failed password for root from 120.25.238.67 port 53006 ssh2
Jun 17 16:33:48 serveur sshd[5823]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=47.243.126.140  user=root
Jun 17 16:33:49 serveur sshd[5817]: Failed password for root from 47.76.118.228 port 38676 ssh2
Jun 17 16:33:49 serveur sshd[5825]: Failed password for root from 8.130.137.183 port 51110 ssh2
Jun 17 16:33:49 serveur sshd[5811]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=8.218.118.192  user=root
Jun 17 16:33:49 serveur sshd[5825]: Received disconnect from 8.130.137.183: 11: Bye Bye [preauth]
Jun 17 16:33:49 serveur sshd[5829]: Invalid user deploy from 219.153.56.131
Jun 17 16:33:49 serveur sshd[5829]: input_userauth_request: invalid user deploy [preauth]
Jun 17 16:33:49 serveur sshd[5829]: pam_unix(sshd:auth): check pass; user unknown
Jun 17 16:33:49 serveur sshd[5829]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=219.153.56.131
Jun 17 16:33:49 serveur sshd[5834]: Received disconnect from 8.210.86.169: 11: Bye Bye [preauth]
Jun 17 16:33:50 serveur sshd[5822]: Invalid user dncaf from 47.242.33.127
Jun 17 16:33:50 serveur sshd[5822]: input_userauth_request: invalid user dncaf [preauth]
Jun 17 16:33:50 serveur sshd[5823]: Failed password for root from 47.243.126.140 port 56858 ssh2
Jun 17 16:33:50 serveur sshd[5809]: Received disconnect from 120.25.238.67: 11: Bye Bye [preauth]
Jun 17 16:33:50 serveur sshd[5823]: Received disconnect from 47.243.126.140: 11: Bye Bye [preauth]
Jun 17 16:33:51 serveur sshd[5817]: Received disconnect from 47.76.118.228: 11: Bye Bye [preauth]
Jun 17 16:33:51 serveur sshd[5822]: Received disconnect from 47.242.33.127: 11: Bye Bye [preauth]
Jun 17 16:33:51 serveur sshd[5821]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=47.243.104.65  user=root
Jun 17 16:33:51 serveur sshd[5836]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=8.130.137.183  user=root
Jun 17 16:33:51 serveur sshd[5811]: Failed password for root from 8.218.118.192 port 49204 ssh2
Jun 17 16:33:51 serveur sshd[5829]: Failed password for invalid user deploy from 219.153.56.131 port 39011 ssh2
Jun 17 16:33:52 serveur sshd[5829]: Received disconnect from 219.153.56.131: 11: Bye Bye [preauth]
Jun 17 16:33:52 serveur sshd[5811]: Received disconnect from 8.218.118.192: 11: Bye Bye [preauth]
Jun 17 16:33:53 serveur sshd[5821]: Failed password for root from 47.243.104.65 port 48388 ssh2
Jun 17 16:33:53 serveur sshd[5836]: Failed password for root from 8.130.137.183 port 53368 ssh2
Jun 17 16:33:53 serveur sshd[5821]: Received disconnect from 47.243.104.65: 11: Bye Bye [preauth]
Jun 17 16:33:53 serveur sshd[5836]: Received disconnect from 8.130.137.183: 11: Bye Bye [preauth]
Jun 17 16:33:54 serveur sshd[5838]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=47.238.188.244  user=root
Jun 17 16:33:54 serveur sshd[5832]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=149.129.95.70  user=root
Jun 17 16:33:55 serveur sshd[5844]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=8.217.185.82  user=root
Jun 17 16:33:56 serveur sshd[5850]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=8.130.137.183  user=root
Jun 17 16:33:56 serveur sshd[5838]: Failed password for root from 47.238.188.244 port 45768 ssh2
Jun 17 16:33:56 serveur sshd[5838]: Received disconnect from 47.238.188.244: 11: Bye Bye [preauth]
Jun 17 16:33:56 serveur sshd[5832]: Failed password for root from 149.129.95.70 port 55006 ssh2
Jun 17 16:33:57 serveur sshd[5844]: Failed password for root from 8.217.185.82 port 44506 ssh2
Est-ce que cela vient du fait que dans les logs il s'agit de sshd ? A noter également que mon port d'écoute SSH n'est pas le port classique

Pouvez-vous m'aider à configurer fail2ban de la meilleur des façons ?

Merci
Malekal_morte
Messages : 116869
Inscription : 10 sept. 2005 13:57

Re: [Fail2ban] - Aide configuration attaque bruteforce

par Malekal_morte »

Salut,

Déjà ces attaques Bruteforce sur SSH, c'est normal, il y en a tout le temps.
Ensuite, je te rappelle que Fail2ban ban au delà d'un seuil, donc si une IP ne fait que deux tentatives et que le seuil est de 3, elle ne sera pas banni et cela va alimenter les logs.

Tu ne peux rien faire contre ces tentatives, faut laisser faire. Fail2ban fait le job si les tentatives sont trop importantes.
Tant que tu as des mots de passe fort, ça ne craint rien.

Si tu te connectes via une IP, tu peux aussi jouer sur hosts_allow, voir : https://www.malekal.com/etc-hosts-allow ... eny-linux/
Mais il ne faut pas faire de bétise sinon ton serveur sera inaccessible par SSH. Après tu as peut être un PMI (Intelligent Platform Management Interface).
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Runner
Messages : 23
Inscription : 30 janv. 2019 21:43

Re: [Fail2ban] - Aide configuration attaque bruteforce

par Runner »

Merci pour la réponse.
Oui cela est normal sauf que là j'en vient à avoir des fichiers de logs très vite conséquent et qui me rempli ma partition /var et vient me bloquer mon samba.

Pourquoi je continu à voir dans le auth.log les tentatives des adresses qui sont bannies ?

Sur un autre forum on me dit que c'est parce que des mon iptables les adresses sont bannies pour le port 22 or moi mon service est sur un autre port et les tentatives le sont également sur d'autres port.

J'ai justement modifié mon mot de passe Root mes autres mots de passes user sont assez conséquent également.
Malekal_morte
Messages : 116869
Inscription : 10 sept. 2005 13:57

Re: [Fail2ban] - Aide configuration attaque bruteforce

par Malekal_morte »

Bizarre que tes logs soient remplis.
Quelle est la taille des logs et la taille du fichier ?
Tu peux donner le résultat de :

Code : Tout sélectionner

ls -lhSr /var/log
Mais si on regarde ton premier message, tu n'as pas un nombre de tentatives anormales... Par exemple sur un de mes serveurs, j'ai beaucoup plus que toi :

Code : Tout sélectionner

fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed:	1
|  |- Total failed:	23738
|  `- File list:	/var/log/auth.log
`- Actions
   |- Currently banned:	20
   |- Total banned:	1605
   `- Banned IP list:	64.23.218.208 88.214.25.16 199.45.154.49 162.142.125.36 199.45.155.18 167.94.138.59 45.148.10.174 167.94.146.60 104.131.74.225 162.142.125.222 207.90.244.3 87.236.176.213 206.168.34.177 167.94.146.54 162.142.125.38 199.45.154.58 167.94.145.99 167.94.138.112 206.168.34.63 121.149.208.117
Donc pour moi, tu es en scan normal sur le service SSH et ça ne doit pas poser de problème sur le fonctionnement du serveur puisqu'il ne s'agit pas d'une attaque par saturation spécifique qui vise ton serveur.

Quelle est la distribution Linux ?
Tu as quoi comme action sur la prison ?
Donne le résultat de :

Code : Tout sélectionner

fail2ban-client get sshd actions
Tu peux donner le contenu du fichier de conf de la prison sur Debian, il se trouve à cet emplacement.
D'autre part, comme les commentaires le disent, tu peux régler le mode en aggressive ou en ddos.. Ca doit le rendre plus sensible (jamais essayé)
cat /etc/fail2ban/jail.d/sshd.conf
[sshd]
enabled = true
# To use more aggressive sshd modes set filter parameter "mode" in jail.local:
# normal (default), ddos, extra or aggressive (combines all).
# See "tests/files/logs/sshd" or "filter.d/sshd.conf" for usage example and details.
#mode = normal
Si l'action est iptables, ce serait bien que tu vérifies que les IP soient bannis correctement :

Code : Tout sélectionner

iptables -L -n -v
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Réseau sous GNU/Linux »