Jump to content

Archived

This topic is now archived and is closed to further replies.

james_patageul

Tentative d'intrusion SSH (sFTP)

Recommended Posts

Bonjour tout le monde,

Je viens de mettre en route un serveur perso SSH mais uniquement sFTP

WinSSHD de chez Bitvise

 

J'ai bien pris le temps de le configurer au petit ognions sauf que j'ai laisser le port par défaut (22) pour la période de test.

 

et là bingo ! seulement après 30min que le serveur tourne j'ai déjà des tentatives de pénétration  :mad2:

<event seq="18" time="2014-07-20 14:01:30.418659 +0200" app="BvSshServer 6.07" name="I_CONNECT_ACCEPTED" desc="Connection accepted.">    <session id="1003" remoteAddress="188.213.0.254:39767"/>    <parameters addressRule="AnyIP" listenAddress="mon.IP.du.routeur.192.x.x.x:22"/>  </event>  <event seq="19" time="2014-07-20 14:01:30.491970 +0200" app="BvSshServer 6.07" name="I_CONNECT_VERSION_RECEIVED" desc="Client version string received.">    <session id="1003" remoteAddress="188.213.0.254:39767"/>    <parameters clientVersion="SSH-2.0-libssh-0.1"/>  </event>  <event seq="20" time="2014-07-20 14:01:30.492111 +0200" app="BvSshServer 6.07" name="T_SESSION_KEY_EXCHANGE_EVENT" desc="Key exchange event.">    <session id="1003" remoteAddress="188.213.0.254:39767"/>    <parameters eventType="Start" kexTriggerType="First" KexNr="1"/>  </event>  <event seq="21" time="2014-07-20 14:01:30.679745 +0200" app="BvSshServer 6.07" name="T_SESSION_KEY_EXCHANGE_EVENT" desc="Key exchange event.">    <session id="1003" remoteAddress="188.213.0.254:39767"/>    <parameters eventType="OutDone" kexTriggerType="First" KexNr="1"/>  </event>  <event seq="22" time="2014-07-20 14:01:30.754478 +0200" app="BvSshServer 6.07" name="T_SESSION_KEY_EXCHANGE_EVENT" desc="Key exchange event.">    <session id="1003" remoteAddress="188.213.0.254:39767"/>    <parameters eventType="InDone" kexTriggerType="First" KexNr="1"/>  </event>  <event seq="23" time="2014-07-20 14:01:30.754508 +0200" app="BvSshServer 6.07" name="I_SESSION_KEY_EXCHANGE_ALGORITHMS" desc="Key exchange algorithms.">    <session id="1003" remoteAddress="188.213.0.254:39767"/>    <parameters kexAlg="diffie-hellman-group1-sha1" cipherAlgIn="aes256-cbc" cipherAlgOut="aes256-cbc" macAlgIn="hmac-sha1" macAlgOut="hmac-sha1" comprAlgIn="none" comprAlgOut="none"/>  </event>  <event seq="24" time="2014-07-20 14:01:31.373740 +0200" app="BvSshServer 6.07" name="T_LOGON_AUTH_ATTEMPT_STARTED" desc="User authentication attempt started.">    <session id="1003" remoteAddress="188.213.0.254:39767"/>    <authentication attemptNr="1" userName="root" method="password"/>  </event>  <event seq="25" time="2014-07-20 14:01:31.410219 +0200" app="BvSshServer 6.07" name="T_LOGON_PROCEDURE_TIMING" desc="Logon procedure timing.">    <session id="1003" remoteAddress="188.213.0.254:39767"/>    <parameters procedure="WinAcctLookupWithDomainOrderHint()" timerMs="21"/>  </event>  <event seq="26" time="2014-07-20 14:01:31.410267 +0200" app="BvSshServer 6.07" name="W_LOGON_AUTH_FAILED" desc="User authentication failed.">    <session id="1003" remoteAddress="188.213.0.254:39767"/>    <authentication attemptNr="1" userName="root" method="password"/>    <parameters failureReason="WindowsAccountLookupError"/>    <error type="Exception" message="Account lookup failed: [Nt4] First LookupAccountName() for 'root' failed with the following error: Windows error 1332: No mapping between account names and security IDs was done."/>    <help message="The supplied user name could not be looked up. Only the GSSAPI authentication method can proceed at this point."/>  </event>  <event seq="27" time="2014-07-20 14:01:34.382347 +0200" app="BvSshServer 6.07" name="T_LOGON_AUTH_ATTEMPT_ENDED" desc="User authentication attempt ended.">    <session id="1003" remoteAddress="188.213.0.254:39767"/>    <authentication attemptNr="1" userName="root" method="password"/>  </event>  <event seq="28" time="2014-07-20 14:01:34.454273 +0200" app="BvSshServer 6.07" name="I_SESSION_DISCONNECTED_NORMALLY" desc="Session disconnected normally.">    <session id="1003" remoteAddress="188.213.0.254:39767"/>    <parameters disconnectReason="SshError"/>    <error type="Flow" component="BssManager/transport" class="RemoteSshDisconn" code="ByApplication" description="Bye Bye"/>  </event>  <event seq="29" time="2014-07-20 14:01:34.528325 +0200" app="BvSshServer 6.07" name="I_CONNECT_ACCEPTED" desc="Connection accepted.">    <session id="1004" remoteAddress="188.213.0.254:41598"/>    <parameters addressRule="AnyIP" listenAddress="mon.IP.du.routeur.192.x.x.x:22"/>  </event>

Désoler pour la grandeur du log (c'est une seul tentative ! mais en XML :( )

 

donc cette tentative viens/passe apparemment de Roumanie ( http://www.softdreams.eu )

 

2 Heure après j'ai des tentative de chine... et après j'ai couper le server :)

 

Alors comment se fait t'il que même pas 30min après le démarrage d'un nouveau serveur sFTP référencé nulle part of course je suis déjà attaquer ?

 

Que dois-je faire pour diminuer les tentatives  ?

 

WinSSHD sort des log en XML, y'a t'il un moyen de rendre cela plus lissible ?

 

Merci à tous.

 

 

 

Link to post
Share on other sites

T'en a informé le prestataire ? Probable que tu ne sois pas le seul dans ce cas mais le premier à t'en rendre compte ...

 

Et d'après WOT, non seulement le site a mauvaise réputation mais en plus, leurs serveurs sont aux Etats-Unis. Pourquoi héberger le site pro ailleurs que chez soi alors que c'est justement le boulot ?

Link to post
Share on other sites

Merci pour vos réactions ultra rapide !

 

 

T'en a informé le prestataire ?

par prestataire du veux dire mon ISP ? (fournisseur d'accès internet) ou justement cette boite softdreams.eu qui est peux aussi un ISP ?)

 

 

 

Et d'après WOT, non seulement le site a mauvaise réputation mais en plus, leurs serveurs sont aux Etats-Unis. Pourquoi héberger le site pro ailleurs que chez soi alors que c'est justement le boulot ?

yep c'est louche..

 

 

 

Scan de plages d'ip.Classique...

Quand même 30min c'est court (ça fais peur)

une idée pour se cacher un peu plus ? 

Link to post
Share on other sites

Toutes les ip sont scannées tu peut pas vraiment te cacher.

 

A toi de voir a quel point tu veut securiser ton serveur

 

Perso j'avais une seedbox sur un dedié en acces libre.Oui oui sans .htaccess...

 

Et tout les matins je retrouvais quand meme mes seed et mon serveur...Osef des scans ^^

Link to post
Share on other sites

le scan d'ip c'est banal. Aussi, l'ip de ton serveur a une histoire, donc elle est plus que probablement déjà marquée comme intéressante. La protection la plus basique est de changer le port d'écoute du serveur. Sous Linux j'aurais bien dit d'ajouter une règle d'accès pour limiter à une ip spécifique, je sais pas si c'est faisable sous Windows.

Link to post
Share on other sites

le scan d'ip c'est banal. Aussi, l'ip de ton serveur a une histoire, donc elle est plus que probablement déjà marquée comme intéressante. La protection la plus basique est de changer le port d'écoute du serveur. Sous Linux j'aurais bien dit d'ajouter une règle d'accès pour limiter à une ip spécifique, je sais pas si c'est faisable sous Windows.

Oui oui c'est tout a fait faisable ! IP ou hostname

 

 

Bonjour, je suis de softdreams.eu. Je m'excuse pour le problème de sécurité. Nous avions un serveur qui a été compromise. Il est maintenant retiré du réseau.

:troll: je vois que les trolls ne sont pas mort ;)

Link to post
Share on other sites

×
×
  • Create New...