Attaque via SSH?

Support
1

Mon serveur YunoHost

Matériel: VPS OVH
Version de YunoHost: 11.0.11
J’ai accès à mon serveur : En SSH | Par la webadmin
Êtes-vous dans un contexte particulier ou avez-vous effectué des modificiations particulières sur votre instance ? : non

Description du problème

En regardant les logs de Fail2Ban j’ai l’impression d’être victime d’une attaque par force brut sur mon port SSH qui n’est pourtant pas celui par défaut:

2023-01-26 13:48:18,790 fail2ban.filter         [695]: INFO    [pam-generic] Found 37.233.51.9 - 2023-01-26 13:48:18
2023-01-26 13:48:19,150 fail2ban.filter         [695]: INFO    [pam-generic] Found 159.89.153.54 - 2023-01-26 13:48:19
2023-01-26 13:48:19,317 fail2ban.actions        [695]: NOTICE  [pam-generic] Ban 159.89.153.54
2023-01-26 13:48:19,325 fail2ban.filter         [695]: INFO    [recidive] Found 159.89.153.54 - 2023-01-26 13:48:19
2023-01-26 13:48:20,316 fail2ban.filter         [695]: INFO    [sshd] Found 37.233.51.9 - 2023-01-26 13:48:20
2023-01-26 13:48:20,625 fail2ban.filter         [695]: INFO    [sshd] Found 159.89.153.54 - 2023-01-26 13:48:20
2023-01-26 13:48:21,323 fail2ban.actions        [695]: NOTICE  [sshd] Ban 159.89.153.54
2023-01-26 13:48:21,330 fail2ban.filter         [695]: INFO    [recidive] Found 159.89.153.54 - 2023-01-26 13:48:21
2023-01-26 13:49:01,015 fail2ban.filter         [695]: INFO    [pam-generic] Found 43.154.2.17 - 2023-01-26 13:49:00
2023-01-26 13:49:02,669 fail2ban.filter         [695]: INFO    [sshd] Found 43.154.2.17 - 2023-01-26 13:49:02
2023-01-26 13:50:11,257 fail2ban.filter         [695]: INFO    [pam-generic] Found 43.154.2.17 - 2023-01-26 13:50:11
2023-01-26 13:50:13,962 fail2ban.filter         [695]: INFO    [sshd] Found 43.154.2.17 - 2023-01-26 13:50:13
2023-01-26 13:50:20,974 fail2ban.filter         [695]: INFO    [pam-generic] Found 37.233.51.9 - 2023-01-26 13:50:20
2023-01-26 13:50:23,060 fail2ban.filter         [695]: INFO    [sshd] Found 37.233.51.9 - 2023-01-26 13:50:23
2023-01-26 13:51:23,596 fail2ban.filter         [695]: INFO    [pam-generic] Found 43.154.2.17 - 2023-01-26 13:51:23
2023-01-26 13:51:26,301 fail2ban.filter         [695]: INFO    [sshd] Found 43.154.2.17 - 2023-01-26 13:51:25
2023-01-26 13:52:21,130 fail2ban.filter         [695]: INFO    [pam-generic] Found 37.233.51.9 - 2023-01-26 13:52:21
2023-01-26 13:52:23,161 fail2ban.filter         [695]: INFO    [sshd] Found 37.233.51.9 - 2023-01-26 13:52:23
2023-01-26 13:52:35,119 fail2ban.filter         [695]: INFO    [pam-generic] Found 43.154.2.17 - 2023-01-26 13:52:35
2023-01-26 13:52:37,825 fail2ban.filter         [695]: INFO    [sshd] Found 43.154.2.17 - 2023-01-26 13:52:37
2023-01-26 13:53:07,265 fail2ban.filter         [695]: INFO    [pam-generic] Found 2.11.132.55 - 2023-01-26 13:53:06
2023-01-26 13:53:50,569 fail2ban.filter         [695]: INFO    [pam-generic] Found 43.154.2.17 - 2023-01-26 13:53:50
2023-01-26 13:53:52,483 fail2ban.filter         [695]: INFO    [sshd] Found 43.154.2.17 - 2023-01-26 13:53:52
2023-01-26 13:54:22,658 fail2ban.filter         [695]: INFO    [pam-generic] Found 37.233.51.9 - 2023-01-26 13:54:22
2023-01-26 13:54:24,298 fail2ban.filter         [695]: INFO    [sshd] Found 37.233.51.9 - 2023-01-26 13:54:24
2023-01-26 13:55:04,422 fail2ban.filter         [695]: INFO    [pam-generic] Found 43.154.2.17 - 2023-01-26 13:55:04
2023-01-26 13:55:06,046 fail2ban.filter         [695]: INFO    [sshd] Found 43.154.2.17 - 2023-01-26 13:55:06
2023-01-26 13:56:15,645 fail2ban.filter         [695]: INFO    [pam-generic] Found 43.154.2.17 - 2023-01-26 13:56:15
2023-01-26 13:56:17,702 fail2ban.filter         [695]: INFO    [sshd] Found 43.154.2.17 - 2023-01-26 13:56:17
2023-01-26 13:56:20,739 fail2ban.filter         [695]: INFO    [pam-generic] Found 37.233.51.9 - 2023-01-26 13:56:20
2023-01-26 13:56:22,579 fail2ban.filter         [695]: INFO    [sshd] Found 37.233.51.9 - 2023-01-26 13:56:22
2023-01-26 13:57:33,491 fail2ban.filter         [695]: INFO    [pam-generic] Found 43.154.2.17 - 2023-01-26 13:57:33
2023-01-26 13:57:36,197 fail2ban.filter         [695]: INFO    [sshd] Found 43.154.2.17 - 2023-01-26 13:57:35
2023-01-26 13:58:05,844 fail2ban.filter         [695]: INFO    [postfix] Found 194.87.200.120 - 2023-01-26 13:58:05
2023-01-26 13:58:19,296 fail2ban.actions        [695]: NOTICE  [pam-generic] Unban 159.89.153.54
2023-01-26 13:58:20,096 fail2ban.actions        [695]: NOTICE  [sshd] Unban 159.89.153.54
2023-01-26 13:58:52,946 fail2ban.filter         [695]: INFO    [pam-generic] Found 43.154.2.17 - 2023-01-26 13:58:52
2023-01-26 13:58:54,874 fail2ban.filter         [695]: INFO    [sshd] Found 43.154.2.17 - 2023-01-26 13:58:54
2023-01-26 13:59:59,552 fail2ban.filter         [695]: INFO    [pam-generic] Found 195.226.194.242 - 2023-01-26 13:59:59
2023-01-26 13:59:59,554 fail2ban.filter         [695]: INFO    [sshd] Found 195.226.194.242 - 2023-01-26 13:59:59
2023-01-26 14:00:00,685 fail2ban.filter         [695]: INFO    [sshd] Found 195.226.194.242 - 2023-01-26 14:00:00
2023-01-26 14:00:05,180 fail2ban.filter         [695]: INFO    [pam-generic] Found 43.154.2.17 - 2023-01-26 14:00:05
2023-01-26 14:00:07,887 fail2ban.filter         [695]: INFO    [sshd] Found 43.154.2.17 - 2023-01-26 14:00:07
2023-01-26 14:01:20,699 fail2ban.filter         [695]: INFO    [pam-generic] Found 43.154.2.17 - 2023-01-26 14:01:20
2023-01-26 14:01:22,305 fail2ban.filter         [695]: INFO    [sshd] Found 43.154.2.17 - 2023-01-26 14:01:22
2023-01-26 14:01:59,352 fail2ban.filter         [695]: INFO    [sshd] Found 134.209.32.88 - 2023-01-26 14:01:59
2023-01-26 14:01:59,359 fail2ban.filter         [695]: INFO    [pam-generic] Found 134.209.32.88 - 2023-01-26 14:01:59
2023-01-26 14:02:01,072 fail2ban.filter         [695]: INFO    [sshd] Found 134.209.32.88 - 2023-01-26 14:02:01
2023-01-26 14:02:33,007 fail2ban.filter         [695]: INFO    [pam-generic] Found 43.154.2.17 - 2023-01-26 14:02:32
2023-01-26 14:02:35,709 fail2ban.filter         [695]: INFO    [sshd] Found 43.154.2.17 - 2023-01-26 14:02:35

Les adresses ip ont l’air de venir d’un peu partout, Japon, USA etc…

Comment puis-je faire pour contrôler ce problème?

2

Salut,

long short : tu ne peux pas.

Note : là t’as juste des gens qui sont déjà bannis qui retentent : osef, F2B les bloquent avant la tentative d’authentification. D’ailleurs t’as les 3 ou 4 mêmes IP qui retentent encore et encore dans ton bout de log, pas un raz-de-marée façon botnet.

Par contre tu peux :

  • augmenter la durée de ban (par exemple tu as 159.89.153.54 qui s’est fait dégager à 13H48… et qui ressort de prison 10 minutes plus tard). Utilise un fichier .local plutôt que modifier en hard les fichiers de F2B.
  • jouer avec la base geoip pour virer tous ceux qui tentent de se connecter depuis l’étranger sans attendre qu’ils se vautrent n fois avant de déclencher F2B. J’ai pissé un truc en ce sens => [GeoIP] [Fail2Ban] Bannir les tentatives de connexions par mod_proxy ou par SSH
  • n’autoriser que l’emploi de fichier clef au lieu de mot-de-passe pour se connecter en ssh, et limiter les users ou groupes le pouvant.
1 Like
3

Par défaut SSH utilise le port 22. En changeant de port comme expliqué ici :

les attaques visant le port 22 se tromperont d’adresse.

Le mieux serait de choisir un numéro de port plus haut que 1024. Mon conseil : note bien ce numéro quelque part à l’extérieur de la machine concernée.

Bonne journée,

Baudouin

1 Like
4

Changer le port diminue un peu de bruit de fond, mais un attaquant qui ne se sera pas contenté de copier/coller le premier script venu sans le lire fera sans doute un scan des ports.

Edit : il faut utiliser une commande yunohost pour changer le port SSH, pas le faire à la main dans ssh_config.
Confer Security | Yunohost Documentation

sudo yunohost settings set security.ssh.port -v <new_ssh_port_number>

5

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.