Diagnostic : Il y a eu récemment un grand nombre d'échecs d'authentification

Mon serveur YunoHost

Matériel: Vieil ordinateur
Version de YunoHost: 4.3.3
J’ai accès à mon serveur : En SSH et Par la webadmin et En direct avec un clavier/écran
Êtes-vous dans un contexte particulier ou avez-vous effectué des modificiations particulières sur votre instance ? : oui - serveur ancien (4-5 ans), qui a été upgradé sans jamais être ré-installé à blanc.

Description du problème

Bonjour,
J’ai eu plusieurs fois ce warning dans le diagnostic ces derniers jours :

[WARNING] Il y a eu récemment un grand nombre d'échecs d'authentification. Assurez-vous que Fail2Ban est en cours d'exécution et est correctement configuré, ou utilisez un port personnalisé pour SSH comme expliqué dans https://yunohost.org/security.

Mon port SSH est personnalisé, il n’y a pas de raison que fail2ban ne fonctionne pas, le service est bien en cours d’exécution, est-ce qu’il faut s’inquiéter ? Qu’est-ce qu’il faudrait vérifier ?

Si tu veux creuser à quoi c’est dû, tu peux regarder ce que raconte :

journalctl -q SYSLOG_FACILITY=10 SYSLOG_FACILITY=4 --since '1day ago' | grep 'authentication failure'

Ok, a priori c’est wp qui est un peu attaqué :

nov. 20 20:32:17 lamo wp(lafournachere.fr)[18243]: XML-RPC authentication failure from 185.31.175.213
nov. 20 22:01:16 lamo wp(justinedoula.fr)[18293]: XML-RPC authentication failure from 117.103.69.162
nov. 20 22:52:12 lamo wp(lafournachere.fr)[18106]: XML-RPC authentication failure from 36.82.141.91
nov. 21 02:24:37 lamo wp(justinedoula.fr)[18286]: XML-RPC authentication failure from 45.153.160.139
nov. 21 03:59:33 lamo wp(lafournachere.fr)[18244]: XML-RPC authentication failure from 79.141.65.81
nov. 21 04:25:23 lamo wp(lafournachere.fr)[18177]: XML-RPC authentication failure from 165.90.80.75
nov. 21 06:39:51 lamo wp(santequilibre.lamonerie.net)[18092]: XML-RPC authentication failure from 62.102.148.68
nov. 21 06:55:38 lamo wp(lafournachere.fr)[18103]: XML-RPC authentication failure from 41.204.99.66
nov. 21 07:51:48 lamo wp(justinedoula.fr)[18291]: XML-RPC authentication failure from 158.69.181.129
nov. 21 08:01:53 lamo wp(lafournachere.fr)[18100]: XML-RPC authentication failure from 177.38.242.11
nov. 21 14:14:28 lamo wp(justinedoula.fr)[18294]: XML-RPC authentication failure from 185.220.101.3

Mais ça n’a pas l’air hyper violent non plus, quelques tentatives dans la journée…

Bonjour,

J’ai le même warning et le même problème, mais à une fréquence beaucoup plus élevée : hastebin

Exemple (au hasard) d’une IP attaquante : journalctl -q SYSLOG_FACILITY=10 SYSLOG_FACILITY=4 --since '1day ago' | grep 'authentication failure' | grep 119.45.4.37

[...]
Nov 22 17:21:47 domain.tld sshd[27013]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.45.4.37  user=root
Nov 22 17:25:49 domain.tld sshd[27081]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.45.4.37  user=root
Nov 22 17:30:10 domain.tld sshd[27151]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.45.4.37  user=root
Nov 22 17:34:26 domain.tld sshd[27208]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.45.4.37  user=admin
Nov 22 17:38:31 domain.tld sshd[27273]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.45.4.37  user=root
Nov 22 17:42:31 domain.tld sshd[27377]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.45.4.37
Nov 22 17:46:34 domain.tld sshd[27470]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.45.4.37

Le service fail2ban semble pourtant up & running… mais au vu de ces logs, est-ce vraiment le cas ? Je précise que mon installation est toute fraîche d’il y a 2/3 jours.

@jeremy1 : d’après les timestamps, on dirait que le bot s’arrange pour échapper au ban de fail2ban (une tentative toutes les 4 minutes) ce qui est assez casse-pied … mais ce warning dans yunohost est là justement pour visibiliser le problème

Merci pour ta réponse @Aleks . Donc en fait je ne peux rien y faire, à part ignorer ce warning ? Il y a un mail qui arrive 2 fois par jour à ce sujet. EDIT: sauf évidemment si j’ignore le warning grâce au gros bouton jaune “Ignore” :sweat_smile:

Est-ce qu’il est possible/souhaitable de configurer fail2ban pour rendre ses filtres plus “stricts”, c’est-à-dire ici rallonger le temps de bannissement ?

Le probleme dans ce cas semble surtout être la fenetre temporelle de detection qui est genre de 10 tentatives échouées sur 15 minutes, un truc du genre …

En vrai c’est pas un drame car à part si tu utilises un password vraiment obvious ou qui a déjà été poutré est s’est retrouvé dans des bases de password utilisées, l’attackant en a probablement pour plusieurs milliers d’années avant de bruteforcer ton password à coup de 1 essai toutes les 5 minutes (en supposant qu’il teste sur le bon user)

Là il s’agit d’un nouveau warning dans le diagnostique rajouté dans la 4.3, peut-être qu’il faut qu’on ajuste le seuil et qu’on mette l’alert à un seuil plus haut car pas mal de gens semblent avoir ce warning …

Pas faux : tant que le password est suffisamment fort, on ne risque rien ; d’où la nécessité de contraindre les utilisateurs à choisir des mots de passer d’un certain niveau.

Cependant ça reste quand même un peu flippant de voir des tentatives systématiques d’intrusion, sans pouvoir agir plus que cela.

Merci pour ces réponses !