1. Forum
  2. Usenet
  3. LINUX.DEBIAN.USER.FRENCH

  • [HS] Possible attaque SSH

    From Sil@21:1/5 to All on Tue Feb 22 10:20:02 2022
    Bonjour la liste,

    Pourriez-vous m'enlever un doute... sur un réseau local derrière une
    box, j'ai des postes w$ DHCP et un serveur Debian stable à jour. Ce
    serveur est accessible via SSH sur le réseau local via le port classique
    et depuis l’extérieur sur un autre port via le NAT de la box. Seule l’authentification par clé est autorisée.

    J'ai un utilisateur qui s'est plaint d'avoir été banni par Fail2ban.
    Après quelques recherches dans les logs, j'ai trouvé plusieurs
    tentatives de connexions SSH via des adresses locales.

    Un exemple de log :

    /var/log/auth.log.2.gz:Feb  7 09:34:58 monserveur sshd[XXXX]:
    Disconnected from invalid user Admin 192.168.X.X port XXXX [preauth]

    Est-il possible que l'attaque vienne quand même de l’extérieur ? Ou
    faut-il suspecter les postes w$ ?

    Par avance merci

    Sil

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Sil@21:1/5 to All on Tue Feb 22 12:00:01 2022
    Le 22/02/2022 à 09:27, Sil a écrit :
    /var/log/auth.log.2.gz:Feb 7 09:34:58 monserveur sshd[XXXX]:
    Disconnected from invalid user Admin 192.168.X.X port XXXX [preauth]

    Mais est-ce que l'IP du fichier log peut provenir de l’extérieur ? Ou
    est-ce impossible ?

    Est-il possible de différencier les connexions nattées de la box et
    celles du réseau local ?

    Merci

    Sil

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From =?UTF-8?Q?Bela=C3=AFd?=@21:1/5 to All on Tue Feb 22 12:30:01 2022
    Bonjour,

    C'est possible que ça vienne de l'extérieur (a l'époque ca pouvait être une attaque par IP spoofing/paquet martien). Mais ça ne ce fait plus trop de
    nos jours , les routeurs/firewall savent gérer cela

    Le mar. 22 févr. 2022 à 11:50, Sil <smog1@free.fr> a écrit :

    Le 22/02/2022 à 09:27, Sil a écrit :
    /var/log/auth.log.2.gz:Feb 7 09:34:58 monserveur sshd[XXXX]:
    Disconnected from invalid user Admin 192.168.X.X port XXXX [preauth]

    Mais est-ce que l'IP du fichier log peut provenir de l’extérieur ? Ou est-ce impossible ?

    Est-il possible de différencier les connexions nattées de la box et
    celles du réseau local ?

    Merci

    Sil



    <div dir="auto">Bonjour,<div dir="auto"><br></div><div dir="auto">C&#39;est possible que ça vienne de l&#39;extérieur (a l&#39;époque ca pouvait être une attaque par IP spoofing/paquet martien). Mais ça ne ce fait plus trop de nos jours , les
    routeurs/firewall savent gérer cela </div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le mar. 22 févr. 2022 à 11:50, Sil &lt;<a href="mailto:smog1@free.fr">smog1@free.fr</a>&gt; a écrit :<br></div><blockquote class="gmail_
    quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Le 22/02/2022 à 09:27, Sil a écrit :<br>
    &gt; /var/log/auth.log.2.gz:Feb 7 09:34:58 monserveur sshd[XXXX]: <br>
    &gt; Disconnected from invalid user Admin 192.168.X.X port XXXX [preauth]<br>

    Mais est-ce que l&#39;IP du fichier log peut provenir de l’extérieur ? Ou <br>
    est-ce impossible ?<br>

    Est-il possible de différencier les connexions nattées de la box et <br> celles du réseau local ?<br>

    Merci<br>

    Sil<br>

    </blockquote></div>

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From ajh-valmer@21:1/5 to All on Tue Feb 22 12:30:01 2022
    On Tuesday 22 February 2022 09:27:46 Sil wrote:
    Bonjour la liste,
    Pourriez-vous m'enlever un doute... sur un réseau local derrière une
    box, j'ai des postes w$ DHCP et un serveur Debian stable à jour. Ce
    serveur est accessible via SSH sur le réseau local via le port classique
    et depuis l’extérieur sur un autre port via le NAT de la box. Seule l’authentification par clé est autorisée.
    J'ai un utilisateur qui s'est plaint d'avoir été banni par Fail2ban. Après quelques recherches dans les logs, j'ai trouvé plusieurs
    tentatives de connexions SSH via des adresses locales.
    Un exemple de log :
    /var/log/auth.log.2.gz:Feb  7 09:34:58 monserveur sshd[XXXX]:
    Disconnected from invalid user Admin 192.168.X.X port XXXX [preauth]
    Est-il possible que l'attaque vienne quand même de l’extérieur ? Ou faut-il suspecter les postes w$ ?

    Hello,

    J'ai un serveur, il ne faut pas trop s'inquiéter du fichier "/var/log/auth.log",
    ce sont des milliers de tentatives de connexion / jour, sans résultats, (souvent par une méthode automatique) si le serveur possède
    les outils classiques de protection, failban, firewall, connexions que par clés SSH (publique et privée)...

    A. Valmer

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Dethegeek@21:1/5 to All on Tue Feb 22 13:00:01 2022
    Bonjour

    De mon expérience avec fail2banet ssh, dans une situation similaire (NAT derrière une box) les IP des attaquants sont celles venant de l'extérieur. Donc si dans les logs les ip appartiennent au réseau local, c'est que l'attaquant s'y trouve, ou bien utilise une machine locale pour effectuer
    ses attaques.

    Idem que précédemment, fail2ban enregistre de nombreuses attaques par heure en permanence.

    Le mar. 22 févr. 2022 à 12:29, Belaïd <oblivion.ikiub@gmail.com> a écrit :

    Bonjour,

    C'est possible que ça vienne de l'extérieur (a l'époque ca pouvait être une attaque par IP spoofing/paquet martien). Mais ça ne ce fait plus trop
    de nos jours , les routeurs/firewall savent gérer cela

    Le mar. 22 févr. 2022 à 11:50, Sil <smog1@free.fr> a écrit :

    Le 22/02/2022 à 09:27, Sil a écrit :
    /var/log/auth.log.2.gz:Feb 7 09:34:58 monserveur sshd[XXXX]:
    Disconnected from invalid user Admin 192.168.X.X port XXXX [preauth]

    Mais est-ce que l'IP du fichier log peut provenir de l’extérieur ? Ou
    est-ce impossible ?

    Est-il possible de différencier les connexions nattées de la box et
    celles du réseau local ?

    Merci

    Sil



    <div dir="auto">Bonjour<div dir="auto"><br></div><div dir="auto">De mon expérience avec fail2banet ssh, dans une situation similaire (NAT derrière une box) les IP des attaquants sont celles venant de l&#39;extérieur. Donc si dans les logs les ip
    appartiennent au réseau local, c&#39;est que l&#39;attaquant s&#39;y trouve, ou bien utilise une machine locale pour effectuer ses attaques.</div><div dir="auto"><br></div><div dir="auto">Idem que précédemment, fail2ban enregistre de nombreuses
    attaques par heure en permanence.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le mar. 22 févr. 2022 à 12:29, Belaïd &lt;<a href="mailto:oblivion.ikiub@gmail.com">oblivion.ikiub@gmail.com</a>&gt; a écrit :<br></div><
    blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto">Bonjour,<div dir="auto"><br></div><div dir="auto">C&#39;est possible que ça vienne de l&#39;extérieur (a l&#39;époque ca pouvait être
    une attaque par IP spoofing/paquet martien). Mais ça ne ce fait plus trop de nos jours , les routeurs/firewall savent gérer cela </div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le mar. 22 févr. 2022 à 11:50, Sil &lt;<a
    href="mailto:smog1@free.fr" target="_blank" rel="noreferrer">smog1@free.fr</a>&gt; a écrit :<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Le 22/02/2022 à 09:27, Sil a écrit :<br>
    &gt; /var/log/auth.log.2.gz:Feb 7 09:34:58 monserveur sshd[XXXX]: <br>
    &gt; Disconnected from invalid user Admin 192.168.X.X port XXXX [preauth]<br>

    Mais est-ce que l&#39;IP du fichier log peut provenir de l’extérieur ? Ou <br>
    est-ce impossible ?<br>

    Est-il possible de différencier les connexions nattées de la box et <br> celles du réseau local ?<br>

    Merci<br>

    Sil<br>

    </blockquote></div>
    </blockquote></div>

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)