Catégorie: sécurité

Log ssh et bruteforce, iptables, interdire root

L’emplacemment de vox log ssh est /var/log/auth.log.

Pour avoir une petite analyse, faites un petit 

nano /var/log/auth.log

Si comme moi vous avez de jolis log du genre:

Sep 3 16:19:29 sd-4145 sshd[23909]: Illegal user aleksandra from 88.191.11.198
Sep 3 16:19:29 sd-4145 sshd[23911]: Illegal user aleksandra from 88.191.11.198
Sep 3 16:19:29 sd-4145 sshd[23913]: Illegal user aleksandra from 88.191.11.198
Sep 3 16:19:30 sd-4145 sshd[23929]: Illegal user alenka from 88.191.11.198
Sep 3 16:19:30 sd-4145 sshd[23931]: Illegal user alenka from 88.191.11.198
Sep 3 16:19:30 sd-4145 sshd[23933]: Illegal user alenka from 88.191.11.198

Ba inquietez vous, on essai de vous brutforcer, donc dans ce cas, un petit abuse est de rigueure pour l’ip en question.

On peut aussi parer à ce genre d’attaque par une petit regle iptables:

iptables -I INPUT -s 88.191.11.198 -j DROP

ou:

iptables -A INPUT -p tcp –dport ssh -m recent –update –seconds 60 –hitcount 4 –name SSH -j DROP
iptables -A INPUT -p tcp –dport ssh -m recent –set –name SSH
iptables -A INPUT -p tcp –dport ssh -j ACCEPT

Qui bloque celui qui tente de se connecter plus de 4 fois en 60 sec en ssh 😉

Une autre très bonne solution est de changer le port de ssh

nano /etc/ssh/sshd_config

Et changer la ligne port 22
et relancez ssh:

/etc/init.d/ssh reload

Il y a aussi les trucs du genre failtoban.

Sans oublier biensur de ne pas autoriser l’acces ssh par root :
dans /etc/ssh/sshd_config

PermitRootLogin no  #changez yes en no

et relancez ssh:

/etc/init.d/ssh reload

Voila 😉

Wesside

Un nouveau soft dans le cracking wep, vient de faire son apparition, je n’ai pas encor eu l’occasion de le tester, mais il semble qu’il soit surpuissant puisqu’il annonce cracker les clef wep en quelques secondes.

Je n’ai pas encore pu trouver de doc probante;

Il semble qu’il soit uniquemment supporté pas les cartes a chipset prism et atheros. Les sources de wesside sont actuellement dispo pour freebsd. On attend avec impatience le portage sous d’autre plateforme plus utilisées, ubuntu, debian redhat …

Dans les sources, on voit aircrack, on peut donc penser que ce log l’utilise. Et déja que avec aircrack-ng le crack wep était très facile s’il est réellement encor plus puissant, ca va faire mal !

Merci a pascal78
Source

Edit:

A priori, rien de bien neuf sauf peut-etre :

3. After it eavesdrops a single data packet, it discovers
at least 128 bytes of keystream by sending out larger
broadcasts and intercepting the relayed packets.

Et donc peut être si c’est une clef 128, crack de la clef immediat !! A tester. Si vous avez freebsd svp faites nous un test 😀

  • 1. Channel hops looking for a WEP network.
  • 2. It then tries to authenticate and associate. If authentication
    fails, it attempts to find a MAC address to spoof
    by eavesdropping associated clients.
  • 3. After it eavesdrops a single data packet, it discovers
    at least 128 bytes of keystream by sending out larger
    broadcasts and intercepting the relayed packets.
  • 4. After it eavesdrops an ARP request, it decrypts the
    IP address by guessing the next four bytes of the
    keystream using multicast frames.
  • 5. It floods the network with ARP requests for the decrypted
    IP address.
  • 6. It launches aircrack [12] (v2.1) every 100,000
    packets captured for one minute and attempts to decrypt
    the key. If 3,000,000 packets have been captured
    so far, the cracking time is increased to ten minutes and
    cracking is started every 1,000,000 packets.

Soit en gros :D:

  • 1. On cherche un reseau wep.
  • 2. On essaie de s’authentifier et s’associer. Si l’authentification échoue,on essaye de trouver une adresse MAC en écoutant les clients associés.
  • 3. Après l’écoute d’un paquet simple de données, on découvre au moins 128 bytes de keystream en envoyant de plus grandes émissions et en arrêtant les paquets transmis par relais.
  • 4. Après l’écoute on fait une demande d’arp, on déchiffre l’IP address en devinant les quatre prochains bytes du keystream et en utilisant des armatures de multicast.
  • 5. On inonde le réseau avec des demandes d’arp de IP address déchiffré.
  • 6. On lance l’aircrack (v2.1) chaque 100.000 paquets capturés pour environ qu’une minute et tentatives déchiffrent la clef. Si 3.000.000 paquets ont été capturés jusqu’ici, le temps passe à dix minutes et on tente de cracker la clef tout les 1.000.000 paquets.

Source

Fon chuis pas à fond

Tout le monde parle de fon, fon par ci, fon par la… et voila qu’ils se mettent a lacher des routeur à 5€, ca buzz dans tous les sens.
Il ne faut oublier les frais de ports 18€ … quand on traite une actu on la traite à fond :D.

Bon maintenant les Bills sont arrivés, c’est nouveau, car fon s’est vieux.
A « l’époque« , j’avais déja regardé mais j’avais laché l’affaire à cause de la sécurité.
En effet, d’accord il y a une authentification radius et tout, donc il sera très difficile de se connecter, mais apres qu’est ce qui empeche de sniffer les trame avec ethereal, de récupérer un max de paquets et de lire les mail des gars connectés?

Pire, qu’est ce qui me dit que le proprio du reseau n’a pas mis lui même en place un dispositif d’écoute reseau ??

Bon si on oublie ce dernier cas, en gros si l’on veut sécuriser sa connexion et la partager en fon , il faux donc deux routeurs, l’un pour le reseau perso avec WPA et tout le tralala et l’autre pour fon, cava faire deja plus d’instale à mettre en oeuvre.
Mais bon pour moi il y a toujours le problème de confiance. Disons que je devienne Bills, qu’est ce qui va empecher mes voisins de devenir Linus (ca leur coutera 1€ dans un cybercafé) et ensuite de rien partager de leur connexion? Il ya a t il des controls fais en ce sens?.
Et de plus rien n’empeche de bridé la connexion sortantes …

Bref, même si je trouve que c’est une excellente innitiative, ca reste un peu limite, car maheureusement de nos jours les gens …

Gmail en https

Vous aimez vous baladez un peu partout avc votre pc et notamment sur les hotspot wifi.
Mais l’homme du milieu vous guette (notammment en wifi c’est tres facile: ethereal 😉 ) et quoi de plus precieux que vos email.
La ou en effet sont concentré tous vos mots de pass, tous vos identifiants ….
Si comme moi vous utilisez gmail et que vous souhaitez sécuriser vos requètes avec ssl, utilisez le en https.
J’ai d’abord longuement cherché dans les options comment faire ça mais en fait, rien de plus simple il suffit de se connecter à l’adresse suivante:
https://mail.google.com/mail/ ou bien l’une de ces variantes en precisant bien https dans la barre d’adresse.

++

SSLimage.com

Pour ceux d’entre vous qui aurait un compte paypal premier, vous avez sans doute remarqués que si vous souhaiter personnaliser votre interface de vente avec votre logo, il faut que celui ci soit heberger sous le protocol https. Hé oui pour ne pas avoir l’alerte de sécurité qui fait fuir tout les clients 🙂

Donc la seule solution est de trouver un hebergement SSL. Le hic c’est les tarifs pas très competitif (5$/logo/an) et de plus tenu par des ricain…

Mais voila du nouveau. Et en français svp 😉
www.sslimage.fr avec de bon tarifs, une fine équipe et un service parfait, le rève quoi 😉

aircrack-ng

Aircrack next generation … ça en jete !!
Suite à l’arret du devloppement de aircrack par son créateur Christophe Devine l’evolution de la suite de monitoring wifi avait cessé.

Mais toute la force du libre est la !! Le projet reprend sous l’appelation aircrack-ng.
Au menu des futurs festivitées, la reprise dans aircrack, l’injection et la reception avec plusieurs cartes,update des patch et codage C++…

Bref pas encor de koi déboucher le champagne, mais deja rien que le si support des drivers s’ameliorait…

Aircrack ng

Sur les traces de Christophe Devine

Chritophe Devine est le créateur de la suite aircrack et de Troppix.

Malheureusement, il a subitemment cesser ses travaux sur ces deux projets et cecis sans donner d’explications à ces nombreux fans. Le forum 100h.org puis le site cr0.net ont fermé l’un après l’autre :'( le 11 decembre 2005 et depuis plus de trace de Christophe.

C’est sur wikipedia que ce matin j’ai remarqué une chose un peu étrange. Un utilisateur référencer par son ip a éffectuer quelques modifications sur plusieurs arcticles de wikipedia fr et toutes concernent Devine de près ou de loin.

Je vous laisse jeter un oeil 😉
Contrib de l’user

Peut-être un simple passionné mais nous menons l’enquete 😉

Devine revient nous ou explique nous au moin 🙂

Whax + Auditor = Backtrack

Depuis le temps qu’on en parlait !!!

Les deux distributions spécialisées dans les tests d’intrusions et de sécurité ont fusionnées pour devenir Backtrack. Ces deux distrib avaient fait bcp parler d’elles notamment pour les tests de pénétrations de reseaux wifi avec les vidéos de crack wep et wpa à l’appuis.
Whax était deja à la base issus de whoppix.

ecran d'acceuil backtrack

En parralèlle s’était aussi developpée Troppix, la distrib de Christophe Devine (le créateur de la suite aircrack) mais Devine en a malheureusement cessé le devloppement :'(.

C’était la suite qui presentait le plus de compatibilité materiel et donc l’arrivée de backtrack ne peut que nous réjouir car elle devrait en supporter encor plus.
Notamment le support des cartes centrino tant attendu.

L’interface reste KDE et la distrib est toujours basé sur slax donc personne ne sera perdu!! Toujours en version beta pas mal de bug subsistent mais on a déja de bon retours :p …

Vous la voulez hein 😉
Télecharger backtrack
User: root
Password: toor

Installer backtrack sour VMware

Et n’oubliez pas la FAQ

Et si le test de votre reseau par crack wep vous interresse: Tuto aircrack

« Page précédente Articles suivants »