Le script kiddie de la mort qui tue

Non ce n’est pas le titre du dernier film d’horreur sorti, quoi que, mais de la mésaventure qui me touche depuis vendredi 03 octobre 2014. J’étais en train de faire le tour du propriétaire, vérification des sauvegardes quotidiennes, petit passage dans centreon, visite de mes quelques logs. Et là je m’aperçois que mon fichier mail.log avait grossi anormalement depuis deux jours.

Je commence mon investigation, au bout de quelques minutes je m’aperçois qu’un nom de domaine revient très très très fréquemment. Entre les une seconde et une minute.

connect from s15519008.onlinehome-server.com[74.208.164.28]
warning: s15519008.onlinehome-server.com[74.208.164.28]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
lost connection after AUTH from s15519008.onlinehome-server.com[74.208.164.28]
disconnect from s15519008.onlinehome-server.com[74.208.164.28]

De plus ce nom de domaine à l’air de provenir d’un dédié chez un prestataire puisque il est la forme sxxxxxxxxx.onlinehome-server.info, et qu’il change d’adresse toutes les deux tentatives.

Dans un premier temps j’opère un whois sur le domaine et j’obtiens les infos suivantes :

Email 	is associated with ~4,658,945 domains
is associated with ~1,876,696 domains
	
  
Registrant Org 	1&1 Internet Inc. is associated with ~430 other domains 	
  
Dates 	Created on 2003-10-27 - Expires on 2014-10-27 - Updated on 2013-10-27 	
  
IP Address 	212.227.142.1 - 5,070 other sites hosted on this server 	
  
IP Location 	Germany - Baden-wurttemberg - Karlsruhe - 1&1 Internet Ag
ASN 	Germany AS8560 ONEANDONE-AS 1&1 Internet AG,DE (registered Nov 26, 1997)
Domain Status 	Registered And Active Website

Je continue mes recherches sur internet et je tombe sur cet article de janvier 2014. Tout cela me parait louche. J’ai l’habitude de recevoir des tentative d’authentification sur mes serveurs, mais pas de cette façon. Mon instinct me dit de me méfier, car ce n’est jamais le même sous-domaine qui tente de s’authentifier, il en est de même pour l’adresse IP :

Je décide de contacter 1and1 une première fois, d’une pour les prévenir qu’ils ont peut-être une faille quelque part et d’autre pour si réellement ce domaine leur appartient, en même voir si cela ne vient pas de chez moi. Le technicien me confirme bien que ce domaine leur apartient, qu’il est géré par la maison mère en Allemagne pour finir qu’il va me mettre en relation avec un technicien sécurité. J’attends un peu et je tombe sur un gentil monsieur qui ne parle qu’allemand et tente de m’expliquer dans un anglais à l’accent très germanique qu’il va trouver quelque-un qui parle anglais. Malheureusement nous avons été coupés avant. Je rappelle une deuxième fois et là le technicien que j’ai au bout du fil, est français et je lui raconte ma mésaventure. Il m’explique que le ou les serveurs sont connus pour des fait similaire et me demande de leur envoyer mes fichiers log pour qu’ils enquêtent, ce que j’ai fait.

Il est midi et les attaques ne cessent, mais cela ne me bloque pas le serveur pour autant comme par exemple pendant une attaque ddos.

Je décide quand même de faire quelque-chose en commençant par créer une règle de filtrage fail2ban pour l’authentification sasl.

je modifie mon fichier jail.local dans /etc/fail2ban/ et j’y ajoute ses lignes :

[sasl]

enabled = true
port     = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = sasl
logpath  = /var/log/mail.log
bantime     = 86400

 Puis je crééla règle dans /etc/fail2ban/filter.d/sasl.conf :

[Definition]

failregex = (?i): warning: [-._\\w]+\\[<HOST>\\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed: \\w

ignoreregex =

 Je relance le daemon pour valider les changements. Au moment ou je créer ce filtrage Fail2ban ne me sert pas à grand chose puisque les hôtes d’attaque sont aléatoires, mais avec le temps il va forcément réutiliser une ip et là il sera banni, au fur et à mesure que son pool d’ip diminuera.

Je décide aussi de bloquer le domaine onliniehome-server.info dans iptable :

iptables -A INPUT -s onlinehome-server.info -j DROP

Au moment où j’écris ses lignes (03/10/2014) les attaques sont sont beaucoup calmées, peut-être une dizaine par heure contre plusieurs dizaines avant. Je n’ai toujours pas de retour de 1and1 et je ne sais pas si j’en aurai, je les relancerai par mail d’ici demain. A mon avis je ne pense pas qu’ils soient méchants, plutôt des jeunes qui s’amusent, il faut bien que jeunesse se fasse mais c’est quand même embêtant ce genre de situation.

L’affaire continue, suite au prochain numéro.

 

Vus : 1393
Publié par Olivier Delort : 73