Discussion :

[mediaforest]

Bonjour, à tous,
Mon serveur est en train de subir une attaque brute force sur le serveur Mysql
J'ai cherché dans google, mais je n'ai trouvé aucune info sur ce genre d'attaque.

mon log mysql est rempli depuis la nuit dernière de milliers de :

080416 16:57:57 286051 Connect Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416 16:57:58 286052 Connect Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416 16:57:59 286053 Connect Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)
080416 16:58:01 286054 Connect Accès refusé pour l'utilisateur: 'root'@'@proxy.marin.k12.ca.us' (mot de passe: OUI)

au rythme d'un par seconde.
l'hôte proxy.marin.k12.ca.us n'étant ni "pingable", ni "resolvable", j'ai du utiliser iptraf pour identifier l'ip 137.164.143.114 à l'origine des connexions sur le port 3306 de ma machine et enfin la bloquer à la main par iptables.

Je cherche dans la doc de Mysql si il n'y a pas une option pour rejeter une machine après un certain nombre de connexions infructueuses, mais je ne trouve rien... Enfin si, j'ai bien trouvé le paramètre "max connect errors" mais il ne doit pas s'appliquer dans ce cas puisque bien que configuré à 10, des milliers de tentatives ont eu lieu sans le moindre blocage.

Je suppose, qu'il est possible de configurer fail2ban pour qu'il scrute le log mysql, mais le problème dans mon cas est que le nom d'hôte proxy.marin.k12.ca.us n'était pas "resolvable", et sans ip pas de blocage iptable possible.

Je m'étonne vraiment que MySQL de dispose pas d'origine d'un mécanisme permettant de faire avorter rapidement une telle attaque...
Ou alors j'ai raté quelque chose ?

[SphynXz]

Moi perso je change tout les ports par défaut. SSH, FTP, MySQL...
vue que le brute force à vue que ton serveur répondait sur le port 3306, il s'y est attaqué. En revanche s'il avait été mit sur un autre port, le brute force aurait chercher une autre victime!

[mediaforest]

Merci pour ta réponse.
Mais dans mon cas, l'utilisation des ports par défaut est nécessaire, car de nombreux utilisateurs novices, mais autorisés doivent pouvoir s'y connecter, avec un minimum de manipulations, donc sur les ports par défaut, d'autre part un simple coup de nmap permet à n'importe qui d'identifier les ports ouverts et de tenter de s'y connecter.
C'est pour ça que ce que je cherche c'est un paramètre interdisant la connexion d'une machine après n tentatives de connexion infructueuses, ou bien qui augmente la temporisation, après chaque tentative ratée...

[SphynXz]

sauf que les brute force ne tentent pas n'importe quel port ouvert

si un brute force voit le port 2121 ouvert, il s'en fout , parce qu'il sait pas trop ce que c'est , mais le port 21, là ca l'interesse

[mediaforest]

Quelqu'un (ou un robot bien programmé) qui cherche visiblement à se connecter spécifiquement à serveur Mysql, est tout à fait capable de tenter une connexion mysql sur n'importe quel port ouvert, qu'il soit standard ou non.
Et pire si jamais ce quelqu'un vise à rentrer dans TON serveur, et pas dans n'importe lequel comme le font tous les scriptkiddies, le fait de changer les ports n'y changera pas grand chose

[SphynXz]

Si le pirate veut t'attaquer toi en personne oui c'est sans effet, dans mon cas ce ne sera possible dans le sens où uniquement mon adresse ip ne peut se connecter au serveur. mais dans ton cas c'est plus complexe

[JinJu]

Bonjour,

Sur le site MySQL:

"max_connect_errors

S'il y a plus que max_connect_errors connexion interrompues depuis un même hôte, cet hôte sera bloqué dans ses prochaines tentatives de connexions. Vous pouvez débloquer un hôte avec la commande FLUSH HOSTS."


Par hasard tu aurais pas une commande FLUSH HOSTS qui serait exécutée quelque part?

[mediaforest]

Comme je le disais plus haut, j'ai bien repéré le paramètre max_connect_errors
mais on dirait qu'une tentative de login refusée n'est pas considérée par MySQL comme une "connexion interrompue"
J'ai bien vérifié dans mes logs et je n'ai pas trouvé de FLUSH HOSTS...
En plus comme les tentatives de connexion ont lieu au rythme d'une par seconde, avec le réglage par défaut de max_connect_errors, il faudrait un FLUSH HOSTS toutes les 10 secondes pour permettre toutes ces tentatives de connexion... Je nage

[guismojames]

Bien que le sujet soit ancien, je souhaite répondre à ceux qui aurait des questions similaire.

Une utilisation externe de MySQL n'est pas le problème exposé, car il s'agit d'un accès ouvert pour des utilisateurs a des fins d'administration.

Protègé vos serveur MySQL derrière des tunnel SSH sécurités ou au pire privilègié le VPN pour vos administrateurs nomades.

Pour le FTP, privillègié le SFTP, filezilla et bien d'autre client ne nécéssite pas plus de paramètrage pour utiliser SFTP.

Aujourd'hui, les technolgies de VPN mise en place GRATUITEMENT par Logmein, sont me semble t'il, un moyen simple et rapide de protèger des machines un minimum.

Sachez enfin, que sans de considérable moyen dans des protections physique, un réseau sera toujours faillible. Mais avec un bon certificat de sécurité, vous aurez affaire a des pirates d'un toute autre niveau à qui votre serveur n'intérêssera pas ^^