Un dictionnaire de loggins

Vous pouvez le télécharger par là: dicoDesLogins.txt.

Pendant 24 heures environ un méchant pirate a tenté de trouver des identifiants e-mail sur un de mes serveurs.

attacParDicopLog.jpg

Vu que les identifiants sont les adresses e-mails complètes (avec le arobaze) je n’avais pas de risque qu’il trouve [1] Je l’ai donc laissé faire me disant que ça me permettrait de récupérer un dictionnaire. D’ailleurs j’avais même désactivé fail2ban pour l’aider un peu.

L’utilité d’avoir sous la main un dictionnaire de loggins hormis pour faire le script kiddies? Rien hormis quelques pistes de réflexion:

  • Tester sur mes propres serveurs cette liste couplé avec quelques mots de passe classiques (même identifiant/ mot de passe, "toto", "azerty", "123456"). Juste par curiosité.
  • On blackliste au bout de 6 tentatives en général, Pourquoi ne pas diminuer à 3 si les trois essais sont un loggin différent mais contenu dans le dictionnaire.
  • Là le pirate a je pense mélangé plusieurs fichiers dicos, mais dans l’ensemble, c’est par ordre alphabétique. Ce classement serait un moyen de détecter certaines attaques?

PS c’est @4sybix2 qui m’a envoyé la commande pour parser rapidement les logs afin de faire le dico. Merci!

cat dicoattac.txt| awk '{print $15}' | cut -d= -f2 | sed -e 's/^<//' -e 's/>,$//'

Note

[1] enfin, il s’est arrété lors du test d’un loggin vide "". Il y avait bien un loggin vide glissé par erreur dans ma bdd (supprimé depuis) "auth failed" quand même. Par contre, je ne sais pas si le code erreur lui a permis de voir s’il avait trouvé un loggin correct, faudra que je vérifie ce point.

Commentaires

1. Le jeudi, août 21 2014, 00:49 par chiropter

Merci Sybix !

Ajouter un commentaire

Les commentaires peuvent être formatés en utilisant une syntaxe wiki simplifiée.

La discussion continue ailleurs

URL de rétrolien : https://blog-du-grouik.tinad.fr/trackback/834

Fil des commentaires de ce billet

Page top