Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1531 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  vous vous faites autant attaquer?

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

vous vous faites autant attaquer?

n°697935
burgergold
5$? va chez l'diable!
Posté le 24-06-2005 à 19:27:19  profilanswer
 

j'ai terminé de monter ma machine il y a 2 jours
 
une LFS up-to-date, ajouté de openssl, d'une client dhcp, openssh, iptables, apache, php, mysql
 
en 2 jours, 5 personnes ont tenté de se loggé avec plein de users à plusieurs reprises (des noms comme test, web, root, ...)
 
ca l'arrive si souvent que cela? surtout qu'il se sont acharné sur une bonne liste de userid

mood
Publicité
Posté le 24-06-2005 à 19:27:19  profilanswer
 

n°697939
deather2
Posté le 24-06-2005 à 19:40:35  profilanswer
 

En FTP, ca m'arrive.
En SSH, pas une seule fois depuis que j'utilise un port > a 1024.

n°697944
black_lord
Modérateur
Truth speaks from peacefulness
Posté le 24-06-2005 à 19:57:38  profilanswer
 

tout les jours [:spamafote]


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
n°697945
burgergold
5$? va chez l'diable!
Posté le 24-06-2005 à 19:58:23  profilanswer
 

deather2 a écrit :

En FTP, ca m'arrive.
En SSH, pas une seule fois depuis que j'utilise un port > a 1024.


 
j'utilise le port 22 par défaut :/
j'ai disablé la possibilité de se logger en tant que root par ssh

n°697951
black_lord
Modérateur
Truth speaks from peacefulness
Posté le 24-06-2005 à 20:04:17  profilanswer
 

tentatives uniques :


01 02 03 04 1 2 3 4 4l|c3 5 6 7 8 9 a a1 a2 a3 a4 a5 a55 a6 a7 a8 a9 aa aaa aaron abby absolute acidoula action active add adidas admin2 adopt adventure after agent aias aircraft ajunge alala alaturca alien alive am amigo andrea anonym anthony apheXX aphexx apple apple1 arms arm| arnold asd asdfgh ashley at7adaal3ala attack attt aurevoire authentic author auto automation avoid b b0by b0ulis b3caus3 b3gin3r b4b4 b4ck baba5 bachus backstreet bahamas bake ball bandit banking banned banner bar barcelona basket bat batter beach beavis beer begun benjamin bernard bestguy betty biu3 blast bleat bnc boldan boots bottom brandon break btok buddy bugkil build bulk bull bunny burdujan buster buzz bye c00ck c00l c0d3ck c0dy c0lin c0n3x c0ndit0n c0nn3ct c0nstantin c0rby c0rp0rat3 c0s0v0 c3c cable cables cafu calculations cancel cancer candy canoe cap0n3 caps3r card cards cargo carina carmag3d0n carmina carry carter casp3r cassie castl3 casual casually cats celada celebrate chance charlie charlott chemical chest chicago chili choke christopher chrix church cia ciavi citizen city clara classroom claudia clean clearly cmd cmdchar co0l coach coaxial cocaine cocosu cold coldplay colleen collins comedy conference consumer cook cool coolboy cos cosinus cost3l cr3am crawl create creative crim cristy cry ct cure cust0miz3 cute cuz cynthia d dakota dale damage dani daniela danusa dar3 dark davis dd ddd dead deb debbie deborah deedee deep degree denise derek desert desk diana diav diavol direct dive diver doctor dogs domestic dominic dona donat donate done door down downturn dream drei drown drug drugs duckie duke duncan dust duty dylan e ebay ebayus3r economic edge edu ee eee efficient eh eigei eight eins electric eleven elizabet elizabeth elly emergency emily emir emmanuel empire enemies energ energy enigma entry equipment erica erupt etoo europe eviction evil exceeded exit expore ext extreme f fact familiar fantasy fatty fault feed ff fff figure filename filip fill finally fine fire firefighter fisherman fit flame fletcher flood flying food force forlan form fox francois franklin free friends friendship frog ftpxxx fudge fumes funny fury future g gai galaxy gay gazer gene genux gg ggg ginger glamour glanced global globus godzilla gog golden google gordon gosbus gov government grabbed grace graham grand grass guards guild guinness gym h hack hacker hagi hal hamlet hardly harley harold harris harrison hatton health heart heat helen hello helmet helpful herbert heroin hh hhh highschool hinet hiroshima hit home honda honey hope horn horror horse host howie human hyper i icant ideal ii iii impar impossible inch industrial industry ines inet inspiration international invent iota ip isolated italy j jason jayde jeffrey jerry jessie jester jj jjj joe joey johnny juice jukebox jungle junior just justice juventus jwpara k kabul karta kathleen kathrine kathy katie kayla kelly keygen kido kill killer kiss kisser kjayroe kk kkk klassus knock kramer kristen kristin kustorika lak lake laris larisa laser latin lau laur lava law leon leonard leroy lesin leslie lethal lg lib liban librys lie lift lig likeme lion listen literature lizard ll lll lloyd loaf location log logic logs lombard loss lovegirl lucas lucy lx m macromedia mad made madison madmax madoka madrid magic magical magnifique make malaka manager mane manjare manufacture marcus margaret maria marijean mark marr martinez massive mative maverick maxx me meal mean meat meet mega melania melanie melissa mell melody merlin mess metal mich michidutza mickey mile miller mind miserable miss mitnick mka mm mmm money monique mor morandi morgan mortimer motor motorist mount muscle mustang mutu myname myroot myuser mz n nakato nasa nba near nearby needs nest nicholas nj nm nn nnn nokia noname nora nord not note notused nrg nue nx o oo ooo oper opera orange out outlook oval over owner oxox ozn p paper par parlament part partner par|$ pascal pass passage past patriation patterson pausa pay pc peace peaches pedjo peer peler penelope pet petroleum phantom picasso pico pictures pile pirate piton pizda play plesan pm po poc polar pool popular pp ppp presumed princedome princess prison prize project pula purple put pyramid qazwsx quattro quickly qwertyuiop r racla raider raik rar rare rasha reach react readme reboot referendum refilled regarde remuser repair resolv rew right ring rise risk rivera roar rob robe robin robot roham roman ronal ronaldo roof rope rose roxana royal rpc rr rrr rubber rudy rulers rush russ russia s sail sailor sakis salif salmon salty sand sandal sar sarus satellite satoshie saxolinda say sb scarf scene scot second see send sense separate serb seria serious set shady share shark sharp shield shin shipbuilding shut sickgirl sigmund sign signal silly simina sinc3 sinus six skid skill skin skip skype slam slice slim smartuser smile smoken snoopy society sock sofia solar solaris solve sonic sony sonya sos soul south space spam spania sparc species spell spencer spier spine spirit spirits split spool spyuser ss sss staff start starter stefan stefanos step stephanie sth still stink stood storm street strike style submarine suck sucked sud suffer sugar suit sun0s superman survey suspend switch sylvia symatec synthetic t table tail take talk tamara tanc tangenta tank tanker tap tar tara tasha tcp team ted tenth termen terry tester testing textiles that the theresa thick threat three tides tiffany tigger timber time timothy tir tmp tok tomcats tool tork tosmart totolino touch tour tourette traitor transport travel trip true trust tt ttt tug tugs turn tuseless tusk tweety two type tyu u uniform unites univeristy unkle unsernet up usable use uselib usr uu uuu v valentin valerie vampire vanish various vb vermont veronica vet vibe vicky vince vinil violent vip viper virginia virtue vision vlc voice vomit vv vvv vwe waly wanker warn waterboy watson way wayne weak weenie western white whole willow willy wilma wizard workplace wrap wreck wrong ww x0 x0x0 xbox xw xx xxlx xxx y yea yeah yet yolanda yoshimoto yoyo ypager yy yyy zizou zoom zwei zxcvbnm  


 
> 1 & < 10


administrator (10), barbara (10), george (10), master (10), wwwrun (10), anton (9), data (9), 4na (8), adriano (8), an4 (8), ana (8), arthur (8), ben (8), henry (8), horde (8), iceuser (8), jane (8), rolo (8), account (7), cip51 (7), cip52 (7), com (7), cosmin (7), danny (7), frank (7), jack (7), james (7), media (7), noc (7), pamela (7), sybase (7), adine (6), adrian (6), alfred (6), andres (6), anna (6), ass (6), boss (6), boulis (6), boxer (6), info (6), marvin (6), michael (6), nicole (6), paul (6), steven (6), 4tac (5), alexandru (5), amanda (5), armi (5), aron (5), atac (5), babas (5), bank (5), battle (5), best (5), biue (5), body (5), borders (5), brian (5), daniel (5), francis (5), jim (5), mike (5), neriki (5), paris (5), pgsql (5), real (5), zejay (5), aarkzoo (4), admins (4), adri4n (4), adrian0 (4), al3x (4), aleksis (4), alexis (4), andrei (4), andrew (4), angel (4), angela (4), ant0n (4), antic (4), army (4), b0dy (4), baba (4), beba (4), beginer (4), blackness (4), bob (4), boby (4), bond (4), book (4), boriss (4), brigitt3 (4), brigitte (4), capone (4), capser (4), car (4), carmagedon (4), carmen (4), cec (4), chris (4), cnn (4), code (4), codeck (4), colin (4), constantin (4), cop (4), ebayuser (4), ellen (4), fred (4), from (4), good (4), justin (4), keith (4), kid (4), linux (4), lisa (4), login (4), martin (4), max (4), password (4), richard (4), robert (4), rock (4), sandra (4), spitfire (4), tim (4), tom (4), tony (4), username (4), willie (4), yahoo (4), yes (4), aaopen (3), ahmed (3), akg (3), al3xandru (3), albert (3), alberto (3), ali (3), alic3 (3), alin (3), allan (3), andi (3), angie (3), anita (3), anonimasu (3), archaeus (3), austin (3), ayman (3), b00nd (3), b0nd (3), b0x3r (3), b3n (3), banal (3), bang (3), bao (3), bart (3), battl3 (3), because (3), beny (3), bert (3), bill (3), bind (3), blackn3ss (3), blondy (3), blow (3), bobby (3), boond (3), boutu (3), brad (3), bret (3), bruce (3), butt (3), c (3), carl (3), carol (3), casper (3), cc (3), cesar (3), civic (3), clark (3), clinton (3), coco (3), cody (3), conex (3), connect (3), cont (3), corby (3), corg (3), corinna (3), corsa (3), costel (3), craig (3), crash (3), crax (3), criminal (3), ctg (3), cup (3), curier (3), customize (3), cx (3), dave (3), david (3), db (3), dexter (3), dick (3), earl (3), ed (3), eddie (3), edgar (3), emil (3), eminem (3), enzo (3), fbi (3), felix (3), five (3), gary (3), get (3), harry (3), httpd (3), ian (3), ismail (3), jeff (3), jesse (3), jimmy (3), jordan (3), karl (3), ken (3), l0c4l (3), larry (3), lee (3), library (3), local (3), lock (3), mafia (3), mariot (3), maxim (3), metallica (3), monica (3), most (3), myra (3), one (3), pete (3), peter (3), phil (3), philip (3), raptile (3), roland (3), s3rv3r (3), samba (3), samir (3), sammy (3), samuel (3), sean (3), shaun (3), shell (3), shoot (3), shop (3), ssh (3), stephen (3), steve (3), sven (3), sya (3), t3s (3), tads (3), temp (3), tes (3), tip (3), unix (3), vanessa (3), victor (3), wang (3), will (3), win (3), you (3), 4rmy (2), Aaliyah (2), Aaron (2), Aba (2), Abel (2), Jewel (2), aahad (2), aft3r (2), akiss (2), al3xandra (2), alexander (2), al|c3 (2), andale (2), angelboy (2), ant (2), antick (2), apaiktos (2), apples (2), aris (2), arsenal (2), arturo (2), ashler (2), ath (2), b055 (2), b0ri55 (2), b3ba (2), b4nk (2), ba0 (2), bach (2), bad (2), baikal (2), bani (2), barilas (2), bash (2), basilis (2), batle (2), bb (2), bbb (2), bc (2), beats (2), beijo (2), billy (2), bitch (2), bk (2), bl0ndy (2), brett (2), bush (2), buss (2), bust (2), by (2), c0c0 (2), c0m (2), c0nt (2), c0p (2), c0rg (2), c0rsa (2), c0smic (2), call (2), cap (2), carmag3don (2), castle (2), cat (2), cata (2), catalin (2), ccc (2), center (2), ciprian (2), cite (2), cnsas (2), condition (2), coock (2), coolguy (2), corporate (2), cosmic (2), cosovo (2), cream (2), credit (2), cust (2), cut (2), cv (2), cycle (2), diamond (2), dog (2), drive (2), england (2), eric (2), for (2), four (2), france (2), fuck (2), fun (2), g00d (2), god (2), godfather (2), gol (2), gregory (2), hall (2), harmony (2), hate (2), hellas (2), http (2), ident (2), isabelle (2), jeremy (2), jesus (2), jet (2), joker (2), joshua (2), julie (2), l (2), l0cal (2), l0ck (2), light (2), love (2), low (2), mario (2), maurice (2), mikael (2), mirror (2), moon (2), muda (2), n0d (2), nelson (2), net (2), nine (2), nod (2), p4r|$ (2), pacific (2), pari$ (2), party (2), peewee (2), ping (2), postmaster (2), q (2), qq (2), qqq (2), qwerty (2), raul (2), rdsnet (2), resin (2), rip (2), rpm (2), sara (2), school (2), scream (2), search (2), seek (2), sgi (2), sharon (2), silver (2), since (2), siren (2), slayer (2), smith (2), soft (2), spy (2), stars (2), sunny (2), sunsun (2), susan (2), suva (2), syto (2), technicom (2), ten (2), thomas (2), tv (2), union (2), users (2), var (2), w (2), webadmin (2), webpop (2), webster (2), william (2), worry (2), write (2), z (2), zidane (2), zz (2), zzz (2),  


 
 
> 10 :


79 test
50 admin
35 user
27 ftp
21 guest
21 sales
20 ftpuser
19 kevin
19 mailtest
19 patrick
19 service
19 student
19 testuser
17 www
16 adm
16 web
15 alice
15 oracle
14 apache
14 cyrus
14 john
12 adam
12 alan
12 alex
12 server
12 webmaster
11 alexandra
11 matt


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
n°697970
burgergold
5$? va chez l'diable!
Posté le 24-06-2005 à 21:00:06  profilanswer
 

tes > 10
ca ressemble pas mal à la liste qui a été passé sur moi

n°698013
jonthn
Posté le 24-06-2005 à 23:02:40  profilanswer
 

J'ai aussi le même problème sur mon serveur dédié mais maintenant j'ai un prog qui vérifie si l'accès à réussi et si c'est le contraire l'ip est banni avec une règle dans le firewall.  
Bon tout ça sur BSD avec PF.

n°698017
vlack
Posté le 24-06-2005 à 23:10:31  profilanswer
 

jonthn a écrit :

J'ai aussi le même problème sur mon serveur dédié mais maintenant j'ai un prog qui vérifie si l'accès à réussi et si c'est le contraire l'ip est banni avec une règle dans le firewall.  
Bon tout ça sur BSD avec PF.


PF :love:  
Il de-blacklist au bout d'un moment ? Il blacklist uniquement pour le ssh ?

n°698019
jonthn
Posté le 24-06-2005 à 23:16:50  profilanswer
 

vlack a écrit :

PF :love:  
Il de-blacklist au bout d'un moment ?


Non :(
 

Citation :


Il blacklist uniquement pour le ssh ?


 
Oui mais je pense que c'est possible d'adapter pour d'autres services...
 
Cf les sources ici :
 
http://pfsense.com/cgi-bin/cvsweb. [...] xt%2Fplain
 
Edit: Y a aussi une version plus complête pour ipfw voir à cet adresse : http://www.chrismasto.com/software/ssh_ipfw/


Message édité par jonthn le 24-06-2005 à 23:18:27
n°698066
darkoli
Le Petit Dinosaure Bleu
Posté le 25-06-2005 à 11:23:00  profilanswer
 

J'ai une question bête !
Ou-est que l'on peut voir toutes ces tentatives de connexion ?
J'ai une debian sarge à jour avec ssh, apache (+mysql+php+cacti) et ftp.


Message édité par darkoli le 25-06-2005 à 11:32:53

---------------
Le site de l'année :D (XHTML 1.0 strict) : http://darkoli.free.fr/index.html
mood
Publicité
Posté le 25-06-2005 à 11:23:00  profilanswer
 

n°698162
burgergold
5$? va chez l'diable!
Posté le 25-06-2005 à 16:53:00  profilanswer
 

bin moi c'est dans mes /var/log
 
j'ai jetté un coup d'oeil au log d'authentification
 
jme mets à la recherche de quelques chose qui pourrait parser tous mes logs et m'envoyer par courriel un genre de "rapport" de la journée

n°698174
BMOTheKill​er
Posté le 25-06-2005 à 17:46:35  profilanswer
 

1°) pm_abl est votre ami (module permettant de bannir selon des règles une erreur d'auth pam : system-auth, ssh, ... on en fait ce que l'on veut)
pratique pour un système multi-utilisateurs ayant un accès à distance, rien à gérer une fois implémenté, on peut directement bannir une IP/login à partir d'un certain nombre d'erreur par heure/par jour pour une durée configurée
 
2°) le poste fait tourner un serveur web avec cgi, il suffit de créer un script cgi sécurisé qui va vérifier/ouvrir/fermer sur le pare feu à la demande le port utilisé par ssh, interfacé par une page html/php qui elle est simplement protégée par .htaccess par exemple, efficace mais peu pratique quand il y a plusieurs utilisateurs

n°698176
BiBi Max
Posté le 25-06-2005 à 18:00:58  profilanswer
 

burgergold a écrit :

bin moi c'est dans mes /var/log
 
j'ai jetté un coup d'oeil au log d'authentification
 
jme mets à la recherche de quelques chose qui pourrait parser tous mes logs et m'envoyer par courriel un genre de "rapport" de la journée


 
logchek ?


---------------
BiBi Max
n°698238
beridoxy
Posté le 25-06-2005 à 23:49:39  profilanswer
 

more /var/log/auth.log
 
Mais il y a des log rotates réguliers, donc le résulatat est partiel...

Message cité 1 fois
n°698239
burgergold
5$? va chez l'diable!
Posté le 25-06-2005 à 23:53:20  profilanswer
 

moi jai pas de logrotate qui roule :o

n°698589
black_lord
Modérateur
Truth speaks from peacefulness
Posté le 27-06-2005 à 01:01:46  profilanswer
 

darkoli a écrit :

J'ai une question bête !
Ou-est que l'on peut voir toutes ces tentatives de connexion ?
J'ai une debian sarge à jour avec ssh, apache (+mysql+php+cacti) et ftp.


http://lists.debian.org/debian-use [...] 01655.html :o


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
n°698610
burgergold
5$? va chez l'diable!
Posté le 27-06-2005 à 04:11:52  profilanswer
 

est-ce que mon poste windows attaquerais mon poste linux?
 
ma théorie est que le SP2 active un prog qui hack les box unix... non sans blague, j'ai beaucoup de truc qui semble venir de mon winxp alors que je fais rien
 


Jun 26 22:09:42 lfs01 kernel: FIREWALL:INPUT IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:50:ba:2b:4d:02:08:00 SRC=192.168.0.100 DST=192.168.0.255 LEN=202 TOS=0x00 PREC=0x00 TTL=128 ID=31652 PROTO=UDP SPT=138 DPT=138 LEN=182
Jun 26 22:09:42 lfs01 kernel: FIREWALL:INPUT IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:50:ba:2b:4d:02:08:00 SRC=192.168.0.100 DST=192.168.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=31653 PROTO=UDP SPT=137 DPT=137 LEN=58
Jun 26 22:09:43 lfs01 kernel: FIREWALL:INPUT IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:50:ba:2b:4d:02:08:00 SRC=192.168.0.100 DST=192.168.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=31654 PROTO=UDP SPT=137 DPT=137 LEN=58
Jun 26 22:09:43 lfs01 kernel: FIREWALL:INPUT IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:50:ba:2b:4d:02:08:00 SRC=192.168.0.100 DST=192.168.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=31655 PROTO=UDP SPT=137 DPT=137 LEN=58
Jun 26 22:09:46 lfs01 kernel: FIREWALL:INPUT IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:50:ba:2b:4d:02:08:00 SRC=192.168.0.100 DST=192.168.0.255 LEN=202 TOS=0x00 PREC=0x00 TTL=128 ID=31658 PROTO=UDP SPT=138 DPT=138 LEN=182
Jun 26 22:09:46 lfs01 kernel: FIREWALL:INPUT IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:50:ba:2b:4d:02:08:00 SRC=192.168.0.100 DST=192.168.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=31659 PROTO=UDP SPT=137 DPT=137 LEN=58
Jun 26 22:09:47 lfs01 kernel: FIREWALL:INPUT IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:50:ba:2b:4d:02:08:00 SRC=192.168.0.100 DST=192.168.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=31664 PROTO=UDP SPT=137 DPT=137 LEN=58
Jun 26 22:09:48 lfs01 kernel: FIREWALL:INPUT IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:50:ba:2b:4d:02:08:00 SRC=192.168.0.100 DST=192.168.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=31665 PROTO=UDP SPT=137 DPT=137 LEN=58
Jun 26 22:09:50 lfs01 kernel: FIREWALL:INPUT IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:50:ba:2b:4d:02:08:00 SRC=192.168.0.100 DST=192.168.0.255 LEN=202 TOS=0x00 PREC=0x00 TTL=128 ID=31666 PROTO=UDP SPT=138 DPT=138 LEN=182
Jun 26 22:09:50 lfs01 kernel: FIREWALL:INPUT IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:50:ba:2b:4d:02:08:00 SRC=192.168.0.100 DST=192.168.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=31667 PROTO=UDP SPT=137 DPT=137 LEN=58
Jun 26 22:09:51 lfs01 kernel: FIREWALL:INPUT IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:50:ba:2b:4d:02:08:00 SRC=192.168.0.100 DST=192.168.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=31668 PROTO=UDP SPT=137 DPT=137 LEN=58
Jun 26 22:09:52 lfs01 kernel: FIREWALL:INPUT IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:50:ba:2b:4d:02:08:00 SRC=192.168.0.100 DST=192.168.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=31669 PROTO=UDP SPT=137 DPT=137 LEN=58
Jun 26 22:09:55 lfs01 kernel: FIREWALL:INPUT IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:50:ba:2b:4d:02:08:00 SRC=192.168.0.100 DST=192.168.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=31672 PROTO=UDP SPT=137 DPT=137 LEN=58
Jun 26 22:09:55 lfs01 kernel: FIREWALL:INPUT IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:50:ba:2b:4d:02:08:00 SRC=192.168.0.100 DST=192.168.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=31673 PROTO=UDP SPT=137 DPT=137 LEN=58
Jun 26 22:09:56 lfs01 kernel: FIREWALL:INPUT IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:50:ba:2b:4d:02:08:00 SRC=192.168.0.100 DST=192.168.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=31676 PROTO=UDP SPT=137 DPT=137 LEN=58

n°698611
deather2
Posté le 27-06-2005 à 04:23:00  profilanswer
 

J'pense plutot que c'est ton Windows qui est vérolé lol...

n°698612
burgergold
5$? va chez l'diable!
Posté le 27-06-2005 à 04:27:11  profilanswer
 

javais un antivirus jusqua récemment (norton 7.5 a plus de nouvelle def de virus depuis quelques semaines...)
 
jvais regarder ca

n°698614
deather2
Posté le 27-06-2005 à 04:55:42  profilanswer
 

Regarde sous Win ce qu'il se passe avec netstat ou ethereal sinon

n°698619
l0ky
Posté le 27-06-2005 à 08:01:52  profilanswer
 

Burgergold: Ce que tu as dans ton log c'est juste des broadcasts provenant de ton windows pour les partages windows.

n°698743
burgergold
5$? va chez l'diable!
Posté le 27-06-2005 à 12:56:42  profilanswer
 

jdevrais les laisser passer pour le 192.168.0.* ?

n°699147
piouPiouM
insomniak
Posté le 28-06-2005 à 02:25:06  profilanswer
 

deather2 a écrit :

En FTP, ca m'arrive.
En SSH, pas une seule fois depuis que j'utilise un port > a 1024.


Sur SSH pour l'instant non
sur le FTP ça arrive
sur le serveur Apache tous les jours j'ai le droit en moyenne à 3 tentatives d'exploitation de faille IIS :D


---------------
o(^_^o) Gimp4you : tutoriels pour Gimp 2 | Galerie (o^_^)o
n°699172
ceyquem
E falso sequitur quodlibet
Posté le 28-06-2005 à 09:17:31  profilanswer
 

sur SSH tous les 3 jours j'ai des tentatives qui peuvent durer jusqu'à 15 minutes (d'où ma question sur le script)
sur ftp j'ai quelques tentatives par jour de login anonyme ou de tests de logins
sur apache, des tentatives d'exploit de failles IIS tout le temps aussi :)
 
tous les ports sont standards.

n°699173
ceyquem
E falso sequitur quodlibet
Posté le 28-06-2005 à 09:19:15  profilanswer
 

burgergold a écrit :

bin moi c'est dans mes /var/log
 
j'ai jetté un coup d'oeil au log d'authentification
 
jme mets à la recherche de quelques chose qui pourrait parser tous mes logs et m'envoyer par courriel un genre de "rapport" de la journée


 
cf mon post ) ce sujet :
http://forum.hardware.fr/hardwaref [...] 0149-1.htm
 
le script est en cours d'essais :)

n°699472
Klaimant
?
Posté le 28-06-2005 à 16:33:06  profilanswer
 

burgergold a écrit :

bin moi c'est dans mes /var/log
 
j'ai jetté un coup d'oeil au log d'authentification
 
jme mets à la recherche de quelques chose qui pourrait parser tous mes logs et m'envoyer par courriel un genre de "rapport" de la journée


 
logcheck est ton ami ;)

Message cité 1 fois

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
n°699507
burgergold
5$? va chez l'diable!
Posté le 28-06-2005 à 17:24:04  profilanswer
 

c'est directement du bash
 
l'exécution est rapide?

n°699521
black_lord
Modérateur
Truth speaks from peacefulness
Posté le 28-06-2005 à 17:33:45  profilanswer
 

logcheck c'est du perl, c'est rapide puisque je le sens pas sur mon 200 (qui est déjà ras la gueule)


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
n°699531
burgergold
5$? va chez l'diable!
Posté le 28-06-2005 à 17:42:05  profilanswer
 

euh... moi jvois du bash
 


#!/bin/bash
#
# Copyright (C) 2004-2005 Debian Logcheck Team  
#                         <logcheck-devel@alioth.lists.debian.org>
# Copyright (C) 2002,2003 Jonathan Middleton <jjm@ixtab.org.uk>
# Copyright (C) 1999-2002 Rene Mayrhofer <rmayr@debian.org>
# Copyright (C) 1996-1997 Craig Rowland <crowland@psionic.com>
 
# This file is part of Logcheck
 
# Logcheck is free software; you can redistribute it and/or modify
# it under the terms of the GNU General Public License as published by
# the Free Software Foundation; either version 2 of the License, or
# (at your option) any later version.
 
# Logcheck is distributed in the hope that it will be useful,
# but WITHOUT ANY WARRANTY; without even the implied warranty of
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
# GNU General Public License for more details.
 
# You should have received a copy of the GNU General Public License
# along with Logcheck; if not, write to the Free Software
# Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA  02111-1307  USA
 
# $Id: logcheck,v 1.117 2005/05/09 01:12:02 jlps-guest Exp $

n°699533
black_lord
Modérateur
Truth speaks from peacefulness
Posté le 28-06-2005 à 17:48:05  profilanswer
 

ah ouais [:petrus75]
 
j'étais sur que c'était du perl [:pingouino]


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
n°769084
darkoli
Le Petit Dinosaure Bleu
Posté le 08-01-2006 à 12:40:45  profilanswer
 

beridoxy a écrit :

more /var/log/auth.log
 
Mais il y a des log rotates réguliers, donc le résulatat est partiel...

J'ai des lignes du type

Jan  8 06:25:04 pingouin su[31399]: + ??? root:nobody
Jan  8 06:25:04 pingouin su[31399]: (pam_unix) session opened for user nobody by (uid=0)
Jan  8 06:25:05 pingouin su[31399]: (pam_unix) session closed for user nobody

Ce message apparaît trois fois par jour entre 6h25m05s et 6h34m40s.
Qu'est ce que c'est ?

Message cité 1 fois

---------------
Le site de l'année :D (XHTML 1.0 strict) : http://darkoli.free.fr/index.html
n°769086
ceyquem
E falso sequitur quodlibet
Posté le 08-01-2006 à 12:45:19  profilanswer
 

Klaimant a écrit :

logcheck est ton ami ;)


 
j'ai fait un truc de ce genre à la mano, assez facile à mettre en place : http://ceyquem.free.fr/www/article [...] report.htm

n°769091
Mjules
Modérateur
Parle dans le vide
Posté le 08-01-2006 à 12:59:52  profilanswer
 

darkoli a écrit :

J'ai des lignes du type

Jan  8 06:25:04 pingouin su[31399]: + ??? root:nobody
Jan  8 06:25:04 pingouin su[31399]: (pam_unix) session opened for user nobody by (uid=0)
Jan  8 06:25:05 pingouin su[31399]: (pam_unix) session closed for user nobody

Ce message apparaît trois fois par jour entre 6h25m05s et 6h34m40s.
Qu'est ce que c'est ?


t'as pas un service qui se lance à cet heure là avec cron ?

Message cité 1 fois

---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
n°769309
THRAK
- THR4K -
Posté le 09-01-2006 à 05:21:27  profilanswer
 

Mjules a écrit :

t'as pas un service qui se lance à cet heure là avec cron ?


 :jap:  +1
 
Typiquement il s'agit de diverses tâches pour la maintenance contenues dans cron.daily, cron.weekly et cron.monthly qui sont automatiquement exécutées (cf. /etc/crontab).

Message cité 1 fois

---------------
THRAK (def.) : 1) A sudden and precise impact moving from intention, direction and commitment, in service of an aim. 2) 117 guitars almost striking the same chord simultaneously.
n°771635
darkoli
Le Petit Dinosaure Bleu
Posté le 14-01-2006 à 17:44:49  profilanswer
 

THRAK a écrit :

:jap:  +1
 
Typiquement il s'agit de diverses tâches pour la maintenance contenues dans cron.daily, cron.weekly et cron.monthly qui sont automatiquement exécutées (cf. /etc/crontab).

Hier j'ai fait une mise à jour du système (Debian Etch) et le fichier de configuration de Postfix a été modifié malgré moi et depuis je reçois ces messages :

/etc/cron.daily/man-db:
mandb: attention: /usr/share/man/man1/wxgtk-2.4-config.1.gz est un lien symbolique flottant
mandb: attention: /usr/share/man/man1/wxbase-2.4-config.1.gz est un lien symbolique flottant
mandb: attention: /usr/share/man/man1/rmic.1.gz est un lien symbolique flottant
mandb: attention: /usr/share/man/man3/open_memstream.3.gz est un lien symbolique flottant

Ce qui répond à ma question ! :D


---------------
Le site de l'année :D (XHTML 1.0 strict) : http://darkoli.free.fr/index.html
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  vous vous faites autant attaquer?

 

Sujets relatifs
Plus de sujets relatifs à : vous vous faites autant attaquer?

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.141 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR