Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
977 connectés 

 


 Mot :   Pseudo :  
 
 Page :   1  2  3  4  5  6  7  8  9  10
Auteur Sujet :

Marre des attaques Ssh & Co. : ban_ip.pl

n°669923
Tomate
Posté le 29-04-2005 à 11:33:23  profilanswer
 

Reprise du message précédent :
vi ;)


---------------
:: Light is Right ::
mood
Publicité
Posté le 29-04-2005 à 11:33:23  profilanswer
 

n°669925
Tomate
Posté le 29-04-2005 à 11:34:09  profilanswer
 


sachant qu'il y a certaines IP qui font 500 voire 1000 tentatives, ça fait environ 20-30 IP sur 5 mois ;)


---------------
:: Light is Right ::
n°669926
gwadboy
Posté le 29-04-2005 à 11:37:13  profilanswer
 

Le script se lance en root ?
 
Parceque en non root, j'ai rien qui se passe.


Message édité par gwadboy le 29-04-2005 à 11:38:05
n°669933
Tomate
Posté le 29-04-2005 à 11:48:56  profilanswer
 

gwadboy a écrit :

Le script se lance en root ?
 
Parceque en non root, j'ai rien qui se passe.


oui car il fait appel à iptables et en général les fichiers de logs ne sont pas lisibles en noon root


---------------
:: Light is Right ::
n°669939
gwadboy
Posté le 29-04-2005 à 11:58:29  profilanswer
 

Tomate a écrit :

oui car il fait appel à iptables et en général les fichiers de logs ne sont pas lisibles en noon root


 
Bin j'ai rien dans /home/bris/ban_ip/log/  :heink:  
 
Aucun fichier j'ai fait un ls -la rien de rien  :??:

n°669941
dam1330
...
Posté le 29-04-2005 à 12:01:24  profilanswer
 

sinon, j'ai qu'un routeur@home
je sais quelles ip peuvent acceder au serveur ssh, ya pas moyen de définir quelles sont les adresses autorisées pour certains ports ?

n°669944
Tomate
Posté le 29-04-2005 à 12:02:24  profilanswer
 


oui ça j'y ai déjà pensé, et je vais rajouter la gestion d'une whitelist ;)


---------------
:: Light is Right ::
n°669946
Tomate
Posté le 29-04-2005 à 12:02:51  profilanswer
 

gwadboy a écrit :

Bin j'ai rien dans /home/bris/ban_ip/log/  :heink:  
 
Aucun fichier j'ai fait un ls -la rien de rien  :??:


c'est quoi ce rep ??


---------------
:: Light is Right ::
n°669947
Tomate
Posté le 29-04-2005 à 12:03:22  profilanswer
 

dam1330 a écrit :

sinon, j'ai qu'un routeur@home
je sais quelles ip peuvent acceder au serveur ssh, ya pas moyen de définir quelles sont les adresses autorisées pour certains ports ?


heu tu peux le faire directement avec iptables ça ;)


---------------
:: Light is Right ::
n°669949
dam1330
...
Posté le 29-04-2005 à 12:05:26  profilanswer
 

Tomate a écrit :

heu tu peux le faire directement avec iptables ça ;)


 
tu peux m'indiquer comment ?
un petit exemple de regles, ou un lien ? je ne sais pas comment orienter mes recherchess

mood
Publicité
Posté le 29-04-2005 à 12:05:26  profilanswer
 

n°669953
Tomate
Posté le 29-04-2005 à 12:07:29  profilanswer
 

je pense que pour chaque ip tu peux faire :
 
$IPTABLES -A FORWARD -i $INTERFACE -s IP --dest-port !ssh -j DROP
 
ou un truc du genre (tout ce qui n'est pas à destination de ssh pour cette IP est droppé)


---------------
:: Light is Right ::
n°669954
gwadboy
Posté le 29-04-2005 à 12:07:39  profilanswer
 

Tomate a écrit :

c'est quoi ce rep ??


 
Le répertoire de log
J'ai remplacer sa
 
my $tail = `logtail -f /var/log/ssh.log`;
 
par sa
 
my $tail = `logtail -f /home/bris/ban_ip/log/ssh.log`;
 
Ou il faut que je laisse
 
my $tail = `logtail -f /var/log/ssh.log`;
 
???


Message édité par gwadboy le 29-04-2005 à 12:11:40
n°669955
Tomate
Posté le 29-04-2005 à 12:10:32  profilanswer
 

tu as les log dans /home/bris/log/ssh.log ??
 
je ne pense pas :D
 
regarde dans quel fichier de log tu as les log de ssh


---------------
:: Light is Right ::
n°669957
gwadboy
Posté le 29-04-2005 à 12:14:06  profilanswer
 

Tomate a écrit :

tu as les log dans /home/bris/log/ssh.log ??
 
je ne pense pas :D
 
regarde dans quel fichier de log tu as les log de ssh


 
Un
 
find / -name ssh.log
 
Et aucun fichier de log ssh  :heink:


Message édité par gwadboy le 29-04-2005 à 12:15:46
n°669958
Tomate
Posté le 29-04-2005 à 12:15:48  profilanswer
 

gwadboy a écrit :

Un
 
enux:/home/bris/ban_ip# find / -name ssh.log
 
Et aucun fichier de log ssh  :heink:


moi c'est ssh.log car j'ai tout rediriger les logs de ssh dans ssh.log
regarde si tu as des illegal users dans /var/log/message ou all.log ou ....


---------------
:: Light is Right ::
n°669959
deather2
Posté le 29-04-2005 à 12:17:00  profilanswer
 

grep ssh /var/log/*

n°669960
gwadboy
Posté le 29-04-2005 à 12:20:01  profilanswer
 

:heink:  
 
Comme ma machine est sur le réseau LAN sa vient pas de la ?
 
Peut-être qui y'a pas d'attaque ?
 
Donc pas de log ?

n°669961
gwadboy
Posté le 29-04-2005 à 12:23:00  profilanswer
 

deather2 a écrit :

grep ssh /var/log/*


 
Merci pour la commande.
 
Je vois, y'a pas mal de ligne dans /var/log/auth.log
 
Je fais des modif ou pour que sa fonctionne ?

n°669985
M300A
Posté le 29-04-2005 à 12:57:48  profilanswer
 


 
nan la je dis bravo :jap:


---------------
:wq
n°669986
Tomate
Posté le 29-04-2005 à 12:59:19  profilanswer
 

M300A a écrit :

nan la je dis bravo :jap:


j'ai rajouté la gestion des whitelist :p


---------------
:: Light is Right ::
n°669987
Tomate
Posté le 29-04-2005 à 12:59:27  profilanswer
 

pas encore en ligne :d


---------------
:: Light is Right ::
n°669988
M300A
Posté le 29-04-2005 à 13:01:56  profilanswer
 

tomate, mes illegal users apparaissent dans auth.log, tu peux me filer la ligne de conf pour sshd pour séparé tout les logs de ssh ? ;)


---------------
:wq
n°669990
Tomate
Posté le 29-04-2005 à 13:03:59  profilanswer
 

M300A a écrit :

tomate, mes illegal users apparaissent dans auth.log, tu peux me filer la ligne de conf pour sshd pour séparé tout les logs de ssh ? ;)


j'utilise syslog-ng pour faire ça et toi ?


---------------
:: Light is Right ::
n°669992
M300A
Posté le 29-04-2005 à 13:06:48  profilanswer
 

Bonne question je n'en ai aucune idée :o
 
J'utilise une debian sarge


---------------
:wq
n°669994
Tomate
Posté le 29-04-2005 à 13:09:41  profilanswer
 

bah regarde :o


---------------
:: Light is Right ::
n°669995
M300A
Posté le 29-04-2005 à 13:11:34  profilanswer
 

root      1729  0.0  0.0  1540  632 ?        Ss   Apr20   0:04 /sbin/syslogd
root      1732  0.0  0.1  1916 1016 ?        Ss   Apr20   0:01 /sbin/klogd


 
Ca peut être ca :??:  
 
Désolé j'i vraiment aucune idée de comment ca marche les logs ;)


---------------
:wq
n°669996
Tomate
Posté le 29-04-2005 à 13:12:09  profilanswer
 

donc c'est syslog tout court :p


---------------
:: Light is Right ::
n°669997
M300A
Posté le 29-04-2005 à 13:12:22  profilanswer
 

Possible :o


---------------
:wq
n°670000
M300A
Posté le 29-04-2005 à 13:19:31  profilanswer
 

Heu quand j'install mysql-server, il est pas censé me demandé de créer un compte admin :heink:


---------------
:wq
n°670002
dam1330
...
Posté le 29-04-2005 à 13:21:56  profilanswer
 

M300A a écrit :

Heu quand j'install mysql-server, il est pas censé me demandé de créer un compte admin :heink:


 
 
par defaut c'est root sans mot de passe, il faut vite changer ...
 
installe phpmyadmin

n°670006
pinguin007
a npe error
Posté le 29-04-2005 à 13:32:10  profilanswer
 

flag déguisé pour dire que en depuis le 25 avril jusqu'a hier j'ai eu quelques milliers d'ataques :D


---------------
LoD 4 ever && PWC spirit|Le topak de l'iMP-450|inDATOUNEwe trust
n°670010
M300A
Posté le 29-04-2005 à 13:35:00  profilanswer
 

Une petite suggestion, test si logtail éxiste, sinon le process se lance sans la moindre erreur ;)
 
 
PS : Une fois qu'il est lancé comment vérifier qu'il tourne (si il tourne :??:)
 
Il m'a bien detecter la liste des illegal user du log et a banni les IP, mais maitenant, si une nouvelle entrée arrive dans le log ?


---------------
:wq
n°670012
M300A
Posté le 29-04-2005 à 13:37:31  profilanswer
 

Mon iptables à bien été modifier :
 

Chain FORWARD (policy DROP)
target     prot opt source               destination          
eth0_fwd   all  --  0.0.0.0/0            0.0.0.0/0            
Reject     all  --  0.0.0.0/0            0.0.0.0/0            
LOG        all  --  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 6 prefix `Shorewall:FORWARD:REJECT:'  
reject     all  --  0.0.0.0/0            0.0.0.0/0            
DROP       all  --  80.55.188.194        0.0.0.0/0            
DROP       all  --  200.219.169.2        0.0.0.0/0            
DROP       all  --  219.88.250.40        0.0.0.0/0            
DROP       all  --  220.90.134.85        0.0.0.0/0            
DROP       all  --  61.79.56.211         0.0.0.0/0            
DROP       all  --  193.254.184.185      0.0.0.0/0            
DROP       all  --  141.30.190.245       0.0.0.0/0

:)


---------------
:wq
n°670019
l0ky
Posté le 29-04-2005 à 13:50:30  profilanswer
 


 
Si j'ai bien compris le fonctionnement du script de tomate, ses adresses IP il les tire d'un fichier de log. Ces logs proviennent du serveur de ssh car il y a eut un mauvais login/passwd donné à partir d'une de ces adresses. Sachant que c'est du TCP, que les numéros de séquence sous linux sont pas top prévisible, toussa, je doute que celà soit aussi facile à faire...
 
Enfin c'est mon avis [:spamafote]

n°670024
Tomate
Posté le 29-04-2005 à 13:55:38  profilanswer
 

M300A a écrit :

Une petite suggestion, test si logtail éxiste, sinon le process se lance sans la moindre erreur ;)
 
 
PS : Une fois qu'il est lancé comment vérifier qu'il tourne (si il tourne :??:)
 
Il m'a bien detecter la liste des illegal user du log et a banni les IP, mais maitenant, si une nouvelle entrée arrive dans le log ?


pour l'instant on le lance à la main, mais bon on peut rajouter l'appel dans cron ;)
 
je peux modifier l'affichage pour qu'on voit ce qui est ban/deban à chaque passage


---------------
:: Light is Right ::
n°670036
Tomate
Posté le 29-04-2005 à 14:14:13  profilanswer
 

bon j'ai modifié le script car j'ai trouvé un bug :D (dans la fonction unban, qui débannissait tout le temps en fait :D)


---------------
:: Light is Right ::
n°670038
Tomate
Posté le 29-04-2005 à 14:15:51  profilanswer
 


oue pas bête ça  :jap:  
 
je ferai ça bientôt


---------------
:: Light is Right ::
n°670041
neriki
oenologue
Posté le 29-04-2005 à 14:28:56  profilanswer
 


 
Dans ce cas la, il suffirait peut être d'ajouter une liste d'IP a ne jamais bannir, non?

n°670043
M300A
Posté le 29-04-2005 à 14:30:52  profilanswer
 

Heu juste une sugesstion, il serait peut etre plus intelligent de fair eun tail -f sur log ou d'utiliser Swatch par exemple et de bannir les IP avec 3 illegal users successifs, non ?


---------------
:wq
n°670047
Tomate
Posté le 29-04-2005 à 14:34:33  profilanswer
 


ça ne fait pas un illegal user de se tromper de mdp :p


---------------
:: Light is Right ::
n°670048
l0ky
Posté le 29-04-2005 à 14:35:41  profilanswer
 

et si tu te trompes de user [:pingouino] [:ddr555]

mood
Publicité
Posté le   profilanswer
 

 Page :   1  2  3  4  5  6  7  8  9  10

Aller à :
Ajouter une réponse
 

Sujets relatifs
[Recherche] PDA ou smartphone avec SSH (& VPN)Script lors d'une connexion SSH
heu....une fois en connexion SSH, je copie comment ?SSH: authentification sans pwd
Probleme lecture cd-rom (je debute jen ai marre des probs ....)[Gentoo] interdire l'accès SSH à un utilisateur donné?
detection d'attaques[Resolu][SSH] interdire les connexions user/pass (sans cle)
Attaques DDos super fréquentes..[mdk 10.1] Probleme avec SSH.
Plus de sujets relatifs à : Marre des attaques Ssh & Co. : ban_ip.pl


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR