Reprise du message précédent :

Quelqu'un a demandé plus haut ce que faisaient les admins...
 
J'ai remonté une IP et j'ai eu un numéro de téléphone. J'ai appelé le gars pour lui dire que sa machine m'avait attaqué X fois et  s'il comptait faire quelque chose.
Réaction molle, il en a avait pas grand chose à foutre visiblement. Il a dit que si la machine était infectée ils la retireraient du réseau.
 
Moi si on m'avait dit ça, si un de mes routeurs était un zombie, ça m'aurait réveillé.
 
J'ai fait des nmap sur les IP qui m'attaquaient, certains avaient leur port mysql ouvert. D'autres avaient tous les ports possible et imaginables ouvert. Certaines IP dans le browser retournent des sites très sérieux (pas ip dynamique donc), l'un de sécurité, à miami, l'autre de système de paiement groupé. Ca fait peur!
 
Je crois même que l'hébergeur du site des JO de 2006 m'a attaqué également.
 
edit: un hébergeur de sites olé olé m'a aussi attaqué, lui on comprend qu'il soit une cible de choix.

Je viens de regarder mes logs (après avoir lu ce topic) et effectivement ca faisait un moment que je voulais traiter le problème.
 
J'ai pris une ip qui m'a attaqué cette nuit. Ca ping, ca nmap et y a le port 80 et 880 d'ouverts. Le port 80 m'affiche une page d'acces denied, mais le 880 m'affiche un prompt pour le xr-300 TX2.
 
j'essaie admin sans rien et je retrouve le prompt, j'essaie admin:admin et je rentre! Incroyable. Ettonez-vous que l'on ait autant d'attaque si les gens sécurisent aussi mal leur matériel. La navigation était en chinois, ou japonais, mais j'ai quand même trouvé la page de changement de mot de passe. J'ai mis admin123 à la place, je lui transmettrais ce mot via son serveut http, dans un message d'erreur, avec un petit mot d'avertissement.
 
J'ai pris des photos si ça intéresse quelqu'un, mais bon c'est pas forcément dans la charte non plus, mais j'en avais assez de subir en permanence, c'est usant à force.

c'est interdit tout ce que tu as fait
d'ailleurs tu risques bien plus que ce que cette machine t'a fait !!

 
possible, mais j'en ai assez de râler sur les logs comme un gentil mouton. Peut-être que quand la personne verra qu'elle ne peut pas se logger, elle se posera des questions et changera le mot de passe par défaut.
 
Se planquer derrière son incompétence, je peux le faire aussi:
 
"ha bon, c'était pas mon IP ? Mais j'ai utilisé mon mot de passe habituel pourtant ? après c'était du chinois, j'ai rien compris, je sais pô trop"

trop gros passera pas

vous connaissais, un utilitaires a mettre en CRON histoire d'exporter une partie de ses logs au formats html ?

je crois bien que ça existe oui
apt-cache search
 
sinon y a logcheck qui t'envoie des mails

 
je lui ai envoyé un message via une requête sur une page invalide et les logs d'apache. Je lui remettrai son pass dans 2 heures. Mais merde moi ça me gonfle.

 
we mais bon le search sans aucune base... j'ai trouvé un truc ccz.. ki les colories et qui les exporte au format HTML mais, il n'y a pas de possibilité pour déterminer que la fin du fichier...

Bonjour,
 
Je débute en administration linux et j'ais un petit probleme quand je lance  
 

 
J'obtiens cette erreur :
 

 
Donc si je comprend bien, il n'arrive pas a loader le module ip_tables
 
Je tente un modprobe iptables et donc sa confirme qu'il arrive pas a load le module

 
Je tente un locate pour voir si il est bien installer (locate ip_tables) :  

 
J'en suis la, je ne sais pas comment dire a mon modprobe de le load.

fais un uname -a stp

 
Linux se220 2.4.32 #1 SMP mar fév 21 11:01:16 CET 2006 i686 GNU/Linux

tu n'as pas le module pour le 2.4.32, mais pour le 2.4.27-2-386
 
tu as un multi proc (SMP) ?

non, mais c'est un kernel mis de base sur un serveur dedié, d'ou le smp
Est ce risqué de faire une Maj du kernel a distance? Car dans tout les cas, il est un peu vieux ce kernel.

bah faut être sûr de toi c'est tout

http://www.csc.liv.ac.uk/~greg/sshdfilter/
 
ça a l'air interessant  

bon j'ai testé ça marche bien, et ça s'install facilement

Du coup avec la règle iptables simplifiée plus besoin du script ?
 
Dommage j'aimais bien l'idée de la page web pour controller tout ca...
Vous auriez un lien pour un script php qui gère iptables, j'ai pas toruvé sur google

 
Webmin http://www.webmin.com/

Ah ouais, mais trop lourd
Je pensais plutot a un truc qui resemblerait à l'interface web de monowall par exemple

je viens d'ajouter la règle iptable aussi. Marre aussi des attaques qui m'ont généré un log de 4 Mo en moins de 2 mois.
 
Compte tenu que je n'ai accès à mon server que par ssh, le changement de port me semble un poil risqué.

 
j'en avais trouvé quelques uns.. mais .. bon ça n'allait pas avec mon firewall.. (très complèxe)
 
si j'ai le temps cet été, je me lance dans la configuration du firewall par php + mysql.. + perl + bash
 
php pour l'interface
 
perl + bash pour l'établissement du firewall
 
mysql pour le stockage de la config...  
 
à l'issue de cette manipulation, je souhaite monter un analyseur de log me permettant de mettre en évidence les différentes attaques, et de contrer de manière basiques, certaines d'entres elles..
 
Mais il faut garder à l'esprit que c'est un peu faire rentrer le loup dans la bergerie, un type qui veut se connecter sur voter serveur, passe par l'intreface web.. ouvre le port qui va bien.. et hop.. donc.. à sécuriser.. ou .. à n'autoriser qu'en interne...
 
je vous tiens au courant..

miam

Perso j'ai l'impression d'avoir des probs depuis quelques temps avec cette regle iptable. Le serveur SSH devient aléatoirement innaccessible. Je sais pas trop d'ou vient le prob

aucun pb pour moi

Pareille pour moi (remise en place aujourd'hui meme au taff :> )

 
Vus pourriez me faire un ptit topo? Qu'est ce qu'il faut utiliser maintenant ?

comme indiqué dans le 1er post
 

J'ai trouvé ca comme interface web pour iptables sinon
http://firewalladmin.sourceforge.net/
 
Ca peut aider

 
Mais heu, je ne vois aucune reference a sshd la

hein  

 
Mais il y a une ref au port 22 TCP  : le port par défaut de sshd

 
Tu peux l'écrire comme ça si tu préfères:
 

Erf moi est iptables... Ma gw est sous freebsd^^
 
Donc la tu fais un ban de l'ip si tu as plus de trois hits en 300 secondes sur 22/tcp c'est ca

ouep

Et ca prend fin... quand ?

je sais pas faut regarder le man
mais c'est quelques heures maxi je crois

en gros, tu rejettes la demande de connexion si c'est la 3eme que tu reçois de cette adresse IP en moins de 300s.
Finalement, ça dure jusqu'à 300 secondes après l'avant-dernière attaque.

 
je remonte ce topic car j'ai le meme soucis avec cette règle.  
Serait il possible de toujours ignorer une (ou plusieurs -> whitelist) IP dans ces règles?
 
En fait, j'ai 2 serveurs qui se synchronisent régulièrement (script rsync par ssh ds crontab), et cette synchro ne fonctionne plus très bien depuis que j'ai mis ces règles.
De meme, qd je suis loggué sur un server, un ssh deuxiemeServer reste parfois sans réponse. 5 min après, cela revient. Il semble donc que la règle bloque mon IP sans attendre les 3 mauvaises authentifications.
 
EDIT: rsync 2.6.8 utilisé en "rsync -vzae ssh --delete"