Reprise du message précédent :

 
je remonte ce topic car j'ai le meme soucis avec cette règle.  
Serait il possible de toujours ignorer une (ou plusieurs -> whitelist) IP dans ces règles?
 
En fait, j'ai 2 serveurs qui se synchronisent régulièrement (script rsync par ssh ds crontab), et cette synchro ne fonctionne plus très bien depuis que j'ai mis ces règles.
De meme, qd je suis loggué sur un server, un ssh deuxiemeServer reste parfois sans réponse. 5 min après, cela revient. Il semble donc que la règle bloque mon IP sans attendre les 3 mauvaises authentifications.
 
EDIT: rsync 2.6.8 utilisé en "rsync -vzae ssh --delete"

tu peux effectivement rajouter des règles qui autorisent des IP
à placer AVANT la règle qui ban

Bonjour tout le monde,
 
Tout d'abord (re)Merci pour toute votre aide sur le sujet "Retour Expérience, SSH....", car ça m'a permi de bien installer et configurer Cygwin et OpenSSH sur mes serveurs.
 
J'ai vu un peu partout qu'il y a une documentation sur la possibilité de mettre en place un tunnel ssh et de lire son mail, faire du ftp dans ce même tunnel. j'avoue que j'ai lu plein de doc sur ce sujet, mais que je n'ai pas pu aller jusqu'au bout. En d'autre terme je n' ai pas pu lire mes mails à travers ce tunnel, à l'inverse de ce qui est dans la documentation.
 
Alors si quelqu'un peut m'aider à :
 
1) Enclencher une discussion à ce sujet
 
2) Me fournir une doc qui détaille pas à pas la mise en place d'une telle solution.
 
 
Merci d'avance!

bah c'est facile, tu te connectes par SSH à ta machine, tu t'identifies comme l'utilisateur, puis tu lances mutt (ou thunderbird si tu as le forward de X11 activé).

 
On trouve ça aussi en cherchant sur le net, et ça marche aussi

bon je suis en train de refaire mon FireWall.. (projet que j'avais annoncé plus tot) .. mais en attendant je suis tombé sur un projet simpa :  
 
http://www.ossec.net/fr/home.html
 
je l'ai installé : il est conseillé d'avoir un serveur de mails  
 
je suis notifié à la mointre tentative échouée ou réussi d'intrusion. si un mec joue trop : il se fait jeter tout seul.. c'est paramettrable
 
Je suis aussi notifié si des fichiers de confs sont modifiés.. (genre le mec a quand même réussi à rentrer.. et a modifié /etc/shadow (rien que ça ).. bin je suis au courant..
 
la seule chose qu'on peut pas voir.. c'est si le mec désactive l'outil
 
voilà.. bonne lecture..
 
@++
 

je remonte le topic, j'ai trouvé le programme fail2ban qui configure facilement iptables pour bloquer les attaques forces brutes.

Qui connait ? deja essayé ?

y a un joli paquet debian tout fait: apt-get install fail2ban

Ca semble hyper simple à mettre en place, et pas uniquement contre ssh mais tout plein d'autres services.

je voudrais bien tester mais j'ai pas envie de me faire  me bannir de mon serveur

c'est tout expliqué ici:

http://www.the-art-of-web.com/system/fail2ban/

A l'occaz je testerai car Ossec, c'est bien.. mais avec le nombre de truc que ca monitor, et le nombre de disques dur que j'ai.. je me fais spamer au moindre changement d'indices smart...  
 
 
Je vois pas pourquoi tu as peur d'etre banni... si c'est le cas, tu te connecte en local et tu fais sauter la regle qui va bien... :
iptables-save | grep ton_ip  
et tu reecrits la regle en remplacant le -A par un -D .. et vlan, c'est parti
 
Au pire, je pense qu'il doit y avoir un principe de whitelist .  
a creuser...  
 
Question ? dans le meme sujet  
 
Que peut-on faire legalement contre un type qui essaye de pirater votre serveur, et ce de maniere repetee ?
 
contacter abuse ?
 
Hier dans la journee.. 400 attaques VNC.. soit 70 IP dont 40 venant du reseau PROXAD (free).. c'est pas que je fasse pas confiance a iptables... mais la quand meme, je trouve que les mecs abusent ... j'ai bien l'intention de me renseigner et de cogner fort.  
 
quelqu'un a une idee ? porter pleinte ? tribunal ? existe-t-il une procedure ?
 
[edit] correction de 2 ou 3 fautes... [/edit]

abuse tant que c'est des IP en france
 
ensuite tu peux mailer quand c'est à l'étranger, mais peu de chance que ça serve

pour l'europe, ça peut marcher, j'ai porter plainte contre un user d'un FAI italien (l'equivalent d'alice
si j'ai bonne memoire) et j'ai eu un rapport ensuite comme quoi, les ip étaient bannies du réseau.

t'as porté plainte comment ?
via abuse ?

effectivement via abuse,
j'ai tout d'abord alerté mon FAI (orange en l'occurence) puis ils ont relayé l'information...
jusqu'au srpj et ainsi de suite
mais faut poster le log avec sinon...

ah ok

mais depuis j'ai changé le port ssh et plus de pb...  
pasqeu ça commençait à me saouler : je voyais des pics de réseau tous les jours le matin en me levant

Super, merci pour vos reponses... pas de probleme pour les logs.. j'en ai des km.... (tout est logue)

C'est vrai que Abuse de Wanadoo/Orange est tres efficace... et au niveau du SPAM ils sont radicaux.. je supose que ca va jusqu'a la coupure de la ligne : voir les CGV....

Chez free, j'ai lu ca :
http://faq.free.fr/accesgratuit/Ab [...] _pour_abus

Je vais finir par sortir l'artillerie lourde et reporter tout les cas d'attaques superieur a 20 tentatives/jours a free (qui je le rappel est le reseau qui m'attaque le plus). Je trouve que c'est vraiment domage d'en arriver la.. mais bon... il faut peut-etre rappeler que le net n'est pas un nomansland.. et qu'il a des regles a respecter... une tentative de piratage c'est illegal...

A votre avis, est-ce idiot de diffuser la liste des IP qui tente de pirater mon serveur ? par exemple sur un site web ?

cela ne sers à rien, les ip peuvent varier continuellement.
le log (avec date et heure en GMT) leur permettra de fermer l'abonnement du "hacker" présumé

IP free sont statiques (pour les abonnes Freebox) donc elles ne varient pas..
 
pour le rapport a Abuse, je mettrai l'extrait complet du log (horodate)
 
merci..
 
je vous tiens au courant.

à mon avis le pb c'est que c'est des pc infectés en fait

oui mais ça tu ne le sais pas qu'elles appartiennent à free en particulier  
seul abuse@FAI pourras te renseigner, à moins de faire une recherche approndie
et mondiales dans les classes d'IP enregistrées.
moi qd ça arrive (rarement qd même), dejà je commence par bannir iilico presto
tout le sous réseau concerné pendant un temps T histoire de calmer et d'avoir la paix.
c'est un peu le but de ce topic d'ailleurs.

c'est aussi ça, mais qd un scan ssh sur le port 22 arrive, c'est plutot des robots programmés intentionnellement

whois IP

oue un virus/ver quoi

marche pas toujours le whois, on ne tombe pas forcément sur le FAI responsable
car il y beaucoup de groupements, de revente...
 
pour le virus, mouais un scan+tentative de login/password en boucle me semble
un peu plus ciblé qu'un virus/réplicateur.
mais ce n'est qu'une différence de définition donc j'abrege

Un virus s'acharnera plutot sur le smtp au lieu de ssh quand meme...

 
tres simple : nslookup IP => si ca contient "proxad" c'est que c'est chez free
 
les ip commencant par 82.227 c'est du free ...par exemple..
 
 

personne n'a essayé fail2ban ?

houla nan

Et si... j'ai meme d'ailleur recupere les classes d'ip dedies aux fournisseurs d'access
 
Wanadoo
free
neuf tel
et les fournisseurs d'acces etrangers aussi..
 
quelques exemples :
 
#reseau FREE dynamique
62.147  REJECT
81.56  REJECT
82.64  REJECT
82.65  REJECT
82.224  REJECT
82.233  REJECT
82.236  REJECT
82.238  REJECT
82.227  REJECT
82.253  REJECT
212.27.32 REJECT
213.228  REJECT
 
#reseau pouri dynamic.hinet
59.117  REJECT
59.120  REJECT
60.248  REJECT
61.216  REJECT
61.224  REJECT
61.229  REJECT
61.230  REJECT
61.231  REJECT
125.225  REJECT
125.232  REJECT
218.166  REJECT
218.167  REJECT
218.170  REJECT
218.175  REJECT
 
#Wanadoo
62.160  REJECT
62.161  REJECT
80.8  REJECT
80.13  REJECT
81.48  REJECT
81.248  REJECT
82.120  REJECT
82.123  REJECT
83.112  REJECT
83.192  REJECT
90  REJECT
212.234  REJECT
217.108  REJECT
217.128  REJECT
217.167  REJECT
 
J'avais deja fait des recherches pour bloquer les PC zombie qui se connectent sur mon serveur de mails... une IP "dyn" de FAI n'est pas authorise... j'ai plus de 100 classes d'IP bloquees.. et pour le moment, je n'ai pas perdu un seul mail important... (par contre, plus de SPAM). Je vais pas tout donner ici.. c'est pas le but...
 
Il y a certaines IP folclo sans DNS... mais ca, c'est une autre histoire !
 
Les classes d'IP fournies dans ce post, sont des informations officielles :
 
ftp://ftp.ripe.net/pub/stats/ripe [...] oclist.txt

nan, c'est juste que la résolution inverse ne donne pas forcément quelque chose en proxad

c'est un exemple isolé, je parle de l'ensemble des ip mondiales    
pour la france c'est assez facile, mais je ne crois pas que les "attaques" ne soient localisées qu'uniquement en france.

oui, exemple : mon IP..  (mais dans ce cas, tu as whois pour me filler un coup de telephone en cas de probleme avec mon IP )
 
mais tu as une info supplementaire :  
 
tu compares avec le fichier que je viens de donner.. si l'ip est dans le reseau attribuee par le FAI... c'est chez ce FAI qu'il faut aller...
 
maintenant je penses pas que les gars qui se sont ammuses a changer leurs reverse dns chez free s'amusent a laisser tourner des PC zombie chez eux... c'est trop flag a retracer...
 
Comme dit par un autre forumer tout a l'heure.. c'est surtout des PC zombis geres par des gens qui ne savent pas ce que c'est qu'un anti-virus qui attaquent le plus souvent...
 
Comme dit plus haut... 70% des attaques faites sur mon serveur vienent d'ip contenant proxad dans le DNS... apres .. s'il y a 2 ou 3 clampins avec des DNS flag genre ... mon-super-site-perso.com => j'allume a coups de bazouka
Avec un whois, t'as meme son adresse perso
 
Donc on est d'accord 100% des reverse DNS de free ne comportent pas "proxad" : tu as raison... cependant, en se basant sur cette regle pas rigoureuse, je te l'accorde, on arrive quand meme a en choper la majorite..
 

ah la oui je suis d'accord pour cette explication plus developpées

Alors je déterre le topic...  
 
Depuis quelques temps, j'ai déménagé.. d'alsace en région parisienne.. et dans mon coin pommé au milieu de la cambrousse (vallée de chevreuse).. les connections ADSL.. ne sont pas réputée pour être fiable.  
 
J'ai donc abandonné mon idée d'hebergement @home.. pour louer un serveur dédié.  
Mon fournisseur (OVH) a besoin d'une connection ssh sur le port 22 (c'est ballot ça.. )
 
Donc mon astuce qui était de déplacer le port d'écoute 22 sur un autre port (exemple 2222).. tombe à l'eau.. et à moi les attaques de brutes épaisse (pas très finaud ni discret).
 
J'ai utilisé fail2ban.. conjointement à mon firewall..
 
Fail2ban.. permet en analysant les logs de detecter les tentatives d'intrusion SSH, MAIL, HTTP, FTP.. et je suis convaincu d'autre choses encore..
 
à l'aide d'un syntaxe particuliaire.. on lui spécifie les mots/expressions à reconnaitre dans un fichier de log.. leurs occurence.. et l'action à entreprendre..
 
Par défaut pour ssh  
6 intrusions invalides = banissement de 10 minutes..
 
Etant donné que mon firewall log beaucoup de choses.. ce comportement DROP ne m'interraisse pas..
 
j'ai rajouté dans mon script d'initialisation de mon firewall  
 
#suppression eventuel de la table existante..(en cas de rechargement du firewall)..
$IPTABLES -X log-and-drop-ssh 2> /dev/null
#définition d'une nouvelle table
$IPTABLES -N log-and-drop-ssh
 
$IPTABLES -A log-and-drop-ssh -j ULOG --ulog-prefix '[IPT SSH-BRUTE ]  : '
$IPTABLES -A log-and-drop-ssh -j DROP
$IPTABLES -A log-and-drop-ssh -j RETURN
 
J'utilise ULOG au lieu de LOG  pour stoquer l'information dans un fichier à part.
 
Dans fail2ban.. dans le fichier de config des actions iptables (/etc/fail2ban/action.d/iptables.conf)
 
actionban = iptables -I fail2ban-<name> 1 -s <ip> -j log-and-drop-ssh
 
actionunban = iptables -D fail2ban-<name> 1 -s <ip> -j log-and-drop-ssh
 
j'ai remplacé DROP par log-and-drop-ssh
 
Ce qui fait qu'en cas d'attaques.. je log les futures tentatives d'attaques..
 
Pour le moment.. je trouve que ça répond à mon besoin..
 
J'ai pu faire des tests à partir d'un serveur que j'ai à ma disposition .. la réaction est assez brutalle.. = coupure net de la connection. au bout de 6 tentatives.. c'est très réactif.
 
j'espère que ce retrour d'expérience vous servira
 
 

Je trouve que la solution du module recent de netfilter est bien meilleure. En général ce type d'attaque est automatisé. Le fait de se bouffer des TCP RST ou aucun TCP syn-ack à ses TCP syn, le bot va arrété de lui même et passer à un autre équipement.

Un "bannissement" des quelques minutes (3 à 5) suffit largement pour cela tout en évitant de se retrouver blacklister par mégarde.

Je l'utilise depuis quelques temps et le résultat est assez probant.

 
J'ai mis ça comme filtre et c'est vrai que ça marche tres bien
 

Cette solution ne semblait pas marcher chez moi..  Une attaque est passé malgré cette ajout..
Je la retenterais un autre jour..
car une erreur de manipulation sur le firewall de mon serveur dédié m'oblige :
 de rebooter electriquement.. (drop tout par défaut)..  
 de demarrer sur un noyau de secours
 de modifier désactiver le firewall en démarrage auto..
Avec les sytème OVH.. => ça se chiffre à 1 heure de perdue..

ça te bloque 60sec dans l'ex du dessus

Perso mon firewall ne se lance pas au démarrage, mais je le lance a la mano, comme ça en cas de bleme avec pas de risque
 
uptime
 17:42:43 up 196 days,  2:50,  1 user,  load average: 0.02, 0.06, 0.02

Comme ca au boot il n'est pas protégé jusqu'à ce que tu le lances

 
Les seules fois ou il a rebooté, c'est que j'ai ecrit reboot dans la console    
 
Mais bon, de base meme sans firewall ça doit aller, il n'a que le port 22, 80 et 53 ouvert

bah sans firewall il y en a plus d'ouverts

C'est pas une raison. Un firewall doit être opérationnel AVANT que les interfaces réseaux soient montées et avant de router n'importe quel packet