Hello tout le monde,
 
J'ai un petit problème dans les logs du serveur de mon ecole, j'ai ceci qui reviens sans cesse:
 

 
Avec xxx.xxx.xxx.xxx l'adresse de mon serveur...enfin bon ça infeste mes logs...ça veut dire quoi ?

Ca veut dire que quelqu un utilise ton serveur comme serveur POP3 (et au passage ton adresse est en claire dans le deuxieme log). C'est un log d'IPTable/netfilter le firewall de linux.
 
Enfin, c'est peut etre pas du POP3, c'est sur le port 110 quoi

C'est iptables qui envoie cette infos. Elle veut dire que tu as des connections sur ton serveur pop (port 110). Ce qui est normal si tu utilise un serveur pop.
 
burned

Oki merci, je me demandais juste pourquoi il y en avait autant, logcheck ne me faisant pas part de ça avant

PAr contre j'ai eu une attaque SSH hier (un robot qui essayai tout plein de combinaison de login) y a quelque chose à faire contre ça ?

Bah je ne sais pas comment sont foutues tes règles IPTables mais rien qu'a voir ces deux logs je penses pas qu'elles soient top...
 
A mon avis ces deux logs sont générés pas les deux premiers paquets d'une même connexion à ton service POP3 (le SYN du client, normal si tu veux voir tous les clients qui se logs; et le SYN/ACK de ton serveur vers le clients : La je vois pas du tout l'intéret de logguer un tel paquet...). J'espere que tu ne loggue pas TOUS les paquets de cette manière sinon tu m'étonne que tes logs en soient remplis...
 
Tu risques même de voir ta partition où se trouvent /var/log totalement remplie et des problemes en perspectives.
 
Un conseil: revoit ta politique pour logguer...

 
Il existe plusieurs techniques : au niveau de SSH tu peux augmenter le temps à attendre avant de se logguer lorsqu'il y a eut plusieurs mauvais logging.
au niveau iptables tu peux utiliser le match recent, et sinon tu as le script de tomate (je l'ai vut en premiere page il n'y a pas lontemps
 
edit: et une bonne politique pour des mots de passes non trouvable par attaque du dictionnaire

Bon pour faire rapide, mon script iptables est celui d'Alexis De Lattre:
 
http://people.via.ecp.fr/~alexis/f [...] bles-start
 
J'ai désactivé d'icmp et le multicast et j'ai ouvert les ports dont j'avais besoin...
 
Je vais voir si j'arrive à augmenter le temps d'attente entre plusieurs logins Normalement les mots de passes tiennent la route

Ok je viens de trouver le script de tomate
 
http://forum.hardware.fr/hardwaref [...] 8574-1.htm

Pour les logs IPTables il doit y avoir autre chose, le script de delattre ne génère pas de log. logcheck doit générer ses propers rules.