DEDIBOX-NEWS.COM
Le Forum Non Officiel de la DEDIBOX
Vous n'êtes pas identifié.
#1 2007-04-14 17:02:13
- béluga
- Membre
- Date d'inscription: 2007-04-13
- Messages: 40
List d'IP
Dans auth.log, j'ai repéré deux tentatives assez sévère d'intrusion par force brute avec recours à une bibliothèque d'identifiants.
Un des IP correspond à un site français l'autre à un FAI français.
Ne serait-il pas intéressant de regrouper les IP à l'origine de ce genre d'attaque, de voir si certains se répètent et si on ne pourrait pas, éventuellement, les banir ?
Hors ligne
#2 2007-04-14 17:43:03
Re: List d'IP
béluga a écrit:
Dans auth.log, j'ai repéré deux tentatives assez sévère d'intrusion par force brute avec recours à une bibliothèque d'identifiants.
Un des IP correspond à un site français l'autre à un FAI français.
Ne serait-il pas intéressant de regrouper les IP à l'origine de ce genre d'attaque, de voir si certains se répètent et si on ne pourrait pas, éventuellement, les banir ?
aucun interet.
si le brute force te gène, tu change de port ou tu installe un script genre fail2ban (voir la dizaine de sujet qui en traite)
Hors ligne
#3 2007-04-14 18:44:37
- goldyfruit
- Membres d'honneurs
- Lieu: 92500
- Date d'inscription: 2006-06-19
- Messages: 2722
- Site web
Re: List d'IP
Et quand une personne a une IP dynamique ? :+
Dernière modification par goldyfruit (2007-04-14 18:44:43)
http://www.goldzoneweb.info -> Site | http://wiki.goldzoneweb.info -> Wiki | http://www.panel-gzw.com -> Panel GZW
Hors ligne
#4 2007-04-14 19:29:08
- béluga
- Membre
- Date d'inscription: 2007-04-13
- Messages: 40
Re: List d'IP
Phach a écrit:
béluga a écrit:
Dans auth.log, j'ai repéré deux tentatives assez sévère d'intrusion par force brute avec recours à une bibliothèque d'identifiants.
Un des IP correspond à un site français l'autre à un FAI français.
Ne serait-il pas intéressant de regrouper les IP à l'origine de ce genre d'attaque, de voir si certains se répètent et si on ne pourrait pas, éventuellement, les banir ?aucun interet.
si le brute force te gène, tu change de port ou tu installe un script genre fail2ban (voir la dizaine de sujet qui en traite)
Justement Phach, c'est à fail2ban que j'ai pensé mais j'ai qqs problèmes d'install (voir http://www.dedibox-news.com/t3951-Python-Plesk.html)
Hors ligne
#6 2007-04-15 11:16:30
- Scurz
- Maitre Jeidi
- Date d'inscription: 2006-09-08
- Messages: 361
Re: List d'IP
Ou tu mets l'ip ds /etc/hosts.deny :
sshd: lip
Un peu radical, mais c'est une solution !
Dernière modification par Scurz (2007-04-15 11:16:53)
Hors ligne
#8 2007-04-15 15:35:03
- béluga
- Membre
- Date d'inscription: 2007-04-13
- Messages: 40
Re: List d'IP
Flying Jack a écrit:
iptables -t filter -A INPUT -s IP_A_BANNIR -j DROP
La table est-elle prise en compte par Apache aussi ?
Dernière modification par béluga (2007-04-15 15:35:50)
Hors ligne
#9 2007-04-15 15:39:14
- billyboylindien
- Jeidi
- Date d'inscription: 2006-05-26
- Messages: 134
- Site web
Re: List d'IP
pas besoin de monter jusqu'a apache su tu met une regle au firewall
Hors ligne
#11 2007-04-15 23:13:00
- goldyfruit
- Membres d'honneurs
- Lieu: 92500
- Date d'inscription: 2006-06-19
- Messages: 2722
- Site web
Re: List d'IP
Flying Jack a déjà donné une réponse, il suffit d'utiliser IPTables.
http://www.goldzoneweb.info -> Site | http://wiki.goldzoneweb.info -> Wiki | http://www.panel-gzw.com -> Panel GZW
Hors ligne
#13 2007-04-16 07:20:34
Re: List d'IP
madstef a raison.. en principe quand vous avez ce genre d'alerte, le mieux c'est d'envoyer un mail a abuse@fai mais bon.. vu le nombre d'attaques de brute force ssh.. moi j'ai tres vite laissé tombé.. et puis bon.. on est pas à chaque fois sûr que c'est bien la personne derriere cette ip qui fait ça.. ça peut tres bien être un pc zombie qu'un hacker utiliserait pour se servir de relais à scan..
Hors ligne
#14 2007-04-16 12:34:00
Re: List d'IP
béluga a écrit:
Flying Jack a écrit:
iptables -t filter -A INPUT -s IP_A_BANNIR -j DROP
La table est-elle prise en compte par Apache aussi ?
Revois tes cours sur les couches OSI...
Si iptables gicle ton paquet d'office, apache ne va même pas en entendre parler...
Hors ligne
#15 2007-04-16 14:09:32
- béluga
- Membre
- Date d'inscription: 2007-04-13
- Messages: 40
Re: List d'IP
Les couches OSI, avec les élastiques sur le côté ?
Non plus sérieusement j'aime bien la solution de l'iptables de Flying Jack et celle du hosts.deny de Scurz.
Par contre l'abuse me paraît un peu violent pour celui qui se fait zombifier le serveur :+
Hors ligne
#16 2007-04-16 14:24:42
- maddanny
- Membre d'honneur
- Date d'inscription: 2006-10-20
- Messages: 1226
Re: List d'IP
béluga a écrit:
Par contre l'abuse me paraît un peu violent pour celui qui se fait zombifier le serveur :+
Et quelle autre solution proposes tu pour contacter le soit disant admin du serveur ? 
MADdanny
En Greve Jusqu'à la prochaine raison de faire greve ! :p
Hors ligne
#18 2007-04-16 15:20:11
- béluga
- Membre
- Date d'inscription: 2007-04-13
- Messages: 40
Re: List d'IP
maddanny a écrit:
béluga a écrit:
Par contre l'abuse me paraît un peu violent pour celui qui se fait zombifier le serveur :+
Et quelle autre solution proposes tu pour contacter le soit disant admin du serveur ?
MADdanny
N'y a t-il pas un risque que le site soit mis "on hold" par certains providers paranos après un abuse ?
Hors ligne
#19 2007-04-16 15:22:22
- maddanny
- Membre d'honneur
- Date d'inscription: 2006-10-20
- Messages: 1226
Re: List d'IP
Le serveur tu veux dire ? Peu importe, c'est le probleme de l'admin après tout ...
Si le gars corrige les failles son provider va lui remettre online. Au pire il se verra sucrer son contrat si ce n'est pas la 1ere fois ou s'il ne bouge pas 
MADdanny
En Greve Jusqu'à la prochaine raison de faire greve ! :p
Hors ligne
#20 2007-04-16 21:21:35
- Scurz
- Maitre Jeidi
- Date d'inscription: 2006-09-08
- Messages: 361
Re: List d'IP
Changes le port SSH
Hors ligne