DEDIBOX-NEWS.COM
Le Forum Non Officiel de la DEDIBOX
Vous n'êtes pas identifié.
#1 2008-02-12 00:43:47
- macaddict
- Je débarque
- Date d'inscription: 2008-02-12
- Messages: 4
Question Securite : ai subi DDoS
Cela fait une semaine que ma dedibox freeze.
Apres avoir recherche les raisons, interroge les forums..
J'ai cru a des pbs applicatifs et systeme (j'ai mis le Linux Kernel r8 sur ma Debian recemment)
Ce matin j'ai decouvert dans les logs syslog des restarts de machine chaque nuit entre 4h et 6h du mat'
Ce soir dans les logs de SSH, surprise .. . des attaques a tout va (extraction des Illegal Access sur 6 fichiers de logs : 3.8 mo)
J'ai extrait ce soir tout une serie d'IPS... je pensais faire des report abuse
En attendant (et surtout avant , je prevois une attaque encore cette nuit) je pensais monter qqc comme PorstEntry (enfin un scanneur, qui pourrait detecter une attaque et monter un firewall la dessus)
Avez vous des suggestions pour contrer cela?
merci
Le noobz (c un sobriquet auquel j'ai eu droit sur le forum proxad...)
Hors ligne
#2 2008-02-12 01:31:54
- olod
- Maitre Jeidi
- Date d'inscription: 2007-11-02
- Messages: 331
Re: Question Securite : ai subi DDoS
portsentry très bon logiciel 
==> "http://aide.sivit.fr/index.php?2006/01/20/96-portsentry" un petit tuto made in sivit 
je te conseille aussi de changer quelques options dans ton sshd_config "denyrootlogin no" (pour empecher le login root direct (et donc, les brute force) et ensuite, installer fail2ban (un petit logiciel qui ban les tentatives de connexions ssh infructueuse (totalement configurable, temps de ban, nombre d'echec avant ban, etc etc ) et en gros, je pense pas que tu te trompe plusieurs fois avant d'te logguer, donc ca devrait t'aider (fail2ban crée une iptable drop sur l'ip qui a été banni, et retire cette iptable au bout d'un temps défini dans la config de f2b ) (http://jujuseb.com/dotclear/?2006/04/18 … rute-force par ici les infos sur fail2ban et les tutos))
Tu utilises un firewall aussi ? vérifie tes tables voir si des ports sont pas ouvert pour rien (un petit logiciel nommé "arno-iptables-firewall" permet de facilement géré ses ports ouvert un simple "dpkg-reconfigure arno-iptables-firewall" permet de changer les ports, en rajouter, enlever, simplement, de configurer pas mal de trucs , et le firewall s'applique a chaque reboot tout seul (fini les scripts iptables interminable )
Hors ligne
#3 2008-02-12 01:49:42
- macaddict
- Je débarque
- Date d'inscription: 2008-02-12
- Messages: 4
Re: Question Securite : ai subi DDoS
Ca commence bien les sources de portsentry provenant de sourceforge compilent pas sur ma Debian Etch
make debian-linux
>>
SYSTYPE=debian-linux
Making
cc -O -Wall -DLINUX -DDEBIAN -DSUPPORT_STEALTH -o ./portsentry ./portsentry.c \
./portsentry_io.c ./portsentry_util.c
./portsentry.c: In function ‘PortSentryModeTCP’:
./portsentry.c:1187: warning: pointer targets in passing argument 3 of ‘accept’ differ in signedness
./portsentry.c: In function ‘PortSentryModeUDP’:
./portsentry.c:1384: warning: pointer targets in passing argument 6 of ‘recvfrom’ differ in signedness
./portsentry.c: In function ‘Usage’:
./portsentry.c:1584: error: missing terminating " character
./portsentry.c:1585: error: ‘sourceforget’ undeclared (first use in this function)
./portsentry.c:1585: error: (Each undeclared identifier is reported only once
./portsentry.c:1585: error: for each function it appears in.)
./portsentry.c:1585: error: expected ‘)’ before ‘dot’
./portsentry.c:1585: error: stray ‘\’ in program
./portsentry.c:1585: error: missing terminating " character
./portsentry.c:1595: error: expected ‘;’ before ‘}’ token
make: *** [debian-linux] Erreur 1
HELP THANKS
Hors ligne
#4 2008-02-12 01:53:20
- macaddict
- Je débarque
- Date d'inscription: 2008-02-12
- Messages: 4
Re: Question Securite : ai subi DDoS
Nota j'avais deja mis le PermitRootLogin a "no"
Je vais regarder fail2ban
Merki encore
Hors ligne
#5 2008-02-12 15:44:20
- olod
- Maitre Jeidi
- Date d'inscription: 2007-11-02
- Messages: 331
Re: Question Securite : ai subi DDoS
macaddict a écrit:
Nota j'avais deja mis le PermitRootLogin a "no"
Je vais regarder fail2ban
Merki encore
Pourquoi tu veut compiler portsentry ? il est dispo dans les dépots debian ! 
Code:
apt-cache search portsentry portsentry - Portscan detection daemon
Depots etch (main - contrib & non-free)
Hors ligne
#6 2008-02-12 21:37:43
- macaddict
- Je débarque
- Date d'inscription: 2008-02-12
- Messages: 4
Re: Question Securite : ai subi DDoS
J'ai vu ca avec retardement dans le premier post pour moi, autant pour moi je suis un noobz ;-)
Idem j'ai recompiler Logcheck mais la c'est passe
L
Hors ligne
#7 2008-03-22 22:20:22
- JulienBreux
- Je débarque
- Date d'inscription: 2008-03-22
- Messages: 3
Re: Question Securite : ai subi DDoS
Par expérience, je te conseil fortement d'effectuer une réinstallation complète du système.
De base, un système linux / unix est assez sécurisé pour travailler tranquillement.
Bonne continuation
Hors ligne