Ha… le voilà le coupable.
Il est toujours actif ton filtre.

Tu dis l’avoir désinstallé ?

Edit: Tu peux déjà essayer avec service fail2ban stop pour voir si c’est lui le coupable.

heu ^^ nan ! pas desinstallé … seulement desactivé ! je l’ai re-activé il y a 1h…

Re,

[quote=“spyker”]heu ^^ nan ! pas desinstallé … seulement desactivé ! je l’ai re-activé il y a 1h…[/quote]S’il était vraiment “désactivé” ie “VRAIMENT arrêté” il n’y aurait plus rien dans la sorti d’ iptables -S.
Tu m’expliquera comment tu fais…

Donc exécute:

Et réessaye d’ouvrir une page Web ou un script php sur ton serveur.

Et regarde un peu ce qu’il y a dans /var/log/fail2ban.log (si c’est là que tu as mis les logs de fail2ban).

[quote=“lol”]S’il était vraiment “désactivé” ie “VRAIMENT arrêté” il n’y aurait plus rien dans la sorti d’ iptables -S.
Tu m’expliquera comment tu fais…[/quote]

eh oh l’ot ^^ lol … nan mé des fois … alors voilà
voilà mon log “failban.log.1” juste les dernieres lignes ^^

2012-10-27 03:12:19,743 fail2ban.actions: WARNING [ssh] Ban 186.88.33.79 2012-10-27 11:09:01,847 fail2ban.actions: WARNING [ssh] Ban 88.191.144.117 2012-10-27 11:20:51,578 fail2ban.filter : ERROR Unable to get stat on /var/log/apache2/error.log 2012-10-27 11:20:52,578 fail2ban.filter : ERROR Unable to get stat on /var/log/apache2/error.log 2012-10-27 11:20:53,580 fail2ban.filter : INFO Log rotation detected for /var/log/apache2/error.log 2012-10-27 12:00:50,228 fail2ban.jail : INFO Jail 'apache-w00tw00t' stopped 2012-10-27 12:00:51,224 fail2ban.jail : INFO Jail 'apache-bloquescan' stopped 2012-10-27 12:00:51,281 fail2ban.actions: WARNING [ssh] Unban 181.72.8.222 2012-10-27 12:00:51,285 fail2ban.actions: WARNING [ssh] Unban 186.88.35.29 2012-10-27 12:00:51,289 fail2ban.actions: WARNING [ssh] Unban 189.220.55.20 2012-10-27 12:00:51,293 fail2ban.actions: WARNING [ssh] Unban 195.242.72.145 2012-10-27 12:00:51,297 fail2ban.actions: WARNING [ssh] Unban 186.88.33.79 2012-10-27 12:00:51,300 fail2ban.actions: WARNING [ssh] Unban 88.191.144.117 2012-10-27 12:00:51,400 fail2ban.jail : INFO Jail 'ssh' stopped 2012-10-27 12:00:51,401 fail2ban.server : INFO Exiting Fail2ban
on y voit tout de même bien un "exiting failban… du 27/10 ?

ensuite le 01/11 comme dit … 2012-11-01 14:31:09,856 fail2ban.server : INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.4-SVN 2012-11-01 14:31:09,856 fail2ban.jail : INFO Creating new jail 'apache-w00tw00t' 2012-11-01 14:31:09,856 fail2ban.jail : INFO Jail 'apache-w00tw00t' uses poller 2012-11-01 14:31:09,906 fail2ban.filter : INFO Added logfile = /var/log/apache2/access.log 2012-11-01 14:31:09,906 fail2ban.filter : INFO Set maxRetry = 2 2012-11-01 14:31:09,907 fail2ban.filter : INFO Set findtime = 600 2012-11-01 14:31:09,907 fail2ban.actions: INFO Set banTime = 3600 2012-11-01 14:31:09,910 fail2ban.jail : INFO Creating new jail 'apache-bloquescan' 2012-11-01 14:31:09,910 fail2ban.jail : INFO Jail 'apache-bloquescan' uses poller 2012-11-01 14:31:09,911 fail2ban.filter : INFO Added logfile = /var/log/apache2/error.log 2012-11-01 14:31:09,911 fail2ban.filter : INFO Set maxRetry = 2 2012-11-01 14:31:09,912 fail2ban.filter : INFO Set findtime = 600 2012-11-01 14:31:09,912 fail2ban.actions: INFO Set banTime = 3600 2012-11-01 14:31:09,915 fail2ban.jail : INFO Creating new jail 'ssh'

redemarré … et entre les deux … rien du tout ! alors le pourquoi du comment on y retrouve règles W00t le 31/10 dans iptable-s … j’en sais rien mon lapin ^^

[quote=“lol”]Edit: Tu peux déjà essayer avec service fail2ban stop pour voir si c’est lui le coupable.
Et réessaye d’ouvrir une page Web ou un script php sur ton serveur.[/quote]

2012-11-03 01:20:32,892 fail2ban.jail   : INFO   Jail 'apache-w00tw00t' stopped
2012-11-03 01:20:33,258 fail2ban.jail   : INFO   Jail 'apache' stopped
2012-11-03 01:20:33,835 fail2ban.jail   : INFO   Jail 'ssh' stopped
2012-11-03 01:20:34,081 fail2ban.jail   : INFO   Jail 'proftpd' stopped
2012-11-03 01:20:35,082 fail2ban.jail   : INFO   Jail 'apache-bloquescan' stopped
2012-11-03 01:20:36,082 fail2ban.jail   : INFO   Jail 'apache-multiport' stopped
2012-11-03 01:20:36,082 fail2ban.server : INFO   Exiting Fail2ban

je lance un script et …
rien de plus dans error.log

access/log :

79.86.165.231 - - [03/Nov/2012:01:22:43 +0100] "GET /Ultimate/ HTTP/1.1" 200 3372 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0"
82.126.27.28 - - [03/Nov/2012:01:22:49 +0100] "GET /Ultimate HTTP/1.1" 301 563 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB7.4; .NET4.0C; InfoPath.2; .NET CLR 2.0.50727; OfficeLiveConnector.1.5; OfficeLivePatch.1.3; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
82.126.27.28 - - [03/Nov/2012:01:22:49 +0100] "GET /Ultimate/ HTTP/1.1" 200 3371 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB7.4; .NET4.0C; InfoPath.2; .NET CLR 2.0.50727; OfficeLiveConnector.1.5; OfficeLivePatch.1.3; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
82.126.27.28 - - [03/Nov/2012:01:22:50 +0100] "GET /Ultimate/.includes/default.js HTTP/1.1" 200 1284 "http://46.105.124.60/Ultimate/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB7.4; .NET4.0C; InfoPath.2; .NET CLR 2.0.50727; OfficeLiveConnector.1.5; OfficeLivePatch.1.3; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
79.86.165.231 - - [03/Nov/2012:01:23:03 +0100] "GET /Ultimate/serveurs/serveurs_index.php HTTP/1.1" 200 3380 "http://46.105.124.60/Ultimate/" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0"
82.126.27.28 - - [03/Nov/2012:01:23:11 +0100] "GET /Ultimate/.includes/layout.css HTTP/1.1" 200 2460 "http://46.105.124.60/Ultimate/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB7.4; .NET4.0C; InfoPath.2; .NET CLR 2.0.50727; OfficeLiveConnector.1.5; OfficeLivePatch.1.3; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
82.126.27.28 - - [03/Nov/2012:01:23:11 +0100] "GET /Ultimate/.images/site/headline-logo.png HTTP/1.1" 200 385649 "http://46.105.124.60/Ultimate/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB7.4; .NET4.0C; InfoPath.2; .NET CLR 2.0.50727; OfficeLiveConnector.1.5; OfficeLivePatch.1.3; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
82.126.27.28 - - [03/Nov/2012:01:23:15 +0100] "GET /Ultimate/.images/site/offpage-link.png HTTP/1.1" 200 448 "http://46.105.124.60/Ultimate/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB7.4; .NET4.0C; InfoPath.2; .NET CLR 2.0.50727; OfficeLiveConnector.1.5; OfficeLivePatch.1.3; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
79.86.165.231 - - [03/Nov/2012:01:23:29 +0100] "GET /Ultimate/serveurs/canyon/main.php?index=ok HTTP/1.1" 200 3134 "http://46.105.124.60/Ultimate/serveurs/serveurs_index.php" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0"
82.126.27.28 - - [03/Nov/2012:01:23:32 +0100] "GET /Ultimate/.images/site/headline-bg.png HTTP/1.1" 200 484 "http://46.105.124.60/Ultimate/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB7.4; .NET4.0C; InfoPath.2; .NET CLR 2.0.50727; OfficeLiveConnector.1.5; OfficeLivePatch.1.3; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
82.126.27.28 - - [03/Nov/2012:01:23:32 +0100] "GET /Ultimate/.images/site/bg-tabs.png HTTP/1.1" 200 1529 "http://46.105.124.60/Ultimate/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB7.4; .NET4.0C; InfoPath.2; .NET CLR 2.0.50727; OfficeLiveConnector.1.5; OfficeLivePatch.1.3; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
82.126.27.28 - - [03/Nov/2012:01:23:32 +0100] "GET /Ultimate/.images/site/list-bullet.png HTTP/1.1" 200 720 "http://46.105.124.60/Ultimate/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB7.4; .NET4.0C; InfoPath.2; .NET CLR 2.0.50727; OfficeLiveConnector.1.5; OfficeLivePatch.1.3; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
82.126.27.28 - - [03/Nov/2012:01:23:32 +0100] "GET /Ultimate/.images/site/offpage-link-ingame.png HTTP/1.1" 200 447 "http://46.105.124.60/Ultimate/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB7.4; .NET4.0C; InfoPath.2; .NET CLR 2.0.50727; OfficeLiveConnector.1.5; OfficeLivePatch.1.3; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
79.86.165.231 - - [03/Nov/2012:01:23:39 +0100] "GET /Ultimate/PID.php HTTP/1.1" 200 3200 "http://46.105.124.60/Ultimate/serveurs/canyon/main.php?index=ok" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0"

pas une ligne de plus …
je relance fail2ban : tu as en plus le moment de l’arrêt ^^ cadeau ^^

2012-11-03 01:20:32,892 fail2ban.jail : INFO Jail 'apache-w00tw00t' stopped 2012-11-03 01:20:33,258 fail2ban.jail : INFO Jail 'apache' stopped 2012-11-03 01:20:33,835 fail2ban.jail : INFO Jail 'ssh' stopped 2012-11-03 01:20:34,081 fail2ban.jail : INFO Jail 'proftpd' stopped 2012-11-03 01:20:35,082 fail2ban.jail : INFO Jail 'apache-bloquescan' stopped 2012-11-03 01:20:36,082 fail2ban.jail : INFO Jail 'apache-multiport' stopped 2012-11-03 01:20:36,082 fail2ban.server : INFO Exiting Fail2ban 2012-11-03 01:27:53,759 fail2ban.server : INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.4-SVN 2012-11-03 01:27:53,760 fail2ban.jail : INFO Creating new jail 'apache-w00tw00t' 2012-11-03 01:27:53,760 fail2ban.jail : INFO Jail 'apache-w00tw00t' uses poller 2012-11-03 01:27:53,813 fail2ban.filter : INFO Added logfile = /var/log/apache2/access.log 2012-11-03 01:27:53,813 fail2ban.filter : INFO Set maxRetry = 2 2012-11-03 01:27:53,814 fail2ban.filter : INFO Set findtime = 600 2012-11-03 01:27:53,814 fail2ban.actions: INFO Set banTime = 3600 2012-11-03 01:27:53,817 fail2ban.jail : INFO Creating new jail 'apache-bloquescan' 2012-11-03 01:27:53,817 fail2ban.jail : INFO Jail 'apache-bloquescan' uses poller 2012-11-03 01:27:53,818 fail2ban.filter : INFO Added logfile = /var/log/apache2/error.log 2012-11-03 01:27:53,818 fail2ban.filter : INFO Set maxRetry = 2 2012-11-03 01:27:53,819 fail2ban.filter : INFO Set findtime = 600 2012-11-03 01:27:53,819 fail2ban.actions: INFO Set banTime = 3600 2012-11-03 01:27:53,822 fail2ban.jail : INFO Creating new jail 'ssh' 2012-11-03 01:27:53,822 fail2ban.jail : INFO Jail 'ssh' uses poller 2012-11-03 01:27:53,822 fail2ban.filter : INFO Added logfile = /var/log/auth.log 2012-11-03 01:27:53,823 fail2ban.filter : INFO Set maxRetry = 6 2012-11-03 01:27:53,823 fail2ban.filter : INFO Set findtime = 600 2012-11-03 01:27:53,823 fail2ban.actions: INFO Set banTime = 3600 2012-11-03 01:27:53,879 fail2ban.jail : INFO Creating new jail 'apache' 2012-11-03 01:27:53,879 fail2ban.jail : INFO Jail 'apache' uses poller 2012-11-03 01:27:53,879 fail2ban.filter : INFO Added logfile = /var/log/apache2/error.log 2012-11-03 01:27:53,880 fail2ban.filter : INFO Set maxRetry = 6 2012-11-03 01:27:53,880 fail2ban.filter : INFO Set findtime = 600 2012-11-03 01:27:53,881 fail2ban.actions: INFO Set banTime = 3600 2012-11-03 01:27:53,885 fail2ban.jail : INFO Creating new jail 'apache-multiport' 2012-11-03 01:27:53,885 fail2ban.jail : INFO Jail 'apache-multiport' uses poller 2012-11-03 01:27:53,885 fail2ban.filter : INFO Added logfile = /var/log/apache2/error.log 2012-11-03 01:27:53,886 fail2ban.filter : INFO Set maxRetry = 6 2012-11-03 01:27:53,886 fail2ban.filter : INFO Set findtime = 600 2012-11-03 01:27:53,886 fail2ban.actions: INFO Set banTime = 3600 2012-11-03 01:27:53,890 fail2ban.jail : INFO Creating new jail 'proftpd' 2012-11-03 01:27:53,890 fail2ban.jail : INFO Jail 'proftpd' uses poller 2012-11-03 01:27:53,890 fail2ban.filter : INFO Added logfile = /var/log/proftpd/proftpd.log 2012-11-03 01:27:53,891 fail2ban.filter : INFO Set maxRetry = 6 2012-11-03 01:27:53,891 fail2ban.filter : INFO Set findtime = 600 2012-11-03 01:27:53,892 fail2ban.actions: INFO Set banTime = 3600 2012-11-03 01:27:53,898 fail2ban.jail : INFO Jail 'apache-w00tw00t' started 2012-11-03 01:27:53,900 fail2ban.jail : INFO Jail 'apache-bloquescan' started 2012-11-03 01:27:53,901 fail2ban.jail : INFO Jail 'ssh' started 2012-11-03 01:27:53,902 fail2ban.jail : INFO Jail 'apache' started 2012-11-03 01:27:53,903 fail2ban.jail : INFO Jail 'apache-multiport' started 2012-11-03 01:27:53,904 fail2ban.jail : INFO Jail 'proftpd' started

bon … la piste iptable … plouf ^^

va falloir plancher sur une autre … allez allez ^^ on y croit ! des idées des idées ^^

Re,

Moi non plus…

Alors pour en avoir le coeur net:

service fail2ban stop iptables -S

alors voilà voilà ^^

service fail2ban stop iptables -S

réponse :

2012-11-04 12:09:26,554 fail2ban.jail : INFO Jail 'apache-w00tw00t' stopped 2012-11-04 12:09:27,211 fail2ban.jail : INFO Jail 'apache' stopped 2012-11-04 12:09:27,557 fail2ban.jail : INFO Jail 'ssh' stopped 2012-11-04 12:09:28,556 fail2ban.jail : INFO Jail 'proftpd' stopped 2012-11-04 12:09:29,557 fail2ban.jail : INFO Jail 'apache-bloquescan' stopped 2012-11-04 12:09:30,394 fail2ban.jail : INFO Jail 'apache-multiport' stopped 2012-11-04 12:09:30,394 fail2ban.server : INFO Exiting Fail2ban

iptable-s :

iptables -S -P INPUT ACCEPT -P FORWARD ACCEPT -P OUTPUT ACCEPT -N W00t -A INPUT -p tcp -m tcp --dport 80 -j W00t -A W00t -p tcp -m recent --set --name DEFAULT --rsource -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -A W00t -p tcp -m recent --update --name DEFAULT --rsource -m tcp --sport 80 --tcp-flags SYN,PSH,ACK SYN,ACK -A W00t -p tcp -m recent --update --name DEFAULT --rsource -m tcp --dport 80 --tcp-flags SYN,PSH,ACK ACK -A W00t -p tcp -m recent --update --name DEFAULT --rsource -m tcp --dport 80 --tcp-flags PSH,ACK PSH,ACK -m string --string "GET /w00tw00t.at.ISC.SANS." --algo bm --to 70 -j DROP -A W00t -p tcp -m recent --remove --name DEFAULT --rsource -m tcp --dport 80 --tcp-flags PSH,ACK PSH,ACK -m string --string "Host: 46.105.124.60" --algo bm --to 700 -j DROP

peux pas faire mieux ^^

Salut,

Ben si… Comme je te l’ai déjà dit, vérifier si ce ne sont pas ces règles qui bloquent…
Il faut faire une RAZ:

Sauvegarde les règles:

RAZ:

[code]# iptables -F

iptables -X

[/code]Vérifie que iptables est bien “à blanc”:

# iptables -S -P INPUT ACCEPT -P FORWARD ACCEPT -P OUTPUT ACCEPT

Teste ton serveur Web.

Si ce n’est pas ça et que tu y tiens, restaure tes règles:

ah d’accord, je comprends mieux ou tu veux en venir. on vide les iptables et on regarde si les scripts s’en ressentent. apres… si je souhaite les conserver … bah … je suis pas expert en iptable alors, si j’ai des regex qui fonctionnent correctement tant mieux, mais là, cela ne semble pas être le cas… on voit ça a la fin de mon souci premier si tu veux bien ^^ ça me permettra d’en apprendre encore un peu plus dans ce domaine (pas difficile pour moi d’en apprendre plus^^).

je fais tout ça ce soir … je bosse là … enfin … si si je bosse ^^ j’installe un pipe entre total et ma société… avec mesure de niveau tank-radar pour transaction commerciale… que du bonheur…

tout fait bien comme dit ^^

[code]iptables-save > sos-iptables
iptables -F
iptables -X

iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
[/code]

test sur le serveur “ok” :

46.105.124.60/php.php

ce sont donc bien les regles qui mettaient le bazar ! bravo mon garçon ! félicitations et un grand merci pour tes compétences !

maintenant … essayons de mettre des regles pour protéger un tant soit peu le serveur … et je crois que tu te débrouilles plutôt pas mal non plus dans ce domaine ^^

cela dit … je préfère sans doute mettre un “résolu” sur ce post et en ouvrir un autre …

qu’en disent les chefs du fofo ?

Salut,

[quote=“spyker”]ce sont donc bien les regles qui mettaient le bazar ! bravo mon garçon ! félicitations et un grand merci pour tes compétences ![/quote]Si mon ego n’était pas déjà démesuré, il gonflerait encore un peu plus…
Je m’en doutais depuis le début, mais j’ai eu du mal à faire passer le message…

[quote=“spyker”]cela dit … je préfère sans doute mettre un “résolu” sur ce post et en ouvrir un autre …
qu’en disent les chefs du fofo ?[/quote]Nous en disons qu’il faut passer ce fil en “Résolu” avec la coche verte =>

Et, après avoir fait tes recherches, et si tu rencontre un problème, ouvrir un autre fil.
Regarde sur le Wiki, tu as des solutions toutes faites: Manuel de sécurité

ok dac … m’enfin quand même … c’est finalement à cause de fail2ban que je suis venu demander de l’aide alors … un peu refroidit je suis ^^

merci a toute l’équipe !

Salut,

A cause de fail2ban ou à cause de l’utilisation d’un filtre exotique piqué je ne sais ou et mal compris ?

mal compris ? le mot est faible ^^ rien compris du tout et je fais toujours confiance alors … me trompe régulièrement mais je suis d’un naturel très optimiste ! … les infarctus… ça vous change votre vision du monde ^^.

t’inquiete … je lis le wiki, je comprends rien … mais je lis … et tant pis pour la passoire

Et particulièrement la dernière règle qui bloque les paquets contenant “Host: 46.105.124.60”, ce qui est précisément le cas quand on s’adresse à un serveur web par son adresse IP et non par son nom de domaine.

PS : il va falloir retrouver le script qui a créé ces règles, sinon le problème risque de revenir après le prochain redémarrage du serveur.

[quote=“PascalHambourg”]
PS : il va falloir retrouver le script qui a créé ces règles, sinon le problème risque de revenir après le prochain redémarrage du serveur.[/quote]

alors … comme je n’ai installé que fail2ban, je ne vois que lui aui aurait pu me faire ça. je vais rechercher le forum par lequel je suis passé pour installer les regles woo … peut être y verras-tu plus clair ^^

merci a toi …

edit : eric-couchelou.net/debian-et … -fail2ban/

Je ne vois rien dans cet article qui soit lié à ces règles iptables.

d’accord … mais je suis pas assez calé pour faire autre chose dans ce domaine ^^

comment puis-je rechercher (trouver) ce genre de script ?

Salut,

[quote=“spyker”]d’accord … mais je suis pas assez calé pour faire autre chose dans ce domaine ^^
comment puis-je rechercher (trouver) ce genre de script ?[/quote]

[code]# cd /

grep -rl “W00t” *[/code]

moyen moyen là ^^ lol

grep -rl "W00t" * grep: dev/log: Aucun périphérique ou adresse

Re,

Tu as bien pensé au cd / ?