[quote]May 21 17:28:31 dovecot-auth: pam_unix(dovecot:auth): check pass; user unknown
May 21 17:28:35 dovecot-auth: pam_unix(dovecot:auth): check pass; user unknown
May 21 17:28:39 dovecot-auth: pam_unix(dovecot:auth): check pass; user unknown
May 21 17:28:43 dovecot-auth: pam_unix(dovecot:auth): check pass; user unknown
May 21 17:28:47 dovecot-auth: pam_unix(dovecot:auth): check pass; user unknown
May 21 17:28:51 dovecot-auth: pam_unix(dovecot:auth): check pass; user unknown
May 21 17:28:55 dovecot-auth: pam_unix(dovecot:auth): check pass; user unknown
May 21 17:29:00 dovecot-auth: pam_unix(dovecot:auth): check pass; user unknown
May 21 17:29:04 dovecot-auth: pam_unix(dovecot:auth): check pass; user unknown
May 21 17:30:05 dovecot-auth: pam_unix(dovecot:auth): check pass; user unknown [/quote]
Vu la fréquence…
Oui! 
Tu fait quoi pour défendre ?
tu est obligé de fermer des entrées?
comment savoir d’ou ça vient?
ça fait beaucoup de questions ,mais je suis curieux 
Re,
[quote=“terix”]Tu fait quoi pour défendre ?
tu est obligé de fermer des entrées?
comment savoir d’ou ça vient?
ça fait beaucoup de questions ,mais je suis curieux [/quote]
Très bonne question 
Comment savoir si j’ai bien résisté ?
Comment savoir qui me cherche ?
goodluck…qu’est ce t’as faits?? 
t’as pas encore une fois mis a sac la banque de france?? 
(euh…de toute facon y’a plus rien a prendre je crois)
sans rire ca craint peut-etre!!
mais ça va pas dire qui?
de toute façon,vu le nombre de requetes ,il y a fort à parier que pour l'instant ...tu resistes bien :wink:mais ça va pas dire qui?
de toute façon,vu le nombre de requetes ,il y a fort à parier que pour l’instant …tu resistes bien
[quote=“ggoodluck47”]Re,
[quote=“terix”]Tu fait quoi pour défendre ?
tu est obligé de fermer des entrées?
comment savoir d’ou ça vient?
ça fait beaucoup de questions ,mais je suis curieux [/quote]
Très bonne question
Comment savoir si j’ai bien résisté ?
Comment savoir qui me cherche ?[/quote]
Vérifie dans tes logs que ce ne soit pas une IP local, sinon banni l’IP direct.
C’est pas une installation neuve ( sinon c’est peut-être aussi un souci du côté de ton authentification du côté de pam ).
Pour savoir si il y a eu une intrusion il aurai fallu d’abord vérifier tes logs du côté de iptable et dans une moindre mesure une vérification des sommes md5 des principaux fichiers de configurations et arrivé à cerner l’user fautif ( c’est rarement root qui est attaqué mais c’est bien souvent par des failles que les gens arrive à prendre pied sur une machine ), ce qui me paraît étrange c’est que tu doute de ta Debian et de sa sécurité alors que tu est plutôt attentif au mesure à prendre en générale pour la sécurité.
J’y pense les plus costaud d’entre nous au niveau sécurité pourrais commencer un fil dans “trucs & astuces” sur la sécurité des postes et des serveurs Debian ( moi je suis complètement à la ramasse avec ma passerelle en ce moment du coup je pourrais tous juste rajouter de temps en temps quelques trucs mais c’est sans compté mes maigres compétences en la matière ); on en avait déjà parlé il me semble.
[quote=“terix”]ps aux
mais ça va pas dire qui?
de toute façon,vu le nombre de requetes ,il y a fort à parier que pour l’instant …tu resistes bien [/quote]
Le log pesait 260Ko je n’en ai mis qu’un petit morceau
[quote=“terix”]ps aux
mais ça va pas dire qui?
de toute façon,vu le nombre de requetes ,il y a fort à parier que pour l’instant …tu resistes bien [/quote]
[quote]lmt> ps aux
ps: invalid option – a
BusyBox v1.16.1 (2011-04-08 10:13:55 CST) multi-call binary.
Usage: ps
Report process status
Options:
w Wide output
lmt>
[/quote]
C’est une drole de bête que mon serveur
[quote=“Clochette”]
ce qui me paraît étrange c’est que tu doute de ta Debian et de sa sécurité alors que tu est plutôt attentif au mesure à prendre en générale pour la sécurité.[/quote]
moi ,je pense que notre ami nous fait un TP Sécurité…n’est-ce pas gg?
[quote]
J’y pense les plus costaud d’entre nous au niveau sécurité pourrais commencer un fil dans “trucs & astuces” sur la sécurité des postes et des serveurs Debian [/quote]
je veux bien participé aussi ,mes moyens sont toutefois limités…
qu’a t’il de si spécial ?
Edit ;quelque conseils de base:
C’est ton NAS…
C’est déjà pas toujours évident sur une Debian de circoncire les attaques…
L’extrait de log que tu nous sort plus haut, il vient d’ou ?
Dovecot est ouvert sur le Net (port 110/443) ?
Dans “mail.log”, tu as les IPs de ceux qui se connectent.
post à supprimer . merci.
je tacherai, de faire mieux à l’avenir !
Merci.
[quote]
-drwxr-xr-x 3 root root 4096 May 21 20:36 .
drwxr-xr-x 12 root root 4096 May 2 17:04 …
drwx------ 4 root root 4096 Feb 1 11:01 cores
-rw-r–r-- 1 root root 0 Feb 1 11:01 log.nmbd
-rw-r–r-- 1 root root 0 Feb 1 11:01 log.smbd
-rw-r–r-- 1 root root 124547 May 21 20:35 messages
rw------- 1 root root 10893 May 22 00:00 synobackup.log
-rw------- 1 root root 116 Apr 16 20:36 synonetbkp.log
-rw------- 1 root root 7309 May 22 00:00 synosys.log
-rw-rw-rw- 1 root root 558 May 2 17:02 synoupdate.log[/quote]
Voici les logs dont je dispose
Bonjour,
lmt> …c’est le nom de ton serveur ? je ne trouve rien sur cette fonction.
Si on ne peut pas avoir recourt à la commande ps aux ,comment connaître les processus actifs ?
[quote=“terix”]Bonjour,
lmt> …c’est le nom de ton serveur ? je ne trouve rien sur cette fonction.
Si on ne peut pas avoir recourt à la commande ps aux ,comment connaître les processus actifs ?[/quote]
C’est la raison qui me pousse à concocter de le basculer vers Debian, mais il faut dire qu’il a quand même résisté à cette attaque même si nous ne savons pas comment il fait !
lmt mon serveur est à gauche de l’ordinateur de ma comptable de femme
[quote=“ggoodluck47”][quote=“terix”]Bonjour,
lmt> …c’est le nom de ton serveur ? je ne trouve rien sur cette fonction.
Si on ne peut pas avoir recourt à la commande ps aux ,comment connaître les processus actifs ?[/quote]
C’est la raison qui me pousse à concocter de le basculer vers Debian, mais il faut dire qu’il a quand même résisté à cette attaque même si nous ne savons pas comment il fait !
lmt mon serveur est à gauche de l’ordinateur de ma comptable de femme [/quote]
Bien je suis heureux d’apprendre que cette attaque à échoué 
Au fait Gérard, tu n’as pas Logwatch d’installé ?
Il est bien pratique pour connaître tout un tas de “choses” sur ceux qui se connectent.
[quote=“ricardo”]Au fait Gérard, tu n’as pas Logwatch d’installé ?
Il est bien pratique pour connaître tout un tas de “choses” sur ceux qui se connectent.[/quote]
Comme dit plus haut le système n’est pas Debian, c’est un mâtiné de ubuntu je crois…
Beaucoup de commandes et programmes systèmes manquent.
Edit de ricardo : OK, vu l’erreur 
[quote=“lol”][quote=“ricardo”]Au fait Gérard, tu n’as pas Logwatch d’installé ?
Il est bien pratique pour connaître tout un tas de “choses” sur ceux qui se connectent.[/quote]
Comme dit plus haut le système n’est pas Debian, c’est un mâtiné de ubuntu je crois…
Beaucoup de commandes et programmes systèmes manquent.
Edit de ricardo : OK, vu l’erreur [/quote]
C’est même pas du Buntu, pas plus que de base mandrake ou autre, même l’architecture m’est inconnue