Au lieu de compter les échecs, regarde plutôt les authentifications réussies.
[EDIT] Et encore, si l’attaquant a réussi à passer root, il a pu effacer les logs le concernant. Apparemment à partir d’un accès non root c’est pas très dur en ce moment grâce à toutes les failles de type “null pointer dereference” qu’on trouve dans le noyau. Faites bien vos mises à jour de noyau.
Au lieu de compter les échecs, regarde plutôt les authentifications réussies.[/quote]
Merci.
Je regarde ça dés demain matin… Il ne devrait pas y en avoir plus de 4/5 par jour…
J’ai changé mon mot de passe root… Obligé de l’écrire sur un bout de papier, impossible à retenir sinon…
J’ai vérifié fail2ban, bloqué tout ce qui pouvait écouter sur ppp0.
J’espère être bon…
[quote=“lol”]J’étais en train de me dire que j’allais faire un petit jeu de mot à propos du cerbère de la porte, et puis j’ai eu envie d’essayer la commande de François, pour voir
~/ expr `zcat /var/log/auth.log*gz | grep -c "authentication failure"` + ` cat /var/log/auth.log* | grep -c "authentication failure"`
4736
J’ai laissé tombé l’idée du jeux de mot…
ça fait beaucoup 
J’ai réinstallé mon serveur il y a 1 mois et demi. Je n’ai même pas une IP fixe… Et ma machine n’est allumée que 12 heures par jour…
J’hallucine, je pensais être tranquille avec mes 15 Ko…
Comment être certain que personne n’est entré 
[/quote]T’inquiète, tous ces échecs, c’est toi qui essayait de te connecter au réseau que tu souhaites mettre en place dans ton hotel avant qu’il ne soit pleinement opérationnel. :smt003 
Le nombre de cette commande peut aussi augmenté de la commande "su" ou login du users simple dont mauvais mot de passe.
Mais très utile la commande, merci fran.b[b].[/b]Le nombre de cette commande peut aussi augmenté de la commande “su” ou login du users simple dont mauvais mot de passe.
Mais très utile la commande, merci fran.b.
Je ne me plante de mot de passe [size=150]QUE[/size] 25 fois pas jour 
Mais ça va augmenter vu que je viens de changer mon “weak password” pour un “stronger one”… 
hackertarget.com/free-security-v … ity-scans/
Quand même une bonne nouvelle !
Starting Nmap 5.00 ( http://nmap.org ) at 2009-11-15 07:01 UTC
All 1000 scanned ports on 10.128.1.xxx are filtered 
En attendant, j’espère que ed a un bon mot de passe root, parce que:
ssh root@forum.debian-fr.org
The authenticity of host 'forum.debian-fr.org (88.165.116.107)' can't be established.
RSA key fingerprint is 0f:d0:9d:89:67:16:b6:e0:04:e0:62:36:a7:a9:28:0a.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'forum.debian-fr.org,88.165.116.107' (RSA) to the list of known hosts.
root@forum.debian-fr.org's password:
Et tu dis qu’un pirate déterminé[…] mais ça lui façilite la vie si on change pas le port!
Tu sais, à mon avis tu es proche du chiffre moyen, sur un autre de mes serveurs:
[quote]$ expr zcat /var/log/auth.log*gz | grep -c "authentication failure" + cat /var/log/auth.log* | grep -c "authentication failure"
15636
$
[/quote]Un troisième:
[quote]~$ sudo expr zcat /var/log/auth.log*gz | grep -c "authentication failure" + cat /var/log/auth.log* | grep -c "authentication failure"
[sudo] password for boisson:
8297
[/quote]
un quatrième
[quote]# expr zcat /var/log/auth.log*gz | grep -c "authentication failure" + cat /var/log/auth.log* | grep -c "authentication failure"
13834
[/quote]
mais sur une cinquièle (où j’ai un accès de dépannage):
[quote]# cat /var/log/message* | grep -c "authentication failure"
173
[/quote]alors que les logs sont sur un mois!
Va comprendre Charles.
Bien,
J’ai épluché mes logs (quelle corvée…).
C’est Dovecot qui fait gonfler les stats…
J’ai un petit serveur de courrier, et une vingtaine de boites, mes utilisateurs, ou un logiciel mail mal configuré…
Aucune IP extérieur ne s’est connecté…
Edit : Enfin il semble… Puisque la première chose qu’ils font (s’il ne sont pas couillons) c’est effacer les logs !
[quote=“lol”]Bien,
J’ai épluché mes logs (quelle corvée…).
C’est Dovecot qui fait gonfler les stats…
J’ai un petit serveur de courrier, et une vingtaine de boites, mes utilisateurs, ou un logiciel mail mal configuré…
Aucune IP extérieur ne s’est connecté…
Edit : Enfin il semble… Puisque la première chose qu’ils font (s’il ne sont pas couillons) c’est effacer les logs ![/quote]
Ils utilisent souvent des scripts qui peuvent ne pas toujours bien cibler les choses: les logs ssh sont dans /var/log/messages sur certaines distributions, /var/log/auth.log sur debian, ubuntu, ailleurs pour d’autres. Soit tranquille à mon avis.
Note que dans les exemples que j’ai donné, les serveurs avec des chiffres vers 10000 correspondent à des domaines connus et assez fréquentés: (note que celui qui a 8297 tentatives a 220000 hits par jour pour le serveur Web…:
[quote]/var/log/apache2$ grep -c “” access.log.1
1508638
[/quote]
celui qui est chez moi, avec les 12000 tentatives n’a que 10000 hits par jour, ça ne dépend donc pas trop de la fréquentation).
Merci pour les précisions,
J’abuse encore un peu de ta patience…
Les hackers lancent des srcipts qui “scannent” aléatoirement Internet ?
Ces scripts “déposent” des fichiers et autres scripts qui permettent aux indélicats d’avoir un accès à la machine ?
Le plus gros risque serait de devenir à mon insu un PC Pirate qui lance des attaques ?
Je ne suis pas inquiet pour les données que j’ai sur ma machine, rien de confidentiel… Et j’ai des backups réguliers sur d’autres machines du réseau…
Le problème est de ne pas faire le backup d’un serveur vérolé… Je suppose qu’il faut faire plusieurs backups (dont certains “originaux” qu’il ne faut pas écraser) ? Je vais voir si je peux mettre ça en place rapidement… C’est idiot de restaurer un backup “vérolé”
[quote=“lol”]Merci pour les précisions,
J’abuse encore un peu de ta patience…
Les hackers lancent des srcipts qui “scannent” aléatoirement Internet ?[/quote]
Oui, en général
[quote]
Ces scripts “déposent” des fichiers et autres scripts qui permettent aux indélicats d’avoir un accès à la machine ?[/quote]
Oui, ce que j’ai vu c’est
[quote]
Le plus gros risque serait de devenir à mon insu un PC Pirate qui lance des attaques ?
[/quote]Oui, maius vu ta bande passante démoniaque, tu le verrais passer 
[quote]
Je ne suis pas inquiet pour les données que j’ai sur ma machine, rien de confidentiel… Et j’ai des backups réguliers sur d’autres machines du réseau…
Le problème est de ne pas faire le backup d’un serveur vérolé… Je suppose qu’il faut faire plusieurs backups (dont certains “originaux” qu’il ne faut pas écraser) ? Je vais voir si je peux mettre ça en place rapidement… C’est idiot de restaurer un backup “vérolé” [/quote]
Le mieux est de faire un test d’intégrité. J’ai fait un paquet surveillace pour ça allié à un script vérifiant qu’aucun fichier n’a été rajouté, c’est efficace et ça me garantit mes backups.
[quote=“fran.b”]Oui, maius vu ta bande passante démoniaque, tu le verrais passer 
[/quote] 
Je m’inquiète aujourd’hui car - en principe - la fibre optique est opérationnelle dans 3 semaines… 1024 kbps down / 256 kbps up.
Là ce sera plus la même chanson niveau sécurité…
Merci pour vos réponse.
J’ai fortifié mes mot de passe, installer fail2ban et modifier la conf ssh par défaut (port + accès root) là ça va beaucoup mieux.
Pour info depuis le 7/11 30543 failures :
root@spectrum:/var/log# expr `zcat /var/log/auth.log*gz | grep -c "authentication failure"` + ` cat /var/log/auth.log* | grep -c "authentication failure"`
30543Je ne remarque aucune activité anormale ou processus bizarre cependant je vérifierai de temps en temps mes log.
Je considère que mon problème est réglé merci à tous pour vos interventions et bonne soirée.
ps: je laisse ce thread ouvert ? je mets le résolu ?
poste très intéréssant et moi au perso au jeux du
ben j’ai que 8 donc je pense que c’est mes tenta perso
par contre j’aimerai quand meme installer fail2ban mais mon problème c’est que je suis au quebec et mon serveur en france.
Ce qui n’est pas vraiment un probleme a part que s’il m’arrive un probleme a part demander a mon pere de le redemarrer je ne pourrait strictement rien faire d’autre et je voudrais pas prendre le risque de perdre mon serveur (ça m’etait arriver quand j’avais configurer iptables)
du coup je voulais savoir si il y avait un risque ?
merci
edit : je viens de regarder le fichier autorun que t’as laissé ton cracker (et oui normalement un hacker c’est un gentil) il t’as rajouter une ligne dans ton crontab mais j’avoue que je comprends pas ce que ça fait d’autre juste qu’il redirige tout la sortie de ce que fait le cron vers /dev/null et que le cron c’est pour toute les minutes
voila pour autoriser l’utilisateur par id:)
iptables -A OUTPUT -p tcp -m multiport --destination-port 22 -m owner --uid-owner 1000 -j ACCEPTici la machine cliente seul l’user 1000 peux sortir 
donc si tu met que 1000 y a pas de root qui tienne
poure le serveur il suffi d’adapter la règle
Sécurité par l’obscurité. Ça n’arrêtera pas un pirate déterminé alors qu’une attaque au dictionnaire n’a aucune chance de réussir avec une authentification raisonnablement robuste.[/quote]
Mettre un mot de passe sécurisé (autre chose qu’un mot anglais…) à la fois en root et en simple utilisateur n’empêche pas d’avoir en plus un port ssh autre que 22 (ainsi que l’accès ssh uniquement pour un utilisateur non root), cela évite le traffic et les attaques inutiles, souvent les bot ne scannent que le port 22 et donc les ordinateurs plus faciles à hacker.
De plus il est important de faire un script pour vérifier régulièrement qui s’est connecté (et qui a tenté) et se l’afficher
Au fait, sous un serveur Red Hat on avait les logs de connexion ou d’erreurs (ainsi que les IP) dans /var/log/secure, est-ce que /var/log/auth est similaire dans les autres distributions ?
Un petit script de ce type dans un fichier cron devrait permettre de vérifier périodiquement les connexions réussies :
cat /var/log/auth* | grep Accepted | awk -F' ' '{print $1" "$2" "$9}' | uniq -u | mail youremail-or-login -s "Login Report"
Chez moi je n’ai pas touché à la configuration du log ssh et j’ai toutes les entrées dans /var/log/auth.log.
Mais on doit pouvoir configurer ça.
edit:
Sinon pour revenir à toute cette problématique de sécurisation de services, on a beau mettre en place des mots de passe béton, choisir des services connus pour leur robustesse, utiliser des outils comme failtoban ou des règles iptables bien dures, si on ne jette pas un oeil à ses logs régulièrement ça ne sert à rien.
Quand j’utilisais encore failtoban je m’étais retrouvé avec des attaquants non bannis parce qu’ils devaient avoir compris quel protection j’utilisais et qu’ils s’arrangeaient pour laisser une trace dans les logs non prise en charge par les filtres de failtoban.
Depuis j’ai viré cet utilitaire, viré toutes mes règles basées sur ipt_recent et je laisse les gens s’acharner sur mes mots de passe.
J’ai scripté à mort pour me faire des rendus d’analyse de log avec des traitements statistiques et je consulte ça tous les jours.
Alors effectivement mes logs sont longs comme le bras (plus ftp que ssh étrangement), et alors ?
Tiens d’ailleurs j’ai découvert qu’un ensemble de machines essayait tous les jours de se servir de mon postfix comme relais ouvert. Quantité en augmentation d’ailleurs.
Je ne pensais pas que ça prendrait si peu de temps (service en place depuis un mois) ni que les attaquants n’essaieraient pas de s’authentifier. Ils se prennent un “open relay denied” quand même, leurs scripts pourraient être un peu plus malins.
[quote=“farvardin”]
cat /var/log/auth* | grep Accepted | awk -F' ' '{print $1" "$2" "$9}' | uniq -u | mail youremail-or-login -s "Login Report"[/code][/quote]
est ce que tu pourrais t'expliquer un peu plus s'il te plait ?
je voit bien que ce envoi un mail avec des info trouver dans le log
mais concretement il sert a quoi ?
merci
edit: nan c'est bon j'ai tout compris très sympa une autre idée serait de faire :
[code]cat /var/log/auth* | grep Accepted | awk -F' ' '{print $1" "$2" "$9" "$11}' | uniq -c | mail bobzer@gmail.com -s "Login Report"ce qui permet de savoir le nombre d’accès par jour et l’adresse ip
ça me donne des idée tous ça j’ai jamais fait de script mais j’ai du coup envie d’essayer demain
Le dit paquet est à disposition dans tes dépôts??
Quel est le nom??
Peux tu également publier ton script??