hello,
Ne t’inquiete pas :
c’est une connexion d’un user de la machine local, toi peut etre ?
et ca :
Ce n’est pas une ip publique qui t’appartient ? essai de comprendre tes logs.
Chargement du module
[code]
# iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
[/code] Comptage de tous les paquets arrivant sur le port 22 en ssh (par IP)
[code]
# iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j DROP
[/code]
Si plus de trois connexions dans les 90 dernières secondes, on gicle le paquet.Chargement du module
[code]
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
[/code] Comptage de tous les paquets arrivant sur le port 22 en ssh (par IP)
# iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j DROPSi plus de trois connexions dans les 90 dernières secondes, on gicle le paquet.
hello,
Tout a fait fran.b, sinon ça :
[quote]
Jul 16 06:27:31 localhost proftpd[4746]: localhost.localdomain (218.108.49.102[218.108.49.102]) - mod_delay/0.4: delaying for 366 usecs[/quote]
Faut pas s’inquieter, c’est le module mod_delay de proftpd, il permet justement d’eviter les attaques par timings (brute force) comme expliquer sur le site officielle dans la doc…
[quote=“stonfi”]hello,
Ne t’inquiete pas :
c’est une connexion d’un user de la machine local, toi peut etre ?
et ca :
Ce n’est pas une ip publique qui t’appartient ? essai de comprendre tes logs.[/quote]
non malheureusement pas, je me souviendrais si javais éssayé de me connecter pendant 2 heures.
Je m’inquiète car je me rend compte que je n’ai jamais pris le temps de lire mes log, or je me m’aperçois maintenant du dangé. Surotu ces dernier temps j’ai eu beacoup moin de temps a consacrer à linux
Faut pas s'inquieter, c'est le module mod_delay de proftpd, il permet justement d'eviter les attaques par timings (brute force) comme expliquer sur le site officielle dans la doc...Very Happy
ta vu ça ou ?
bon je pense que je vais suivre le conseil de fran.b
[quote=“fran.b”]# modprobe ipt_recent
Chargement du module
[code]
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
[/code] Comptage de tous les paquets arrivant sur le port 22 en ssh (par IP)
# iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j DROPSi plus de trois connexions dans les 90 dernières secondes, on gicle le paquet.[/quote]Pour les techies, il y a un module pam (il faudrait que je retrouve la reference ici même) pour wrapper toutes les authentifications de la machine avec un delay.
[quote=“fran.b”]# modprobe ipt_recent
Chargement du module
[code]
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
[/code] Comptage de tous les paquets arrivant sur le port 22 en ssh (par IP)
# iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j DROP
Si plus de trois connexions dans les 90 dernières secondes, on gicle le paquet.[/quote]
c’est le fameux ip-tables dont tout le monde parle pour faire des firewals linux par contre j’ai pas encore touché a cette bête.
par contre il vient de me renvoyer cette erreur
can’t use -p width -A
tu as du faire une faute de frappe.
es tu sur d’avoir “copié/collé” ton erreur ?
[quote=“MattOTop”]tu as du faire une faute de frappe.
es tu sur d’avoir “copié/collé” ton erreur ?[/quote]
j e peux pas faire de copier coller du fait que je travail pas sur mon serveur en direct.
effectivement j’avais mis un " P" au lieu d’un ‘p’, là j’ai un message suivant iptables : no chain /target/match by that name
voilà cette fois ci c’est passé,
par contre j’aimerais savoir si on retrouve ceci dans un fichier de conf ipt-recent car j’aimerais rajouter la meme chose pour le port 21.
cherches un peu la prochaine fois: forum.debian-fr.org/viewtopic.php?t=1901
sinon, je ne vois pas en quoi le fait de travailler d’ailleur t’empêche de copier dans ta fenetre de connection au serveur (ou alors ton client ssh est vraiment pourri).
[quote=“MattOTop”]cherches un peu la prochaine fois: forum.debian-fr.org/viewtopic.php?t=1901
sinon, je ne vois pas en quoi le fait de travailler d’ailleur t’empêche de copier dans ta fenetre de connection au serveur (ou alors ton client ssh est vraiment pourri).[/quote]
jai effectivement fais mes recherches et j’ai trouvé la commande iptables-save, par contre j’ai vu qu’on pouvait restorer avec iptables-reload, mais cela n’ a pas l’air de fonctionner.
merci quand même pour le lien, qui a l’air très interressant.
en effet tu as raison avec le ssh le opier coller ça fonctionne, mais j’utilise un KVm pour jongler entre les 2
j’avais pas pensé au KVM.
sinon, le pendant d’iptables-save, c’est iptables-restore .
quand je fais iptables-save j’arrive a voir le contenu de mon iptables mais iptables-restore plante. 
je verrais ça demain.
merci pour le coup de main
bonjour,
voilà je viens de regarder ce matin mon syslog, et rien anormal ouf!!
je ne sais pas si c’est du fait de la modif de l’ ipt_recent.
j’ai aussi reçu mon mail logwatch, par contre là je suis étonnée de ne pas voir toute les tentatives de connection d’ hier de 6h30 à 8h00 sur le ftp. que j’avais vu dans lmon sylog.
j’ai parler trop vite car ce matin il y a eu des tentatives de connection plus tard.
par contre il semblerais que d’après ces logs qil a été jeter assez rapidement a moins que ce soit un pur hasard.
Par contre comment on compte les paquets pour vérifier si c’est bien le cas.
par contre ce que je comprend pas c’est les ligne FTP session opened or dans mer log xferlog je ne vois rien.
Jul 17 08:48:40 localhost proftpd[8280]: localhost.localdomain (219.142.46.196[219.142.46.196]) - FTP session opened.
Jul 17 08:48:41 localhost proftpd[8280]: localhost.localdomain (219.142.46.196[219.142.46.196]) - no such user 'Administrator'
Jul 17 08:48:41 localhost proftpd[8280]: localhost.localdomain (219.142.46.196[219.142.46.196]) - mod_delay/0.4: delaying for 2506649 usecs
Jul 17 08:48:45 localhost proftpd[8280]: localhost.localdomain (219.142.46.196[219.142.46.196]) - no such user 'Administrator'
Jul 17 08:48:45 localhost proftpd[8280]: localhost.localdomain (219.142.46.196[219.142.46.196]) - mod_delay/0.4: delaying for 11128 usecs
Jul 17 08:48:45 localhost proftpd[8280]: localhost.localdomain (219.142.46.196[219.142.46.196]) - mod_delay/0.4: delaying for 105 usecs
Jul 17 08:48:45 localhost proftpd[8280]: localhost.localdomain (219.142.46.196[219.142.46.196]) - no such user 'Administrator'
Jul 17 08:48:45 localhost proftpd[8280]: localhost.localdomain (219.142.46.196[219.142.46.196]) - FTP session closed.
Jul 17 08:48:56 localhost proftpd[8281]: localhost.localdomain (219.142.46.196[219.142.46.196]) - FTP session opened.
Jul 17 08:48:57 localhost proftpd[8281]: localhost.localdomain (219.142.46.196[219.142.46.196]) - mod_delay/0.4: delaying for 1155 usecs
Jul 17 08:48:57 localhost proftpd[8281]: localhost.localdomain (219.142.46.196[219.142.46.196]) - no such user 'Administrator'
Jul 17 08:48:57 localhost proftpd[8281]: localhost.localdomain (219.142.46.196[219.142.46.196]) - mod_delay/0.4: delaying for 4 usecs
Jul 17 08:48:57 localhost proftpd[8281]: localhost.localdomain (219.142.46.196[219.142.46.196]) - mod_delay/0.4: delaying for 170 usecs
Jul 17 08:48:58 localhost proftpd[8281]: localhost.localdomain (219.142.46.196[219.142.46.196]) - no such user 'Administrator'
Jul 17 08:48:58 localhost proftpd[8281]: localhost.localdomain (219.142.46.196[219.142.46.196]) - mod_delay/0.4: delaying for 7 usecs
Jul 17 08:48:58 localhost proftpd[8281]: localhost.localdomain (219.142.46.196[219.142.46.196]) - mod_delay/0.4: delaying for 293 usecs
Jul 17 08:48:59 localhost proftpd[8281]: localhost.localdomain (219.142.46.196[219.142.46.196]) - no such user 'Administrator'
Jul 17 08:48:59 localhost proftpd[8281]: localhost.localdomain (219.142.46.196[219.142.46.196]) - FTP session closed.
Jul 17 08:49:09 localhost proftpd[8282]: localhost.localdomain (219.142.46.196[219.142.46.196]) - FTP session opened.
Jul 17 08:49:10 localhost proftpd[8282]: localhost.localdomain (219.142.46.196[219.142.46.196]) - no such user 'Administrator'
Jul 17 08:49:10 localhost proftpd[8282]: localhost.localdomain (219.142.46.196[219.142.46.196]) - mod_delay/0.4: delaying for 95 usecs
Jul 17 08:49:11 localhost proftpd[8282]: localhost.localdomain (219.142.46.196[219.142.46.196]) - mod_delay/0.4: delaying for 141 usecs
Jul 17 08:49:11 localhost proftpd[8282]: localhost.localdomain (219.142.46.196[219.142.46.196]) - no such user 'Administrator'
Jul 17 08:49:11 localhost proftpd[8282]: localhost.localdomain (219.142.46.196[219.142.46.196]) - mod_delay/0.4: delaying for 235 usecs
Jul 17 08:49:11 localhost proftpd[8282]: localhost.localdomain (219.142.46.196[219.142.46.196]) - mod_delay/0.4: delaying for 230 usecs
Jul 17 08:49:12 localhost proftpd[8282]: localhost.localdomain (219.142.46.196[219.142.46.196]) - no such user 'Administrator'
Jul 17 08:49:12 localhost proftpd[8282]: localhost.localdomain (219.142.46.196[219.142.46.196]) - FTP session closed.
parcontre une session ftp se fait par le l’execution trois instructions: par contre CONNECT, par contre USER, et par contre PASS.
Par contre, même si le client te parait faire un login, par contre, ce sont trois étapes qu’on peut eventuellement faire soi même en se connectant sur le port ftp.
par contre, c’est juste une question de terminologie. Tant qu’aucun login pass n’est accepté, tu as bien une session, mais inactive.
Par contre 
[quote=“MattOTop”]parcontre une session ftp se fait par le l’execution trois instructions: par contre CONNECT, par contre USER, et par contre PASS.
Par contre, même si le client te parait faire un login, par contre, ce sont trois étapes qu’on peut eventuellement faire soi même en se connectant sur le port ftp.
par contre, c’est juste une question de terminologie. Tant qu’aucun login pass n’est accepté, tu as bien une session, mais inactive.
Par contre [/quote]
merci de ces précisions, car là tu me rassures sur le fait de voir ftp opened c’est donc l’ouverture de session du protocole. J’avais bien sur fais le test et j’ai bien retrouvé ma connection dans mes log ftp xferlog.
Pour ce qui est la définition du paquet, est ce qu’on peut dire qu’un paquet correspond à l’envoie de du login +password +ip
pas possible, puisque ce sont trois étapes avec acquitement.
là je vais peut êre avoir l’air con mais c’est quoi les etapes acquitement.
Ca veux dire quoi que les pacquets ne sont perceptibles que par la machine.
Dans ce cas comment savoir si la personne a été ejecter ou pas ?
ben simplement:
connect-> reussi ?
<- oui (acquitement), login -> reussi ?
<- oui (acquitement), pass -> reussi ?
<- oui (acquitement).
Et durant tout ça, l’ip d’origine est transmise à chaque aller retour.
Normalement, la commande “last” donne les resultat positifs d’authentification. Je sais que ça concerne login, et d’autres commandes effectuant des “connections”, mais je ne suis pas sur pour ftp (je ne sais pas ce qui déclenche un log dans le lastlog).