Salut à tous.
Depuis 8 jours, j’ai des ip qui font quelque chose sur mon 192.168.x.x.
Les tentatives sont fait tous les 10-20 secondes et les ip sont différent à chaque tentative.
J’utilises ufw, il les a tous bloqué (normalement).
Je sais pas trop quoi faire, y a t il une mesure de plus à prendre ou sa va ?
Je vais voir les dates et j’espère qu’il est pas assez bête.
Salut,
[quote=“kripteks”]j’ai des ip qui font quelque chose[/quote]Un peu plus de détails ?
As-tu regarfdé les logs ?
Ta box redirige quels ports ?
Que renvoie ceci: zgrep 'authentication failure' /var/log/auth.log* | wc -l
Et ceci :iptables-save
Sais-tu quel service est attaqué ?
[quote=“kripteks”]Je sais pas trop quoi faire, y a t il une mesure de plus à prendre ou sa va ?[/quote]Bref, sans infos, j’aurais juste tendance à te dire de débrancher la prise ethernet…
Je crois avoir trouver le soucis -> torrent.
J’avais strictement rien dans les log ufw, j’ai surf, toujours rien. J’ouvre mon logiciel torrent et sa commence à ajouter des ip aléatoire comme décrit sur le sujet, donc c’était bien sa le problème à savoir si normal (qu’il les bloques).
Zgrep renvoi quelques dizaine, sa doit être sûrement moi 
Pour iptable-saves:
[code]# Generated by iptables-save v1.4.12 on Mon Mar 11 13:20:43 2013
*filter
:INPUT DROP [1171:88945]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [11:536]
:fail2ban-ssh - [0:0]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-logging-allow - [0:0]
:ufw-logging-deny - [0:0]
:ufw-not-local - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-skip-to-policy-forward - [0:0]
:ufw-skip-to-policy-input - [0:0]
:ufw-skip-to-policy-output - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-input - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-output - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A fail2ban-ssh -j RETURN
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-after-logging-forward -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m state --state RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m state --state INVALID -j ufw-logging-deny
-A ufw-before-input -m state --state INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m state --state RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-logging-deny -m state --state INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-skip-to-policy-forward -j DROP
-A ufw-skip-to-policy-input -j DROP
-A ufw-skip-to-policy-output -j ACCEPT
-A ufw-track-output -p tcp -m state --state NEW -j ACCEPT
-A ufw-track-output -p udp -m state --state NEW -j ACCEPT
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT
COMMIT
Salut,
Si c’est du torrent, c’est normal… c’est le principe même du torrent.
Tu prends, mais tu partages… Il faut bien que les autres se connectent chez toi pour récupérer les morceaux de torrent qui les intéressent.
j’ai plusieurs pages de connexions “ESTABLISHED” si je tape netstat -laputen | grep torrent dans une console.
Ça devrait être dans la plage de port réservée au torrent.
Salut.
Totalement d’accord.
Mais, il y a un soucis que j’aimes pas du tout: une fois que j’ouvre mon torrent, c’est normal qu’on essaye de me connecté/pingé, mais même après avoir fermer le torrent les pingages (re-)continu, aller c’est normal aussi, mais même après reboot ordinateur c’est pareil (c’est à la limite aussi normal mais si on a une ip fixe ou un peu stable c’est la merde).
Finalement je vais aussi utiliser un système comme tor ou autre, comme sa mon réel ip sera un peu moins publique pour être repister.
Et qui sais, la même méthode est sûrement utiliser autre part, comme les sites web etc, rah sa me rend fou internet, d’où mon intérêt à la programmation bas niveau augmente de plus en plus.
Dans les logs les seuls chose en commun entre les différents date sont l’adresse mac.
Peut-être un script pour changer l’adresse mac suffira pour calmer cela ? En tous cas je vais essayer pour voir le résultat.
[quote=“kripteks”]Salut.
Finalement je vais aussi utiliser un système comme tor ou autre[/quote]
Tor pour DL des torrents c’est pas top quand même… Freenet est plus sympa, mais je ne sais pas ou en est le projet.
Re,
Regarde si tu as beaucoup de tentatives:
[quote=“lol”]Re,
Regarde si tu as beaucoup de tentatives:
zgrep 'authentication failure' /var/log/auth.log* | wc -l[/quote]zgrep me renvoie 5-6 en plus du teste qu’on a fait ci-dessus et c’est sûrement moi encore (j’ai un mot de passe un peu dur à entrer ), j’ai dû faire un peu de ménage avec des paquets.
[quote=“code-mage”][quote=“kripteks”]Salut.
Finalement je vais aussi utiliser un système comme tor ou autre[/quote]
Tor pour DL des torrents c’est pas top quand même… Freenet est plus sympa, mais je ne sais pas ou en est le projet.[/quote]
J’avoue il y a aussi ce soucis.
Mais j’ai un bon débit et un téléchargement illimité, bien que c’est plus préférable d’utiliser la pleine puissance.
En tant normal je télécharges presque pas en torrent, il me faut utiliser 2 fois par semaine et la duré est quelques dizaines de minutes maximum.
Je vais voir aussi du côté de la config du logiciel, peut-être quelque chose de plus privé pourra éviter/diminuer la situation.
Normalement, j’ai une ip dynamique, elle doit pas durer plus que quelques jours si je me trompes pas, je vais voir en la redémarrant (sa va interrompre la télé un petit temps mais bon), si sa change à chaque coup me voila rassuré et sauvé.
Édite: sauvé, l’ip change à chaque redémarrage de ma box.
J’ai plus les connexions qui venait sans arrêt.
Je comprends mieux les screenshot linux’ien avec des bureaux qui affiche les logs…
[quote=“kripteks”]Dans les logs les seuls chose en commun entre les différents date sont l’adresse mac.
Peut-être un script pour changer l’adresse mac suffira pour calmer cela ?[/quote]
Normal, l’adresse MAC source est celle de ta box et l’adresse MAC de destination est celle de ton PC. La portée des adresses MAC est limitée au réseau local, il ne sert à rien de les modifier pour éviter des attaques provenant d’internet.
Il m’arrive aussi parfois de lancer un logiciel pour charger un torrent. APrés fermeture, j’ai des tentatives de connexions pendant quelques jours, puis ça retombe (c’est le principe du torrent de tenter de chercher si une source est dispo là ou elle l’était quelques jours avant).
Comme les ports entrants ne sont pas ouvert par le client torrent chez moi, ces demandes de connexions se heurtent à un mur, et les clients torrents se lassent.
De plus, j’utilise ktorrent qui permet de bannir des IP. Tu as aussi souvent des paramètres pour ton client pour bannir des clients trop agressifs.
@piratebab +1
J’ai pas encore testé mais je penses que la liste des torrents présent dans le logiciel ont grand chose, les supprimer quand fini peut diminuer fortement.
A ce rythme je douterais pas la venu des ip plus dynamique.