Brute-force sur proftpd ou SSHd

programmerPhil · 06/05/2006, 06h53

Bonjour,

Je crois subire présentement un brute-force sur proftpd ou sshd ou peu importe...

Sur mon serveur, tout lag parfois, bref, je veux savoir comment loggué les connexion de proftpd.

J'ai installé logwatch, mais je ne sais vraiment pas comment me servire de ce dernier. J'ai lut le manuel mais rien ne me dit vraiment...

Merci de votre collaboration!

Cordialement,
programmerPhil,

HNT · 06/05/2006, 10h07

Perso, je suis pas un pro de la sécurité serveurs, mais à ta place, je commencerai par faire un top dans un shell pour voire si ton serveur est vraiment tant utilisé (le cpu surtout) Si un brute force tourne sur ta machine tu devrai avoir au min 70 à 90 % du cpu de prit (selon les priorités accordées au process) si tel est la cas, tu peut aussi l'identifier en listant les process avec la commande top toujours, la colone % cpu, te donne, comme son nom l'indique, le % du cpu occupé par le process. Bon je sais que ça t'aide pas au niveau des logs mais éventuellement tu peut toujours killer le process qui t'embête.

Trois conseil pour la sécurité ensuite :

1° Change tout tes pass, ne les stocke pas sur le serveur ni dans aucun fichier memo, prend des pass de min 8 caractère avec des caractères spéciaux, des chiffres, des majuscules et minuscules.

Il serait intéressant de voir avec les droits de quels utilisateurs le programme de brute force tourne, si c'est un de tes utilisateurs, il peut avoir trouvé un de tes mot de passe (ça peut être autre chose) Sinon tu peut également voire quels utilisateurs sont connnecté au serveur en tappant who

2° Met à jour proftp et ton serveur ssh. Ce sont des serveurs supposé assez fort en sécurité (pour proftp en tout cas, ton serveur ssh tu l'as pas cité donc ...) mais comme la perfection n'existe pas, il arrive que des failles soient trouvées et corrigées. Alors tu a d'un coté des outils qui apparaissent pour exploiter ces failles, de l'autre une nouvelle version du serveur pour combler la faille. On voit clairement que niveau sécurité, t'as intéret à être à jour.

3° De nombreux tuto sont dispo sur le net et t'expliqueront comment installé ET sécurisé un serveur particulier pour ta distrib.

Je ne sais pas sous quel distrib ton serveur tourne mais je peut te dire que si tu utilise une Debian, en tout cas, niveau mise à jour ce sera beaucoup plus facile. D'ailleurs perso je trouve que ceux qui utilise Debian sur un serveur devrait mettre un tache cron pour se mettre à jour automatiquement style tout les 4 jours ou moins en fonction de ce que l'on utilise.

En tout cas, bonne chance et n'hésite pas à reposter,

raffa · 06/05/2006, 14h55

Salut,ça doit être des attaques de denyhosts sur ton sshd, il existe un script qui log les ips des attaques dans un fichiers appelé Deny_Hosts et une fois l'ip inscrite il ne pourra plus se connecté !
Fait une recherche sur denyhost avec google.

programmerPhil · 06/05/2006, 15h57

Merci beaucoup!

Justement, j'avais pensé a regarder avec top...

La seul chose qui prend environ quelques % de CPU sur un P4 3.2 (serveur dédié, qui tourne sur Debian justement

) c'est apache...

Sinon, pour le denyhosts... J'utilise APF comme firewall (il drop tout sauf quelques port, ceux que j'utilise...) donc... je ne crois pas que ca vienne de la.

De plus, le fichier denyhost est vide... =/

Bref, le lag de mon serveur de jeu, pourrais venir de mysql ? Comment pouvons-nous voir le nombre de requete seconde avec MySQL ?

Merci énormément, et je vous assure, c'est HYPER gênant ce problème...

Cordialement,
programmerPhil,

programmerPhil · 12/05/2006, 05h09

[Bref, le lag de mon serveur de jeu, pourrais venir de mysql ? Comment pouvons-nous voir le nombre de requete seconde avec MySQL ?]

Personne ne sait ?

Car je dois voir les requetes SQL real TIME...

Merci!

Cordialement,
programmerPhil,

06/05/2006, 06h53	#1
programmerPhil Candidat au titre de Membre du Club Inscription : janvier 2005 Messages : 45 Détails du profil Informations forums : Inscription : janvier 2005 Messages : 45 Points : 12 Points : 12	Brute-force sur proftpd ou SSHd Bonjour, Je crois subire présentement un brute-force sur proftpd ou sshd ou peu importe... Sur mon serveur, tout lag parfois, bref, je veux savoir comment loggué les connexion de proftpd. J'ai installé logwatch, mais je ne sais vraiment pas comment me servire de ce dernier. J'ai lut le manuel mais rien ne me dit vraiment... Merci de votre collaboration! Cordialement, programmerPhil,
	00

06/05/2006, 10h07	#2
HNT Membre confirmé Étudiant Inscription : juin 2005 Messages : 448 Détails du profil Informations personnelles : Âge : 24 Localisation : Belgique Informations professionnelles : Activité : Étudiant Informations forums : Inscription : juin 2005 Messages : 448 Points : 256 Points : 256	Perso, je suis pas un pro de la sécurité serveurs, mais à ta place, je commencerai par faire un top dans un shell pour voire si ton serveur est vraiment tant utilisé (le cpu surtout) Si un brute force tourne sur ta machine tu devrai avoir au min 70 à 90 % du cpu de prit (selon les priorités accordées au process) si tel est la cas, tu peut aussi l'identifier en listant les process avec la commande top toujours, la colone % cpu, te donne, comme son nom l'indique, le % du cpu occupé par le process. Bon je sais que ça t'aide pas au niveau des logs mais éventuellement tu peut toujours killer le process qui t'embête. Trois conseil pour la sécurité ensuite : 1° Change tout tes pass, ne les stocke pas sur le serveur ni dans aucun fichier memo, prend des pass de min 8 caractère avec des caractères spéciaux, des chiffres, des majuscules et minuscules. Il serait intéressant de voir avec les droits de quels utilisateurs le programme de brute force tourne, si c'est un de tes utilisateurs, il peut avoir trouvé un de tes mot de passe (ça peut être autre chose) Sinon tu peut également voire quels utilisateurs sont connnecté au serveur en tappant who 2° Met à jour proftp et ton serveur ssh. Ce sont des serveurs supposé assez fort en sécurité (pour proftp en tout cas, ton serveur ssh tu l'as pas cité donc ...) mais comme la perfection n'existe pas, il arrive que des failles soient trouvées et corrigées. Alors tu a d'un coté des outils qui apparaissent pour exploiter ces failles, de l'autre une nouvelle version du serveur pour combler la faille. On voit clairement que niveau sécurité, t'as intéret à être à jour. 3° De nombreux tuto sont dispo sur le net et t'expliqueront comment installé ET sécurisé un serveur particulier pour ta distrib. Je ne sais pas sous quel distrib ton serveur tourne mais je peut te dire que si tu utilise une Debian, en tout cas, niveau mise à jour ce sera beaucoup plus facile. D'ailleurs perso je trouve que ceux qui utilise Debian sur un serveur devrait mettre un tache cron pour se mettre à jour automatiquement style tout les 4 jours ou moins en fonction de ce que l'on utilise. En tout cas, bonne chance et n'hésite pas à reposter, __________________ The box said : "Requires windows 95, NT or better" so I installed Linux.
	00

06/05/2006, 14h55	#3
raffa Membre habitué Raphael P Inscription : septembre 2005 Messages : 191 Détails du profil Informations personnelles : Nom : Raphael P Âge : 14 Informations forums : Inscription : septembre 2005 Messages : 191 Points : 120 Points : 120	Salut,ça doit être des attaques de denyhosts sur ton sshd, il existe un script qui log les ips des attaques dans un fichiers appelé Deny_Hosts et une fois l'ip inscrite il ne pourra plus se connecté ! Fait une recherche sur denyhost avec google.
	00

06/05/2006, 15h57	#4
programmerPhil Candidat au titre de Membre du Club Inscription : janvier 2005 Messages : 45 Détails du profil Informations forums : Inscription : janvier 2005 Messages : 45 Points : 12 Points : 12	Merci beaucoup! Justement, j'avais pensé a regarder avec top... La seul chose qui prend environ quelques % de CPU sur un P4 3.2 (serveur dédié, qui tourne sur Debian justement ) c'est apache... Sinon, pour le denyhosts... J'utilise APF comme firewall (il drop tout sauf quelques port, ceux que j'utilise...) donc... je ne crois pas que ca vienne de la. De plus, le fichier denyhost est vide... =/ Bref, le lag de mon serveur de jeu, pourrais venir de mysql ? Comment pouvons-nous voir le nombre de requete seconde avec MySQL ? Merci énormément, et je vous assure, c'est HYPER gênant ce problème... Cordialement, programmerPhil,
	00

12/05/2006, 05h09	#5
programmerPhil Candidat au titre de Membre du Club Inscription : janvier 2005 Messages : 45 Détails du profil Informations forums : Inscription : janvier 2005 Messages : 45 Points : 12 Points : 12	[Bref, le lag de mon serveur de jeu, pourrais venir de mysql ? Comment pouvons-nous voir le nombre de requete seconde avec MySQL ?] Personne ne sait ? Car je dois voir les requetes SQL real TIME... Merci! Cordialement, programmerPhil,
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email