Discussion :

[programmerPhil]

Bonjour,

Je crois subire présentement un brute-force sur proftpd ou sshd ou peu importe...

Sur mon serveur, tout lag parfois, bref, je veux savoir comment loggué les connexion de proftpd.

J'ai installé logwatch, mais je ne sais vraiment pas comment me servire de ce dernier. J'ai lut le manuel mais rien ne me dit vraiment...

Merci de votre collaboration!

Cordialement,
programmerPhil,

[HNT]

Perso, je suis pas un pro de la sécurité serveurs, mais à ta place, je commencerai par faire un top dans un shell pour voire si ton serveur est vraiment tant utilisé (le cpu surtout) Si un brute force tourne sur ta machine tu devrai avoir au min 70 à 90 % du cpu de prit (selon les priorités accordées au process) si tel est la cas, tu peut aussi l'identifier en listant les process avec la commande top toujours, la colone % cpu, te donne, comme son nom l'indique, le % du cpu occupé par le process. Bon je sais que ça t'aide pas au niveau des logs mais éventuellement tu peut toujours killer le process qui t'embête.


Trois conseil pour la sécurité ensuite :

1° Change tout tes pass, ne les stocke pas sur le serveur ni dans aucun fichier memo, prend des pass de min 8 caractère avec des caractères spéciaux, des chiffres, des majuscules et minuscules.

Il serait intéressant de voir avec les droits de quels utilisateurs le programme de brute force tourne, si c'est un de tes utilisateurs, il peut avoir trouvé un de tes mot de passe (ça peut être autre chose) Sinon tu peut également voire quels utilisateurs sont connnecté au serveur en tappant who

2° Met à jour proftp et ton serveur ssh. Ce sont des serveurs supposé assez fort en sécurité (pour proftp en tout cas, ton serveur ssh tu l'as pas cité donc ...) mais comme la perfection n'existe pas, il arrive que des failles soient trouvées et corrigées. Alors tu a d'un coté des outils qui apparaissent pour exploiter ces failles, de l'autre une nouvelle version du serveur pour combler la faille. On voit clairement que niveau sécurité, t'as intéret à être à jour.

3° De nombreux tuto sont dispo sur le net et t'expliqueront comment installé ET sécurisé un serveur particulier pour ta distrib.

Je ne sais pas sous quel distrib ton serveur tourne mais je peut te dire que si tu utilise une Debian, en tout cas, niveau mise à jour ce sera beaucoup plus facile. D'ailleurs perso je trouve que ceux qui utilise Debian sur un serveur devrait mettre un tache cron pour se mettre à jour automatiquement style tout les 4 jours ou moins en fonction de ce que l'on utilise.


En tout cas, bonne chance et n'hésite pas à reposter,

[raffa]

Salut,ça doit être des attaques de denyhosts sur ton sshd, il existe un script qui log les ips des attaques dans un fichiers appelé Deny_Hosts et une fois l'ip inscrite il ne pourra plus se connecté !
Fait une recherche sur denyhost avec google.

[programmerPhil]

Merci beaucoup!

Justement, j'avais pensé a regarder avec top...

La seul chose qui prend environ quelques % de CPU sur un P4 3.2 (serveur dédié, qui tourne sur Debian justement ) c'est apache...

Sinon, pour le denyhosts... J'utilise APF comme firewall (il drop tout sauf quelques port, ceux que j'utilise...) donc... je ne crois pas que ca vienne de la.

De plus, le fichier denyhost est vide... =/

Bref, le lag de mon serveur de jeu, pourrais venir de mysql ? Comment pouvons-nous voir le nombre de requete seconde avec MySQL ?

Merci énormément, et je vous assure, c'est HYPER gênant ce problème...

Cordialement,
programmerPhil,

[programmerPhil]

[Bref, le lag de mon serveur de jeu, pourrais venir de mysql ? Comment pouvons-nous voir le nombre de requete seconde avec MySQL ?]

Personne ne sait ?

Car je dois voir les requetes SQL real TIME...

Merci!

Cordialement,
programmerPhil,