Analyser les log et limiter nb connexion

ddams · 29/04/2007, 00h36

Bonjour,

En regardant un peu les logs de mon serveur /var/log/messages, je me suis aperçu qu'il y avait énormément de tentatives d'intrusion sur celui-ci.
Afin de faciliter l'analyse des logs, connaitriez-vous un bon outils permettant de faire des stats sur ce genre de logs (nb de tentatives de connexion pour chaque ip, nb réussies, nb échouées).

Toujours dans l'objectif de limiter ce problème, je souhaiterais interdire toute tentative de connexion d'une IP à partir du moment ou celle-ci a échoué sur trois tentatives de connexion. Celà est-il possible et si oui comment m'y prendre ?

Merci d'avance

Pour info, voilà le type de log que j'obtiens :

Citation:

Apr 16 02:43:52 ns39350 sshd[2484]: Invalid user terence from 88.84.143.102
Apr 16 02:43:53 ns39350 sshd[2486]: Invalid user terra from 88.84.143.102
Apr 16 02:43:53 ns39350 sshd[2488]: Invalid user terry from 88.84.143.102
Apr 16 02:43:53 ns39350 sshd[2490]: Invalid user tess from 88.84.143.102
Apr 16 02:43:54 ns39350 sshd[2492]: Invalid user teresa from 88.84.143.102
Apr 16 02:43:54 ns39350 sshd[2494]: Invalid user thelma from 88.84.143.102
Apr 16 02:43:54 ns39350 sshd[2496]: Invalid user theo from 88.84.143.102
Apr 16 02:43:55 ns39350 sshd[2498]: Invalid user theodora from 88.84.143.102
Apr 16 02:43:55 ns39350 sshd[2500]: Invalid user theodore from 88.84.143.102
Apr 16 02:43:55 ns39350 sshd[2502]: Invalid user theresa from 88.84.143.102
Apr 16 02:43:56 ns39350 sshd[2504]: Invalid user thomas from 88.84.143.102
Apr 16 02:43:56 ns39350 sshd[2506]: Invalid user tia from 88.84.143.102
Apr 16 02:43:56 ns39350 sshd[2508]: Invalid user tiffany from 88.84.143.102
Apr 16 02:43:57 ns39350 sshd[2511]: Invalid user tiger from 88.84.143.102
Apr 16 02:43:57 ns39350 sshd[2513]: Invalid user tigger from 88.84.143.102
Apr 16 02:43:57 ns39350 sshd[2515]: Invalid user tim from 88.84.143.102
Apr 16 02:43:58 ns39350 sshd[2517]: Invalid user timmy from 88.84.143.102
Apr 16 02:43:58 ns39350 sshd[2519]: Invalid user timothy from 88.84.143.102
Apr 16 02:43:58 ns39350 sshd[2521]: Invalid user tina from 88.84.143.102
Apr 16 02:43:59 ns39350 sshd[2523]: Invalid user tisha from 88.84.143.102
Apr 16 02:43:59 ns39350 sshd[2525]: Invalid user titus from 88.84.143.102
Apr 16 02:43:59 ns39350 sshd[2527]: Invalid user toby from 88.84.143.102
Apr 16 02:44:00 ns39350 sshd[2529]: Invalid user tod from 88.84.143.102
Apr 16 02:44:00 ns39350 sshd[2531]: Invalid user todd from 88.84.143.102
Apr 16 02:44:00 ns39350 sshd[2533]: Invalid user tom from 88.84.143.102
Apr 16 02:44:01 ns39350 sshd[2535]: Invalid user tommie from 88.84.143.102
Apr 16 02:44:01 ns39350 sshd[2537]: Invalid user tomcat from 88.84.143.102

ou encore

Citation:

Apr 17 14:11:11 ns39350 sshd[1357]: Invalid user contrib from 212.92.18.28
Apr 17 14:11:11 ns39350 sshd[1357]: reverse mapping checking getaddrinfo for sms.marketorg.hu.18.92.212.in-addr.arpa failed -
POSSIBLE BREAK-IN ATTEMPT!

deny · 29/04/2007, 07h39

voici un exemple de script tournant avec iptables visant a bloquer des ips
coupable de tentatives d'intrusion avec plusieurs logins

http://linuxgazette.net/137/takefuji.html

a+

ddams · 29/04/2007, 09h06

C'est vraiment un bon article merci bien.

Je test ça en début de semaine prochaine.

herzleid · 30/04/2007, 23h29

Encore plus simple : fail2ban

C'est en réalité un script perl qui bloque les adresses ip au bout x tentavives et pendant x secondes. x que tu paramètres bien sur.

ce programme marche pour ssh, vsftpd, apache etc ... Il s'appuis sur les log de ces programmes.

En général il y a un paquet pour ta distrib favorite.

Il marche super bien. A la limite tu peux aussi rajouter une regle iptable du style :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
# Bannissement d une adresse IP apres 4 tentavies ko
iptables -A INPUT -p tcp --dport ssh -m recent --update --seconds 60 --hitcount 4 --name SSH -j DROP
iptables -A INPUT -p tcp --dport ssh -m recent --set --name SSH
iptables -A INPUT -p tcp --dport ssh -j ACCEPT

Perso j'ai fail2ban qui drop et bloque les ip apres 3 tentatives, et au cas ou j'ai cette regle qui se mets en marche à la 4ème tentative. No j'suis pas parano

ddams · 01/05/2007, 22h53

Je vais tester ce fameux fail2ban, à ce que j'ai lu sur sourceforge ça a l'air pas mal et super simple.

29/04/2007, 09h06	#3
ddams Membre habitué Inscription : mars 2002 Messages : 148 Détails du profil Informations personnelles : Localisation : France, Rhône (Rhône Alpes) Informations forums : Inscription : mars 2002 Messages : 148 Points : 111 Points : 111	C'est vraiment un bon article merci bien. Je test ça en début de semaine prochaine. __________________ @+ddams
	00

01/05/2007, 22h53	#5
ddams Membre habitué Inscription : mars 2002 Messages : 148 Détails du profil Informations personnelles : Localisation : France, Rhône (Rhône Alpes) Informations forums : Inscription : mars 2002 Messages : 148 Points : 111 Points : 111	Je vais tester ce fameux fail2ban, à ce que j'ai lu sur sourceforge ça a l'air pas mal et super simple. __________________ @+ddams
	00

29/04/2007, 07h39	#2
deny Membre chevronné Inscription : mai 2004 Messages : 818 Détails du profil Informations forums : Inscription : mai 2004 Messages : 818 Points : 706 Points : 706	voici un exemple de script tournant avec iptables visant a bloquer des ips coupable de tentatives d'intrusion avec plusieurs logins http://linuxgazette.net/137/takefuji.html a+
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email