Bonjour,
Je viens de m'apercevoir dans mon fichier /var/log/secure que j'ai des tentatives de connections d'utilisateurs inconnus...Serait ce une tentative de hack? Si oui, que puis je faire?.
Merci
Bonjour,
Je viens de m'apercevoir dans mon fichier /var/log/secure que j'ai des tentatives de connections d'utilisateurs inconnus...Serait ce une tentative de hack? Si oui, que puis je faire?.
Merci
Visiblement, c'est une tentative de piratage. 210.216.90.246 essaie de se connecter en utilisant plusieurs noms : enzo, mathis, lucas, theo, etc. Voici ce que donne un whois :
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79 Registrant: Graceful Web P.O. Box 141 Pegram, TN 37143 US Domain name: GRACEFULWEB.COM Administrative Contact: Stewart Jr, Joseph V dns@webadelic.net P.O. Box 141 Pegram, TN 37143 US 615-646-8511 Technical Contact: Stewart Jr., Joseph V. dns@webadelic.net PO Box 141 Pegram, TN 37143 US 615 646 8511 Fax: 615 646 8906 Registration Service Provider: Graceful Web, dns@webadelic.net 615 646 8511 This company may be contacted for domain login/passwords, DNS/Nameserver changes, and general domain support questions. Registrar of Record: TUCOWS, INC. Record last updated on 08-Jan-2008. Record expires on 13-Aug-2008. Record created on 14-Aug-1998. Registrar Domain Name Help Center: http://domainhelp.tucows.com Domain servers in listed order: NS.GRACEFULWEB.COM 63.247.90.35 NS2.GRACEFULWEB.COM 207.210.90.243 NS3.GRACEFULWEB.COM 207.210.95.20 NS1.GRACEFULWEB.COM 207.210.90.246 Domain status: ok The Data in the Tucows Registrar WHOIS database is provided to you by Tucows for information purposes only, and may be used to assist you in obtaining information about or related to a domain name's registration record. Tucows makes this information available "as is," and does not guarantee its accuracy. By submitting a WHOIS query, you agree that you will use this data only for lawful purposes and that, under no circumstances will you use this data to: a) allow, enable, or otherwise support the transmission by e-mail, telephone, or facsimile of mass, unsolicited, commercial advertising or solicitations to entities other than the data recipient's own existing customers; or (b) enable high volume, automated, electronic processes that send queries or data to the systems of any Registry Operator or ICANN-Accredited registrar, except as reasonably necessary to register domain names or modify existing registrations. The compilation, repackaging, dissemination or other use of this Data is expressly prohibited without the prior written consent of Tucows. Tucows reserves the right to terminate your access to the Tucows WHOIS database in its sole discretion, including without limitation, for excessive querying of the WHOIS database or for failure to otherwise abide by this policy. Tucows reserves the right to modify these terms at any time. By submitting this query, you agree to abide by these terms. NOTE: THE WHOIS DATABASE IS A CONTACT DATABASE ONLY. LACK OF A DOMAIN RECORD DOES NOT SIGNIFY DOMAIN AVAILABILITY.
Salut,
Tu devrais enlever l'adresse de ton Kimsufi, ça pourrait donner des idées a certains...
Que faire ? Bien rien, juste vérifier que les mots de passes soient toujours actif (notamment celui du root parcequ'on peut l'enlever facilemment dans l'admin du Ks...).
Si il a une IP fixe, il existe peut être moyen de bannir l'ip.
Bienvenue dans la matrice, attention à bien lire les règles...
.::Mon espace perso developpez.com ::.
salut
tu peux envoyer un message avec copie des logs a abuse@nomdesonfai
surtout tu dois securiser ton serveur
en utilisant fail2ban et et verifier la config de ton serveur
(ne pas autoriser root a se connecter a distance, etc)
a+
si tu veux t'amuser un peut.
tu peut aller voir du coté de snort, avec génération de réglés iptables automatique.
Attention ce n'est pas simple a mettre en oeuvre, mais l'avantage est que tout peut etre bloquer ou autoriser de maniere totalement automatique
"Le logiciel c'est comme le sexe, c'est meilleur quand c'est gratuit"
Linus TORVALD
C'est un plugin à ajouter pour la génération des règles Iptables?tu peut aller voir du coté de snort, avec génération de réglés iptables automatique.
Près des cîmes, loin des cons...
oui il me semble.
A voir du coté des ids actif
regarde ici
je ne sais plus si c'est celui la que j'avais utiliser, mais en tout cas ca ressemble
"Le logiciel c'est comme le sexe, c'est meilleur quand c'est gratuit"
Linus TORVALD
Bonjour,
Merci pour votre aide...
D'apres des recherches que j'avais fait, il pourrait aussi s'agir de scanneur...?
En fait au niveau des protections, j'ai bien un anti brute force: cPHulk
J'ai bien enlever le kinsufi...J'ai également banni l'ip...
Je vais aller voir comment fonctionne snort...
En tout cas merci!
N'installe surtout pas la sonde sur ton serveur web si tu n'as pas une conf Iptables bien secure. Car tu risques d'avoir en plus de tes logs Apache, une multitude de remontées d'alertes de Snort et ton serveur, en plus d'être une usine à gaz, va tourner au ralenti.Je vais aller voir comment fonctionne snort...
Je ne pense pas que Snort soit nécessaire dans ton cas (je pars du principe que tu n'as qu'un serveur web).
Une bonne sécurisation d'Apache et des règles précises d'Iptables suffiront amplement
Enjoy !
Près des cîmes, loin des cons...
Ce genre de tentative d'accès est tout à fait normal pour un port ssh ouvert. D'expérience il faut en moyenne environ 30 minutes après l'ouverture d'un port ssh pour voir arriver des tentatives de connexions.
Si le nombre d'utilisateurs légitimes est limité (comme souvent), le plus simple est d'ajouter une directive dans le sshd_config:
Faire man sshd_config pour plus de détails sur ces directives
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13 # sécurité minimum PermitRootLogin no # restriction utilisateurs AllowUsers toto marcel jules etc... # ou, au niveau du groupe AllowGroups amis_ssh # restreindre les conditions de login LoginGraceTime 10 MaxAuthTries 2
Autre piste: changer ton port ssh mais en général, avec ce qui précède, tu es déjà suffisamment protégé.
Si vraiment la journalisation des tentatives avortées t'ennuient, un IDS comme Snort pourrait faire l'affaire mais un simple fail2ban suffit largement.
:q :q! :wq :w :w! :wq! :quit :quit! :help help helpquit quit quithelp
:quitplease :quitnow :leave :shit ^X^C ^C ^D ^Z ^Q QUITDAMMIT
Jabber: ripat at im.apinc.org
c'est quoi comme serveur pour te logger , parce que sinon fail2ban peut faire l'affaire.
Bonjour,
Cela est déjà fait en partie...j'ai bien désactivé l'accès direct en root, j'ai uniquement un utilisateur qui peut se connecter au ssh. comme anti-Brute force il y a CPHulk d'installé et en plus j'ai configuré iptables pour que s'il y a 3 connections échoués dans un espace de temps réduit, cela banni la personne.
Je voulais le faire car j'avais déjà lu cela...le seul hic, c'est que je ne suis pas trop à l'aise avec iptables...c'etait le support de whm/cpanel qui me l'avait configuré...Je sais comment changer le port du ssh, mais ensuite pour supprimer l entrée actuelle de iptables et ajouter une nouvelle entrée pour le nouveau port...je ne sais pas encore comment faire...Autre piste: changer ton port ssh mais en général, avec ce qui précède, tu es déjà suffisamment protégé.
Bonne soirée
Le port est indiqué dans sshd_config
Le port 22 est le port utilisé par défaut. À mon avis, il suffit de changer ce numéro dans le fichier sshd_config puis de redémarrer ton serveur ssh.
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2 #What ports, IPs and protocols we listen for Port 22
il suffit de changer le numero de port dans le fichier sshd.conf ouu sshd_conf je sais plus, restarter le ssh, ensuite modifier en conséquence tes tables de routages avec le bon port.
je confirme apres l'annonce de la faille de securite avec les cles RSA de ssh,
j'ai eu une multitude de connexion en provenance de chine et du japon qui tentait de se connecter (sur un serveur mis a jour)
un changement de port du serveur ssh, a ete radical, plus une seule tentative de connexion
42
there is no place like 127.0.0.1
Mangez des http://www.smarty.net avec vos PHP web s'il vous plait
var_dump retourne les informations structurées d'une variable, y compris son type et sa valeur. Les tableaux et les objets sont explorés récursivement, avec des indentations, pour mettre en valeur leur structure.
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Partager