Discussion :

[joboy84]

Bonjour,

Je viens de m'apercevoir dans mon fichier /var/log/secure que j'ai des tentatives de connections d'utilisateurs inconnus...Serait ce une tentative de hack? Si oui, que puis je faire?.

Merci

[publicStaticVoidMain]

Visiblement, c'est une tentative de piratage. 210.216.90.246 essaie de se connecter en utilisant plusieurs noms : enzo, mathis, lucas, theo, etc. Voici ce que donne un whois :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
 
Registrant:
 Graceful Web
 P.O. Box 141
 Pegram, TN 37143
 US
 
 Domain name: GRACEFULWEB.COM
 
 Administrative Contact:
    Stewart Jr, Joseph V  dns@webadelic.net
    P.O. Box 141
    Pegram, TN 37143
    US
    615-646-8511
 Technical Contact:
    Stewart Jr., Joseph V.  dns@webadelic.net
    PO Box 141
    Pegram, TN 37143
    US
    615 646 8511    Fax: 615 646 8906
 
 
 
 Registration Service Provider:
    Graceful Web, dns@webadelic.net
    615 646 8511
    This company may be contacted for domain login/passwords,
    DNS/Nameserver changes, and general domain support questions.
 
 
 Registrar of Record: TUCOWS, INC.
 Record last updated on 08-Jan-2008.
 Record expires on 13-Aug-2008.
 Record created on 14-Aug-1998.
 
 Registrar Domain Name Help Center:
    http://domainhelp.tucows.com
 
 Domain servers in listed order:
    NS.GRACEFULWEB.COM   63.247.90.35
    NS2.GRACEFULWEB.COM   207.210.90.243
    NS3.GRACEFULWEB.COM   207.210.95.20
    NS1.GRACEFULWEB.COM   207.210.90.246
 
 
 Domain status: ok
 
The Data in the Tucows Registrar WHOIS database is provided to you by Tucows
for information purposes only, and may be used to assist you in obtaining
information about or related to a domain name's registration record.
 
Tucows makes this information available "as is," and does not guarantee its
accuracy.
 
By submitting a WHOIS query, you agree that you will use this data only for
lawful purposes and that, under no circumstances will you use this data to:
a) allow, enable, or otherwise support the transmission by e-mail,
telephone, or facsimile of mass, unsolicited, commercial advertising or
solicitations to entities other than the data recipient's own existing
customers; or (b) enable high volume, automated, electronic processes that
send queries or data to the systems of any Registry Operator or
ICANN-Accredited registrar, except as reasonably necessary to register
domain names or modify existing registrations.
 
The compilation, repackaging, dissemination or other use of this Data is
expressly prohibited without the prior written consent of Tucows.
 
Tucows reserves the right to terminate your access to the Tucows WHOIS
database in its sole discretion, including without limitation, for excessive
querying of the WHOIS database or for failure to otherwise abide by this
policy.
 
Tucows reserves the right to modify these terms at any time.
 
By submitting this query, you agree to abide by these terms.
 
NOTE: THE WHOIS DATABASE IS A CONTACT DATABASE ONLY.  LACK OF A DOMAIN
RECORD DOES NOT SIGNIFY DOMAIN AVAILABILITY.

[mathieugut]

Salut,

Tu devrais enlever l'adresse de ton Kimsufi, ça pourrait donner des idées a certains...

Que faire ? Bien rien, juste vérifier que les mots de passes soient toujours actif (notamment celui du root parcequ'on peut l'enlever facilemment dans l'admin du Ks...).

Si il a une IP fixe, il existe peut être moyen de bannir l'ip.

[deny]

salut

tu peux envoyer un message avec copie des logs a abuse@nomdesonfai

surtout tu dois securiser ton serveur
en utilisant fail2ban et et verifier la config de ton serveur
(ne pas autoriser root a se connecter a distance, etc)

a+

[lu6fer]

si tu veux t'amuser un peut.
tu peut aller voir du coté de snort, avec génération de réglés iptables automatique.

Attention ce n'est pas simple a mettre en oeuvre, mais l'avantage est que tout peut etre bloquer ou autoriser de maniere totalement automatique

[Leeloo_Multiboot]

tu peut aller voir du coté de snort, avec génération de réglés iptables automatique.

C'est un plugin à ajouter pour la génération des règles Iptables?

[lu6fer]

oui il me semble.

A voir du coté des ids actif

regarde ici

je ne sais plus si c'est celui la que j'avais utiliser, mais en tout cas ca ressemble