Killator Posté(e) le 7 mars 2008 Partager Posté(e) le 7 mars 2008 Bonjour à tous, J'ai un soucis avec mon serveur et un grand besoin de conseils. Voici le contexte: il y a deux ans, j'ai créé un petit serveur sous Debian. Il me sert à plein de chose, et il le fait bien, j'en suis très content. Entre autre, il héberge un blog perso et d'autres sites d'amis proches. En janvier 2008, mon blog est devenu la cible d'un moteur de SPAM. N'ayant aucune protection particulière pour ce type d'attaque (DotClear v1) j'ai migré en urgence sur Wordpress... La migration s'est révélée très efficace, plus aucun commentaire foireux à déplorer... En apparence, tout est redevenu normal... En apparence seulement... Car les tentatives de hack continuent... RAS au nivo FTP, SSH... Une petite attaque au dictionnaire par ci, par là... Rien de très sérieux... Cela cesse spontanément après qq heures... Le système encaisse sans problème... Par contre, coté APACHE... Le problème est tout autre !!! > Injection de code à travers l'url et dans mes interfaces. > Recherche de backdoor, répertoires cachés. > Et sûrement plein d'autres truc du genre... Encore une fois, le système encaisse très bien: plateforme LAMP et blog engine à jour, mot de passe forts sur toutes les portes, plusieurs nivo de sécurité sur SSH, backup automatique sur le serveur d'un ami... Ce qui m'embête surtout, c'est le trafic que génère ces attaques. Voici qq screenshots: > On voit bien le début des tentatives de hack à partir de fin janvier. > On voit bien l'explosion du trafic en février... (1.4Go !) > On voit bien que la suite annonce rien de bon... Je soupçonne même que cela fasse lagger ma réception TV ADSL... De mon coté, j'ai commencé à éplucher les logs... Je pense que la majeure partie de ce trafic est généré par 3 gros serveurs UK (dont les IP reviennent sans cesse). Mais d'un autre coté, ça ne colle pas avec mon analyseur de stat (awstats) qui me déclare + 6000 visites uniques en février. Bref, je suis un peu perdu... Y a-t-il une méthodologie précise pour aborder ce genre de problème ? Des règles IPtable toutes bêtes pour filtrer un minimum ? Des utilitaires magiques pour protéger mon serveur ? Tous les conseils sont les bienvenus, merci d'avance ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
SnipX Posté(e) le 8 mars 2008 Partager Posté(e) le 8 mars 2008 Ben, tu peux toujours bloquer les3 IP qui t'embêtent et voir ce que ça donne avec ça; non ? Interdit ces IP à se connecter sur ton serveur, et regardes les résultats; parce qu'en effet ça craint. Lien vers le commentaire Partager sur d’autres sites More sharing options...
ouragan Posté(e) le 8 mars 2008 Partager Posté(e) le 8 mars 2008 juste une question: je sais pas j'y connais rien mais, t'as un pseudo qui contient un @ ce serait pas des tentatives de spam ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
leon47 Posté(e) le 9 mars 2008 Partager Posté(e) le 9 mars 2008 Bonjour à toi, pour éviter ce genre de problème ==> fail2ban il va scanner tes logs, les analyser, et bloquer les gens qui essayent un peu trop de rentrer aptitude install fail2ban pour plus de détail sur la config : http://j2c-s2c.com/informatique/linux/fail2ban.php bien que la config de base soit déjà plutôt sympa, il faut juste penser à activer les services qui te sont utiles. bon courage ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
Killator Posté(e) le 11 mars 2008 Auteur Partager Posté(e) le 11 mars 2008 Juste une question: je sais pas j'y connais rien mais, t'as un pseudo qui contient un @ ce serait pas des tentatives de spam ?Je vais faire comme si j'avais rien lu @leon47: je connaissais Fail2ban, je l'utilisais lors d'une précédente installation... Mais j'ai eu des soucis avec le package à cause de ses dependance avec Python... Enfin, vu le site, on dirait que l'outil a bien évolué depuis le temps... Cependant, j'arrive pas à me faire une opignion: c'est une bidouile d'un developpeur ou un outil open source bien connu et massivement utilisé ? Qu'en pensez vous ? Bon en tous cas, je vais tenter de parametrer qq IPtable dans un 1er temps. Si ça ne se calme pas, je retenterai d'utiliser Fail2Ban... Et je croise les doigts pour que cela suffise Je vous tiens O courant ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
leon47 Posté(e) le 12 mars 2008 Partager Posté(e) le 12 mars 2008 perso, j'utilise fail2ban depuis 1 an sur quinzaine de serveurs, jamais eu de soucis avec la config de base ... le seul problème que j'ai eu a été lié à une règle que j'avais faite un peu trop barbare ^^ il ne faut pas oublié de le couplé avec un IDS par contre, il ne protège pas de tout ... également, faire de l'export de log vers un serveur distant est un bon plus je penses. Lien vers le commentaire Partager sur d’autres sites More sharing options...
theocrite Posté(e) le 12 mars 2008 Partager Posté(e) le 12 mars 2008 perso, j'utilise fail2ban depuis 1 an sur quinzaine de serveurs, jamais eu de soucis avec la config de base ... Moi non plus.Enfin si j'ai eu quelques moment d'énervement lorsque j'ai tapé trois fois un mauvais mot de passe Même plus accès au serveur web ou au dns. Lien vers le commentaire Partager sur d’autres sites More sharing options...
leon47 Posté(e) le 12 mars 2008 Partager Posté(e) le 12 mars 2008 en effet ... ça me rappelle des souviendus ^^ j'avais commencé à créer un système de calculette qui me permettait de changer le pass root régulièrement, il fallait taper la date dans la calculette pour avoir le password qui allait bien. mais j'avions fait une erreur de code, donc, tout bloqué de partout à cause de plantage à répétition de password. mais ça fait plutôt des bons souvenirs maintenant :] pour ceux qui sont interessé : je mettais en md5 un calcul fait avec la date du jour, et je prenais cette valeur pour pwd root. Lien vers le commentaire Partager sur d’autres sites More sharing options...
theocrite Posté(e) le 12 mars 2008 Partager Posté(e) le 12 mars 2008 Moi j'ai tout simplement exporté mes clés ssh depuis. Fin des soucis. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.