#1 Le 03/04/2007, à 13:42
- bloody_bloups
Attaque: AU SECOUR!!!!!!!!!!!!!!!! fail2ban rendu HS!!!!!!!!
Bonjour, mon server a subit une attaque depuis 8h00 du matin jusqu'a 12h10 (heure a laquel je me suis connecte pour mettre les mise a jour cotidienes). J'ai constate dans les log une attaque sur ssh par dictionnaire de 82.103.135.24 j'ai pas compris pourquoi car j'utilise fai2ban qui marchais bien jusque la et puis surprise le systeme marche mal: plus de man page, je regarde ce qui me reste comme place et la gloups, quelques 10Mo !!! je suis donc aubliger de suprimer des fichier pour que le pc puisse tourner correctement... apres cela je decouvre fail2ban.log fait 1.85Go !!!!!!!!!!!!!!
que dois-je faire!!!1 au secour!!! mon server est a 800 km 
...
Hors ligne
#2 Le 03/04/2007, à 14:02
- Uggy
Re : Attaque: AU SECOUR!!!!!!!!!!!!!!!! fail2ban rendu HS!!!!!!!!
- Un fichier de log de 1.8 Go, c'est pas forcément énorme (surtout sur des serveurs)
Et ca ne devrait pas saturer la partition de logs.
- Je n'ai pas compris si ce qui prend de la place c'est juste ce fichier de 2 Go ? Ou si ton serveur sert désormais de partage de divX car les gars sont entrés en Ssh ? Dans le 1er cas tu n'as cas virer le fichier de log, dans le 2ème cas, tu n'as plus qu'a tout réinstaller vu que le système a été compromis.
- Dans tous les cas, une protection de sshd se fait de manière extrèmement simple sans aucun prog supplémentaire en n'autorisant la connexion ssh uniquement pas clé (et non par mot de passe).
Hors ligne
#3 Le 03/04/2007, à 14:10
- bloody_bloups
Re : Attaque: AU SECOUR!!!!!!!!!!!!!!!! fail2ban rendu HS!!!!!!!!
- Un fichier de log de 1.8 Go, c'est pas forcément énorme (surtout sur des serveurs)
Et ca ne devrait pas saturer la partition de logs.
- Je n'ai pas compris si ce qui prend de la place c'est juste ce fichier de 2 Go ? Ou si ton serveur sert désormais de partage de divX car les gars sont entrés en Ssh ? Dans le 1er cas tu n'as cas virer le fichier de log, dans le 2ème cas, tu n'as plus qu'a tout réinstaller vu que le système a été compromis.- Dans tous les cas, une protection de sshd se fait de manière extrèmement simple sans aucun prog supplémentaire en n'autorisant la connexion ssh uniquement pas clé (et non par mot de passe).
Merci, j'ai vire le fichier log, mais je savais pas que ca pouvait grossir comme ca, mon disque dur fais que 6 Go donc non il n'y a meme pas moyen de stocker 1 Divx, et c'est bien le seul fichier aussi gros.
Pour autoriser les connexion que par cle j'ai du mal a cerner le principe meme avec le tutoriel.. peux tu me resumer?
merci bcp
Hors ligne
#4 Le 03/04/2007, à 14:20
- bloody_bloups
Re : Attaque: AU SECOUR!!!!!!!!!!!!!!!! fail2ban rendu HS!!!!!!!!
en fait j'ai
2007-04-03 13:47:49,966 ERROR: time data did not match format: data=Apr 1 01:27:51 fmt=%b %d %H:%M:%S
2007-04-03 13:47:49,967 ERROR: Please check the format and your locale settings.tout le temps, comment rectifier le pb ?
Hors ligne
#5 Le 03/04/2007, à 15:55
- Uggy
Re : Attaque: AU SECOUR!!!!!!!!!!!!!!!! fail2ban rendu HS!!!!!!!!
Pour autoriser les connexion que par cle j'ai du mal a cerner le principe meme avec le tutoriel.. peux tu me resumer?
- Tu génère un bi-clé (Clé pub+ clé priv)
- Tu mets la clé pub sur le serveur
- Une connexion réussie nécessiteras 2 facteurs:
o Avoir la clé privée correspondante (en gros avoir le fichier)
o Connaitre le mot de passe de la clé privée
- Tu authorises l'authent pa clé (de base)
- Tu interdit l'authent par "password" (ne pas oublier usepam à no en + du passwordAuthentication à no)
Même si tu connait le pass d'un login, tu ne pourras pas te connecter en SSH.
Donc ca va etre dur pour un méchant pirate de rentrer.
Pour rentrer il faudra avoir la clé + le pass... et je n'ai jamais vu de bruteforce ssh par clé.
L'authent par clé a d'autres avantages comme de n'avoir a se rapeller qu'un seul pass (celui de la clé priv) et non pas ceux des 25 serveurs... sans compter qu'on peut mettre en cache ce pass...etc...
Hors ligne
#6 Le 03/04/2007, à 16:04
- dexinou
Re : Attaque: AU SECOUR!!!!!!!!!!!!!!!! fail2ban rendu HS!!!!!!!!
un problème similaire a déjà été traité
http://forum.ubuntu-fr.org/viewtopic.php?id=105989
bon courage 
Dernière modification par dexinou (Le 03/04/2007, à 16:07)
Ubuntu 9.10 64bits ext4 ® Core 2 Duo
Unix..... il y a moins bien mais c'est plus cher.
Si t'as pas compris la réponse, pose mieux ta question.
Tutoriaux Linux, apache, pure-ftpd, bind, mysql, qmail...
Hors ligne
#7 Le 03/04/2007, à 16:15
- bloody_bloups
Re : Attaque: AU SECOUR!!!!!!!!!!!!!!!! fail2ban rendu HS!!!!!!!!
bloody_bloups a écrit :Pour autoriser les connexion que par cle j'ai du mal a cerner le principe meme avec le tutoriel.. peux tu me resumer?
- Tu génère un bi-clé (Clé pub+ clé priv)
- Tu mets la clé pub sur le serveur
- Une connexion réussie nécessiteras 2 facteurs:
o Avoir la clé privée correspondante (en gros avoir le fichier)
o Connaitre le mot de passe de la clé privée
- Tu authorises l'authent pa clé (de base)
- Tu interdit l'authent par "password" (ne pas oublier usepam à no en + du passwordAuthentication à no)Même si tu connait le pass d'un login, tu ne pourras pas te connecter en SSH.
Donc ca va etre dur pour un méchant pirate de rentrer.
Pour rentrer il faudra avoir la clé + le pass... et je n'ai jamais vu de bruteforce ssh par clé.L'authent par clé a d'autres avantages comme de n'avoir a se rapeller qu'un seul pass (celui de la clé priv) et non pas ceux des 25 serveurs... sans compter qu'on peut mettre en cache ce pass...etc...
Merci, la c'est clair!!!
Hors ligne
#8 Le 03/04/2007, à 16:20
- bloody_bloups
Re : Attaque: AU SECOUR!!!!!!!!!!!!!!!! fail2ban rendu HS!!!!!!!!
un problème similaire a déjà été traité
http://forum.ubuntu-fr.org/viewtopic.php?id=105989bon courage
merci
Hors ligne