Tentative d'intrusion

micah84 · Février 21, 2016, 3:07am

Bonsoir,

voici une “infime” partie de mon log Fail2ban.

[quote]2011-08-13 00:49:44,896 fail2ban.actions: WARNING [ssh] 218.50.0.182 already banned
2011-08-13 00:51:21,009 fail2ban.actions: WARNING [ssh] 218.50.0.182 already banned
2011-08-13 00:52:57,123 fail2ban.actions: WARNING [ssh] 218.50.0.182 already banned
2011-08-13 00:54:33,236 fail2ban.actions: WARNING [ssh] 218.50.0.182 already banned
2011-08-13 00:56:09,349 fail2ban.actions: WARNING [ssh] 218.50.0.182 already banned
2011-08-13 00:56:33,377 fail2ban.actions: WARNING [ssh] Unban 218.50.0.182
2011-08-13 00:57:44,473 fail2ban.actions: WARNING [ssh] Ban 218.50.0.182
2011-08-13 00:59:20,598 fail2ban.actions: WARNING [ssh] 218.50.0.182 already banned
2011-08-13 01:00:57,712 fail2ban.actions: WARNING [ssh] 218.50.0.182 already banned
2011-08-13 01:02:33,825 fail2ban.actions: WARNING [ssh] 218.50.0.182 already banned
2011-08-13 01:04:09,937 fail2ban.actions: WARNING [ssh] 218.50.0.182 already banned
2011-08-13 01:05:47,051 fail2ban.actions: WARNING [ssh] 218.50.0.182 already banned
2011-08-13 01:07:23,164 fail2ban.actions: WARNING [ssh] 218.50.0.182 already banned
2011-08-13 01:07:45,191 fail2ban.actions: WARNING [ssh] Unban 218.50.0.182
2011-08-13 01:08:59,289 fail2ban.actions: WARNING [ssh] Ban 218.50.0.182
2011-08-13 01:10:35,415 fail2ban.actions: WARNING [ssh] 218.50.0.182 already banned
2011-08-13 01:12:12,530 fail2ban.actions: WARNING [ssh] 218.50.0.182 already banned
2011-08-13 01:13:47,641 fail2ban.actions: WARNING [ssh] 218.50.0.182 already banned
2011-08-13 01:15:22,753 fail2ban.actions: WARNING [ssh] 218.50.0.182 already banned
2011-08-13 01:16:57,863 fail2ban.actions: WARNING [ssh] 218.50.0.182 already banned
2011-08-13 01:18:33,976 fail2ban.actions: WARNING [ssh] 218.50.0.182 already banned
2011-08-13 01:19:00,007 fail2ban.actions: WARNING [ssh] Unban 218.50.0.182
2011-08-13 01:20:09,100 fail2ban.actions: WARNING [ssh] Ban 218.50.0.182
2011-08-13 01:21:44,225 fail2ban.actions: WARNING [ssh] 218.50.0.182 already banned
2011-08-13 01:23:20,337 fail2ban.actions: WARNING [ssh] 218.50.0.182 already banned
2011-08-13 01:24:56,449 fail2ban.actions: WARNING [ssh] 218.50.0.182 already banned
2011-08-13 01:26:32,562 fail2ban.actions: WARNING [ssh] 218.50.0.182 already banned
2011-08-13 01:28:10,676 fail2ban.actions: WARNING [ssh] 218.50.0.182 already banned
2011-08-13 01:29:45,788 fail2ban.actions: WARNING [ssh] 218.50.0.182 already banned
2011-08-13 01:30:09,816 fail2ban.actions: WARNING [ssh] Unban 218.50.0.182
2011-08-13 01:31:21,912 fail2ban.actions: WARNING [ssh] Ban 218.50.0.182
2011-08-13 01:32:58,040 fail2ban.actions: WARNING [ssh] 218.50.0.182 already banned
2011-08-13 01:34:34,152 fail2ban.actions: WARNING [ssh] 218.50.0.182 already banned
2011-08-13 01:36:10,265 fail2ban.actions: WARNING [ssh] 218.50.0.182 already banned
[/quote]

Comme vous pouvez le constatez il ne ce passe pas une minute sans que des tentative d’intrusion soit tentée sur mon serveur. existe t’il un moyen de réduire ces tentative d’intrusions ?
Un ban DEFINITIFE de ces ip est-il possible ? si oui, represent-il un risque ? ou ne servirais a rien ?

Merci

panthere · Février 21, 2016, 3:07am

salut
tu peux bannir l’ip durant 24h aux delà sa devient inutile car les ip son majoritairement dynamique et ce renouvelle plus ou moins dans ce délait (qu’on me corrige si je dit des con***)

et si tu change le port par défauts tu sera moins solliciter.

lol · Février 21, 2016, 3:07am

Salut,

[quote=“micah84”]existe t’il un moyen de réduire ces tentative d’intrusions ?[/quote]Comme le dit panthere: change ton ssh de port.

[quote=“micah84”]Un ban DEFINITIFE de ces ip est-il possible ? si oui, represent-il un risque ? ou ne servirais a rien ?[/quote]Oui. Un risque? oui si c’est un client… Sinon, non!

[quote]whois 218.50.0.182
query: 218.50.0.182

KOREAN

[/quote]Lui tu peux y aller sans soucis…

Tu peut aussi bannir toute une plage (218.50.0.0 - 218.55.255.255) ou même un pays entier…

Maintenant… ton fail2ban fonctionne, rallonge juste le jail, ça ira…

msfk57 · Février 21, 2016, 3:08am

Salut,

juste pour info, tu peux ajouter la géolocalisation des attaquants directement dans fail2ban:
fail2ban.org/wiki/index.php/ … eoiplookup

c’est sympa pour savoir rapidement si c’est des connexions hostiles

micah84 · Février 21, 2016, 3:08am

[quote=“panthere”]salut
tu peux bannir l’ip durant 24h aux delà sa devient inutile car les ip son majoritairement dynamique et ce renouvelle plus ou moins dans ce délait (qu’on me corrige si je dit des con***)

et si tu change le port par défauts tu sera moins solliciter.[/quote]

C’est ce que j’avais crus comprendre, mais je l’avais déjà changer port : 222 cela n’empeche pas les tentatives…

[quote=“msfk57”]Salut,

juste pour info, tu peux ajouter la géolocalisation des attaquants directement dans fail2ban:
fail2ban.org/wiki/index.php/ … eoiplookup

c’est sympa pour savoir rapidement si c’est des connexions hostiles [/quote]

J’ai installer GEOIP mais comment l’integrer a Fail2ban ?

[quote=“lol”]Salut,

[quote=“micah84”]existe t’il un moyen de réduire ces tentative d’intrusions ?[/quote]Comme le dit panthere: change ton ssh de port.

[quote=“micah84”]Un ban DEFINITIFE de ces ip est-il possible ? si oui, represent-il un risque ? ou ne servirais a rien ?[/quote]Oui. Un risque? oui si c’est un client… Sinon, non!

[quote]whois 218.50.0.182
query: 218.50.0.182

KOREAN

[/quote]Lui tu peux y aller sans soucis…

Tu peut aussi bannir toute une plage (218.50.0.0 - 218.55.255.255) ou même un pays entier…

Maintenant… ton fail2ban fonctionne, rallonge juste le jail, ça ira…[/quote]

Comment on banni definitivement une ip ?

Merci

msfk57 · Février 21, 2016, 3:08am

Il faut lire le lien … je crains de ne pas pouvoir le faire pour toi …

lol · Février 21, 2016, 3:08am

Salut,

Comme le fait fail2ban, avec iptables:

ou une plage

gilles974 · Février 21, 2016, 3:08am

salut

j’ai collez un script dans forum qui permettais de bannir tout un pays par leur IP

je ne le retrouve plus mais en forçant un peux tu pourrais mettre la main dessus

micah84 · Février 21, 2016, 3:08am

[quote=“lol”]Salut,

Comme le fait fail2ban, avec iptables:

ou une plage

[quote=“gilles974”]salut

j’ai collez un script dans forum qui permettais de bannir tout un pays par leur IP

je ne le retrouve plus mais en forçant un peux tu pourrais mettre la main dessus[/quote]

Merci

panthere · Février 21, 2016, 3:08am

[quote=“gilles974”]salut

j’ai collez un script dans forum qui permettais de bannir tout un pays par leur IP

je ne le retrouve plus mais en forçant un peux tu pourrais mettre la main dessus[/quote]

mouai, c’est pas vraiment la bonne solution, j’avais aussi opter pour cette methode, voir simplement de banir certain fai. mai finalment le mec qui veux faire ch** trouvera le moyen de contourner le probleme.

222 fait partie des port qui vont de 1 a 1024 souvent scanner par les débutant… met plutot un port dans les 20000-60000
c’est déja plus long a trouver et surtout sa va ce voir dans les log et fail 2 ban ou ton script par feux perso peux y voir plus facilement:)

micah84 · Février 21, 2016, 3:08am

[quote=“panthere”][quote=“gilles974”]salut

j’ai collez un script dans forum qui permettais de bannir tout un pays par leur IP

je ne le retrouve plus mais en forçant un peux tu pourrais mettre la main dessus[/quote]

mouai, c’est pas vraiment la bonne solution, j’avais aussi opter pour cette methode, voir simplement de banir certain fai. mai finalment le mec qui veux faire ch** trouvera le moyen de contourner le probleme.

222 fait partie des port qui vont de 1 a 1024 souvent scanner par les débutant… met plutot un port dans les 20000-60000
c’est déja plus long a trouver et surtout sa va ce voir dans les log et fail 2 ban ou ton script par feux perso peux y voir plus facilement:)[/quote]

Ok je me disait aussi qu’il yavait mieux que ce port la… je vais tenter de le changer et voir ce que sa donne coter tentative. Merci

loreleil · Février 21, 2016, 3:08am

Saluts,

Une réponse peut être : Denyhosts !!!

:~$ apt-cache policy denyhosts denyhosts: Installé : 2.6-7 Candidat : 2.6-7 Table de version : 2.6-9 0 90 http://ftp.fr.debian.org/debian/ wheezy/main amd64 Packages 50 http://ftp.fr.debian.org/debian/ sid/main amd64 Packages *** 2.6-7 0 990 http://ftp.fr.debian.org/debian/ squeeze/main amd64 Packages 100 /var/lib/dpkg/status 2.6-4 0 500 http://ftp.fr.debian.org/debian/ lenny/main amd64 Packages :~$
Une petite recherche la-dessus …

micah84 · Février 21, 2016, 3:09am

[quote=“loreleil.747”]Saluts,

Une réponse peut être : Denyhosts !!!

:~$ apt-cache policy denyhosts denyhosts: Installé : 2.6-7 Candidat : 2.6-7 Table de version : 2.6-9 0 90 http://ftp.fr.debian.org/debian/ wheezy/main amd64 Packages 50 http://ftp.fr.debian.org/debian/ sid/main amd64 Packages *** 2.6-7 0 990 http://ftp.fr.debian.org/debian/ squeeze/main amd64 Packages 100 /var/lib/dpkg/status 2.6-4 0 500 http://ftp.fr.debian.org/debian/ lenny/main amd64 Packages :~$
Une petite recherche la-dessus … [/quote]

EXACTEMENT ce dont j’avais besoin

Merci

loreleil · Février 21, 2016, 3:09am

[quote=“micah84”]

EXACTEMENT ce dont j’avais besoin

Merci[/quote]

C’est avec plaisir … alors, que du bonheur !!!

ps: ré-édit ton post et transforme le " [resolu] " par une coche verte, en bas à droite de ton post … Cool !!!