Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 21/10/2013, à 19:12

Xiti29

Bannir une IP/Nom de domaine

Bonjour, depuis quelques jours sur mon server une adresse étrange? essai de se connecter à mon server ftp, j'aurais bien voulu la bannir mais c'est un échec total. 


sudo cat /var/log/syslog | tail -n 200 | grep WAR
Oct 21 19:53:55 ks21 pure-ftpd: (?@9.234.81.218.broad.xw.sh.dynamic.163data.com.cn) [WARNING] Authentication failed for user [anonymous]

Extrait de mon host.deny j'ai essayé plusieurs choses sans succès...

ALL: *.broad.xw.sh.dynamic.163data.com.cn : DENY
ALL: ?@9.234.81.218.broad.xw.sh.dynamic.163data.com.cn : DENY
ALL: 163data.com.cn : DENY

Et mon regex fail2ban pour pure-ftpd
/etc/fail2ban/filter.d/pure-ftpd.conf 

failregex = pure-ftpd: \(\?@<HOST>\) \[WARNING\] Authentication failed for user

Si l'un d'entre vous à une idée je suis preneur. Merci

Hors ligne

#2 Le 21/10/2013, à 19:25

sinbad83

Re : Bannir une IP/Nom de domaine

Salut,
avec une règle IPtable, on peut bannir une adresse

sudo iptables -I INPUT -s <adresse_publique> -j DROP

Par ailleurs, peux-tu donner le retour de 

sudo fail2ban-client status

Tu devrais aussi changer de mot de passe en utilisant pwgen par exemple.

La connaissance n'est pas une denrée rare, il faut la partager avec les autres.
Linux registered #484707
Site: www.coursinforev.org/doku.php
Desktop AMD Ryzen 5-3600, RAM 16GB, Ubuntu 20.10,   HP Pavillon G6 Ubuntu 20.10 et Ten, Serveur Ubuntu 18.04

Hors ligne

#3 Le 21/10/2013, à 19:34

Xiti29

Re : Bannir une IP/Nom de domaine

Merci de votre réponse, j'avais déjà essayé avec iptables mais sans succès.

sudo iptables -I INPUT -s ?@9.234.81.218.broad.xw.sh.dynamic.163data.com.cn -j DROP
iptables v1.4.12: host/network `?@9.234.81.218.broad.xw.sh.dynamic.163data.com.cn' not found
Try `iptables -h' or 'iptables --help' for more information.

Et d'où vient ce '?@9.234.81.[...]' je trouve cette adresse vraiment étrange
J'ai aussi essayé

sudo iptables -I INPUT -s 9.234.81.218.broad.xw.sh.dynamic.163data.com.cn -j DROP
iptables v1.4.12: host/network `9.234.81.218.broad.xw.sh.dynamic.163data.com.cn' not found
Try `iptables -h' or 'iptables --help' for more information.
sudo fail2ban-client status
Status
|- Number of jail:	3
`- Jail list:		pure-ftpd, ssh, ssh-ddos

Pour les adresses "classique" du genre 125.68.159.74 fail2ban fonctionne très bien.
Merci de votre aide sinbad83

Dernière modification par Xiti29 (Le 21/10/2013, à 19:36)

Hors ligne

#4 Le 22/10/2013, à 10:35

sinbad83

Re : Bannir une IP/Nom de domaine

Si tu veux un peu plus d'info sur ce qui se passe, lance:

sudo last -a 
tail  /var/log/fail2ban.log
tail /var/log/auth.log

As-tu changé ton mot de passe ? Vois-tu une différence ?
Autre suggestion: dans fail2ban, tu pourrais inclure tous les FTP installés.

La connaissance n'est pas une denrée rare, il faut la partager avec les autres.
Linux registered #484707
Site: www.coursinforev.org/doku.php
Desktop AMD Ryzen 5-3600, RAM 16GB, Ubuntu 20.10,   HP Pavillon G6 Ubuntu 20.10 et Ten, Serveur Ubuntu 18.04

Hors ligne

#5 Le 22/10/2013, à 17:36

Xiti29

Re : Bannir une IP/Nom de domaine

Bonsoir, mes mots de passes sont corrects, l'acces ftp est interdit aux anonymes, il n'y a pas vraiment de risque mais ça fait 5 jours maintenant qu'il essai de ce co sans que je ne puisse rien faire?

tail  /var/log/fail2ban.log
2013-10-22 17:32:44,433 fail2ban.filter : WARNING Unable to find a corresponding IP address for 142.183.97.119.broad.wh.hb.dynamic.163data.com.cn
2013-10-22 17:36:34,122 fail2ban.filter : WARNING Unable to find a corresponding IP address for 142.183.97.119.broad.wh.hb.dynamic.163data.com.cn
2013-10-22 17:38:24,685 fail2ban.actions: WARNING [pure-ftpd] Ban 183.66.224.165
2013-10-22 18:02:20,338 fail2ban.actions: WARNING [pure-ftpd] Ban 222.90.232.62
2013-10-22 18:13:34,346 fail2ban.filter : WARNING Unable to find a corresponding IP address for 142.183.97.119.broad.wh.hb.dynamic.163data.com.cn
2013-10-22 18:16:55,831 fail2ban.filter : WARNING Unable to find a corresponding IP address for 142.183.97.119.broad.wh.hb.dynamic.163data.com.cn
2013-10-22 18:19:12,514 fail2ban.filter : WARNING Unable to find a corresponding IP address for 142.183.97.119.broad.wh.hb.dynamic.163data.com.cn
2013-10-22 18:21:50,971 fail2ban.filter : WARNING Unable to find a corresponding IP address for 142.183.97.119.broad.wh.hb.dynamic.163data.com.cn
2013-10-22 18:24:24,491 fail2ban.filter : WARNING Unable to find a corresponding IP address for 142.183.97.119.broad.wh.hb.dynamic.163data.com.cn
2013-10-22 18:30:25,145 fail2ban.filter : WARNING Unable to find a corresponding IP address for 142.183.97.119.broad.wh.hb.dynamic.163data.com.cn

Je ne vois pas ce que pourrais changer le fait d'inclure les autres server FTP de fail2ban?
Merci de votre aide

Hors ligne

#6 Le 22/10/2013, à 19:52

Pseudo supprimé

Re : Bannir une IP/Nom de domaine

ce sont  des ip dynamiques; Efficacité à très court terme du sudo iptables -I INPUT -s <adresse_publique> -j DROP

host -t ptr 218.81.234.9
9.234.81.218.in-addr.arpa domain name pointer 9.234.81.218.broad.xw.sh.dynamic.163data.com.cn.
sudo iptables -I INPUT -s 218.81.234.9  -j DROP
geoiplookup /usr/share/GeoIP/GeoLiteCity.dat 218.81.234.9
GeoIP Country Edition: CN, China

Malheureusement, les chinois ont une très mauvaise image en attaques informatiques. Et tous les jours, ils vont te casser les pieds

Il faut que tu utilises iptables avec le mod geoip, pour être  tranquille et ne plus avoir de logs pollués... 

sudo iptables -N GEOIP_REJECT
sudo iptables -I GEOIP_REJECT -m geoip --src-cc CN,A1,A2,autre_pays -j DROP
....
sudo iptables -I INPUT 1 -j GEOIP_REJECT

Chine, proxies, satellite, autres_pays


pour TOR, bien que moins virulent

bash TOR_DENY.sh  <my_IP_server> 

#!/bin/bash
# ref http://sjoerd-hemminga.com/blog/2012/10/block-tor-exit-nodes-using-iptables 
if [[ -z "$1" ]]; then
  echo Usage: $0 "<your server's ip>"
  exit 1
fi

hostip=$1
sudo iptables -N TOR_REJECT
for i in $(wget https://check.torproject.org/cgi-bin/TorBulkExitList.py\?ip=$hostip -O- -q |\
    grep -E '^[[:digit:]]+(\.[[:digit:]]+){3}$'); do
#  sudo iptables -A INPUT -s "$i" -j DROP
sudo iptables -I TOR_REJECT -s "$i" -j DROP
echo "$i"
done
#sudo iptables -I TOR_REJECT -s 11.22.33.44 -j DROP
sudo iptables -I INPUT 1 -j TOR_REJECT

#7 Le 23/10/2013, à 08:14

sinbad83

Re : Bannir une IP/Nom de domaine

@Titouan,
je suis également intéressé pour bannir des attaques venant de Chine, mais quand j'utilise ta commande, j'ai un message d'erreur

~$ sudo iptables -I GEOIP_REJECT -m geoip --src-cc CN,A1,A2,autre_pays -j DROP
iptables v1.4.18: geoip: invalid country code 'autre_pays'

PS: J'ai installé geoclue-ubuntu-geoip. Est-ce suffisant ?

Dernière modification par sinbad83 (Le 23/10/2013, à 13:43)

La connaissance n'est pas une denrée rare, il faut la partager avec les autres.
Linux registered #484707
Site: www.coursinforev.org/doku.php
Desktop AMD Ryzen 5-3600, RAM 16GB, Ubuntu 20.10,   HP Pavillon G6 Ubuntu 20.10 et Ten, Serveur Ubuntu 18.04

Hors ligne

#8 Le 23/10/2013, à 16:39

Xiti29

Re : Bannir une IP/Nom de domaine

PS: J'ai installé geoclue-ubuntu-geoip. Est-ce suffisant ?

Il faut installer un addons d'iptables

sudo aptitude install xtables-addons-common

les infos ici pour l'installation

Par contre d'après ce que j'ai vu il essai de recompiler le noyau, impossible chez ovh sans perdre toutes mes données. Je vais regarder pour bannir la plage d'ip qui me semble sont fournie en fonction des pays?
Merci Titouan pour cette idée smile

Hors ligne

#9 Le 23/10/2013, à 20:50

Pseudo supprimé

Re : Bannir une IP/Nom de domaine

iptables mod geoip
je pense que cela devrait suffire; 

sudo apt-get install iptables-dev pkg-config debhelper module-assistant xtables-addons-common xtables-addons-source libtext-csv-xs-perl linux-headers-`uname -r` unzip
# voir iptables-dkms si ta version la supporte
sudo mkdir /usr/share/xt_geoip
sudo /usr/lib/xtables-addons/xt_geoip_dl
sudo /usr/lib/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip *.csv

test;

sudo iptables -I INPUT -m geoip --src-cc KR -j DROP
#variante,
sudo iptables -I INPUT -p tcp -m multiport --dports 80,443 -m geoip --src-cc KR -j DROP

Par la suite, après une mise à niveau du kernel, tu auras

iptables -A INPUT -p tcp -m geoip --src-cc CN -j DROP
iptables: No chain/target/match by that name.

solution:
sudo module-assistant --verbose --text-mode auto-install xtables-addons

edit;

geoclue-ubuntu-geoip

désolé, je ne connais pas.

Dernière modification par Titouan (Le 23/10/2013, à 20:55)

#10 Le 24/10/2013, à 09:36

sinbad83

Re : Bannir une IP/Nom de domaine

Titouan a écrit :

Par la suite, après une mise à niveau du kernel, tu auras

    iptables -A INPUT -p tcp -m geoip --src-cc CN -j DROP
    iptables: No chain/target/match by that name.

solution:
sudo module-assistant --verbose --text-mode auto-install xtables-addons

Je n'ai pas compris. La règle INPUT suivante fonctionne sans blocage intempestif ni message d'erreur.

DROP  tcp  --  anywhere   anywhere   multiport dports http,https -m geoip --source-country CN,KR,A1,A2

fonctionne sans message d'erreur.

Le paquet geoclue-ubuntu-geoip est celui que l'on trouve dans Synaptic quand on cherche geoip (Je suis en 13.10 64 bits, noyau 3.11.0-12-generic).

Dernière modification par sinbad83 (Le 24/10/2013, à 09:59)

La connaissance n'est pas une denrée rare, il faut la partager avec les autres.
Linux registered #484707
Site: www.coursinforev.org/doku.php
Desktop AMD Ryzen 5-3600, RAM 16GB, Ubuntu 20.10,   HP Pavillon G6 Ubuntu 20.10 et Ten, Serveur Ubuntu 18.04

Hors ligne

#11 Le 24/10/2013, à 10:54

Pseudo supprimé

Re : Bannir une IP/Nom de domaine

solution:
sudo module-assistant --verbose --text-mode auto-install xtables-addons

Cela concerne les serveurs qui n'ont pas de support dkms; xtables-addons-dkms
et uniquement APRES un upgrade de kernel
---
bon appétit

Pages : 1