Pages : 1
#1 Le 23/04/2014, à 10:07
- creatiel
Activité suspecte
Mon serveur est lent par moment et surtout les logs-mails contiennent des centaines de lignes de ce genre :
(pour cette présentation ici , j'ai modifié l'IP de mon serveur)
Apr 22 22:59:24 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<clark>, method=PLAIN, rip=46.29.255.29, lip=69.8.1.30
Apr 22 22:59:25 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<clarissa>, method=PLAIN, rip=46.29.255.29, lip=69.8.1.30
Apr 22 22:59:25 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<client>, method=PLAIN, rip=46.29.255.29, lip=69.8.1.30
Apr 22 22:59:25 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<cindy>, method=PLAIN, rip=46.29.255.29, lip=69.8.1.30
Apr 22 22:59:25 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<chris>, method=PLAIN, rip=46.29.255.29, lip=69.8.1.30
Apr 22 22:59:25 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<clint>, method=PLAIN, rip=46.29.255.29, lip=69.8.1.30
Apr 22 22:59:28 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<connie>, method=PLAIN, rip=46.29.255.29, lip=69.8.1.30
Apr 22 22:59:30 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<clinton>, method=PLAIN, rip=46.29.255.29, lip=69.8.1.30
Apr 22 22:59:30 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<clarence>, method=PLAIN, rip=46.29.255.29, lip=69.8.1.30
Apr 22 22:59:30 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<christine>, method=PLAIN, rip=46.29.255.29, lip=69.8.1.30
Apr 22 22:59:30 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<christian>, method=PLAIN, rip=46.29.255.29, lip=69.8.1.30
Apr 22 22:59:30 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<coach>, method=PLAIN, rip=46.29.255.29, lip=69.8.1.30
Apr 22 22:59:30 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<complaints>, method=PLAIN, rip=46.29.255.29, lip=69.8.1.30
Apr 22 22:59:30 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<christina>, method=PLAIN, rip=46.29.255.29, lip=69.8.1.30
Apr 22 22:59:30 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<colin>, method=PLAIN, rip=46.29.255.29, lip=69.8.1.30
Apr 22 22:59:30 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<chuck>, method=PLAIN, rip=46.29.255.29, lip=69.8.1.30
Apr 22 22:59:30 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<christy>, method=PLAIN, rip=46.29.255.29, lip=69.8.1.30
Apr 22 22:59:30 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<clayton>, method=PLAIN, rip=46.29.255.29, lip=69.8.1.30
Apr 22 22:59:30 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<connor>, method=PLAIN, rip=46.29.255.29, lip=69.8.1.30
Apr 22 22:59:30 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<claudia>, method=PLAIN, rip=46.29.255.29, lip=69.8.1.30
Apr 22 22:59:33 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<claire>, method=PLAIN, rip=46.29.255.29, lip=69.8.1.30
Apr 22 22:59:33 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<christopher>, method=PLAIN, rip=46.29.255.29, lip=69.8.1.30Serait-ce la présence d'un script zombie sur mon serveur ?
Qu'en pensez-vous ?
Gilles
Dernière modification par creatiel (Le 23/04/2014, à 10:08)
Hors ligne
#2 Le 23/04/2014, à 10:26
- bruno
Re : Activité suspecte
Bonjour,
A priori ce n'est pas un problème sur le serveur. Il s'agit très probablement de « bots » (généralement machine sous windows vérolée) qui tentent des connexions par dictionnaire. Dans la mesure où les mots de passe de tes utilisateurs sont « solides » tu ne risque rien.
Si tu veux limiter le nombre de ces connexions tu peux utiliser fail2ban.
#3 Le 23/04/2014, à 10:45
- creatiel
Re : Activité suspecte
Merci Bruno de ta réponse,
Ok mais ça bouffe la BP et les ressources du serveur.
Dans l'urgence, comment puis-je interdire en dur l'adresse qui apparaît : rip=46.29.255.29
J'ai pensé à fail2ban ... ça marche bien ? Pas de faux-positifs ?
Depuis mon poste d'administrateur, je n'ai pas d'IP fixe (simple client Orange), je ne peux donc pas la mettre en exception, est-ce risqué ?
Merci de votre aide ...
Gilles
Hors ligne
#4 Le 23/04/2014, à 10:48
- creatiel
Re : Activité suspecte
sinon, j'utilise le panel ISPConfig ... Kelk1 sait-il comment coder une règle bad-ip dans le firewall d'ISPConfig ?
Hors ligne
#5 Le 23/04/2014, à 11:05
- tiramiseb
Re : Activité suspecte
Salut,
Ok mais ça bouffe la BP et les ressources du serveur.
Pour la BP, tu ne pourras pas y faire grand chose.
Pour les ressources du serveur, sauf si c'est une TI-82 ça ne devrait pas se ressentir...
Dans l'urgence, comment puis-je interdire en dur l'adresse qui apparaît : rip=46.29.255.29
sudo iptables -I INPUT -s 46.29.255.29 -j DROPsinon, j'utilise le panel ISPConfig
Beurk. Je n'en dirai pas plus 
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#6 Le 23/04/2014, à 11:23
- creatiel
Re : Activité suspecte
Merci tiramiseb,
comme l'IP est suédoise, je peux interdire toute la plage.
Puis-je faire ceci :
sudo iptables -I INPUT -s 46.29.255.0/255 -j DROPHors ligne
#7 Le 23/04/2014, à 11:40
- tiramiseb
Re : Activité suspecte
La plage correspondant à cette adresse IP, c'est 46.29.252.0/22. C'est un hébergeur de VPS qui s'appelle Webexxpurts.
Attention, après le / il faut un nombre entre 0 et 32, c'est le nombre de bits à masquer, une adresse IP faisant 32 bits.
Cela étant dit, dans la mesure où c'est un hébergeur, les adresses IP sont statiques, alors sauf si l'attaquant a plusieurs serveurs chez eux, c'est inutile de bloquer toute la plage.
Ce n'est pas un hébergeur, ce ne sont pas des machines "personnelles".
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#8 Le 23/04/2014, à 12:37
- creatiel
Re : Activité suspecte
Merci Seb, ton explication est parfaite !!
sinon ... fail2ban , à installer ou pas ?
Gilles
Hors ligne
#9 Le 23/04/2014, à 13:17
- Hoper
Re : Activité suspecte
Pour fail2ban, personnellement j'aurai plutôt tendance à conseiller son installation. C'est efficace et simple à paramétrer. Il faut juste être assez tolérant dans le paramétrage.
Par exemple, on ne bloque pas une IP après 3 tentatives de cnx ssh infructueuse (ça arrive à tout le monde de se planter plein de fois avant de voir que la touche verr num est pas activée comme il faut ou autre).
Donc tu laisse au moins 10 tentatives. Pareil avec le reste.
Ensuite, les IP qui sont bannies, inutile de les bannir 24 heures. Une heure ou deux, ça empêche déjà toute attaque par brute force. Et si tu te fais toi même bloquer à distance, tu sais que tu n'aura qu'une heure à attendre...
Il y a vraiment très peu de logiciel liés à la sécurité dont je recommande l'installation. Mais fail2ban fait clairement parti de ces exceptions.
Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org
Hors ligne
#10 Le 23/04/2014, à 14:11
- creatiel
Re : Activité suspecte
Ok Hoper,
La solution fail2ban semble donc intéressante avec des paramètres souples. Je vais voir ça ...
En tout cas, le blocage manuel de l'IP semble radical ... mon serveur a retrouvé toute sa vélocité !!
Merci ...
Hors ligne
#11 Le 23/04/2014, à 14:13
- Hoper
Re : Activité suspecte
N’oublie pas que la solution iptables, sauf si tu as ajouté cette commande dans un script spécifique, ne fonctionnera que jusqu'au prochain reboot
Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org
Hors ligne
Pages : 1