augmentation traffic malicieux WAS Re: [FRnOG] [TECH] blocklist.de
> J'ai constaté une grosse augmentation du trafic malicieux sur mes > honeypots depuis quelques jours. Je blackliste environ 2 à 3x plus > d'ip par jour qu'avant. > > Je n'ai pas analysé ça particulièrement, mais il ne semble pas y avoir > une origine géographique particulière. concernant cet aspect augmentation du traffic malicieux, que j ai aussi remarque, je voulai rajouter deux elements: * grosse augmentation des scans de ports * ce qui pourrait etre important, une enorme augmentation de requetes sur le robots.txt, et PAS par des robots d indexations, mais par des ips dynamiques, serveurs corrompus . . . pourquoi donc ? et si c etait lie avec : http://www.abondance.com/actualites/20160225-16197-google-a-modifie-son-mode-de-lecture-des-fichiers-robots-txt.html pourquoi ce changement ? pourquoi sans aucune annonce officielle et publique ? rajouter un / devant un * ? err ca pourrait pas etre un joli 0day derriere ? 2016-03-04 3:14 GMT-05:00 Pierre Emeriaud: >> Leur page http://www.blocklist.de/en/index.html confirme ce que je voyais en >> analysant le fichier http://lists.blocklist.de/lists/all.txt : entre >> mercredi 2 à environ 1000 PST (soit 1800 GMT) et maintenant jeudi 3 2200 PST >> (soit vendredi 4 0600 GMT) j'ai constaté que leur liste a grossi de ~25000 >> entrées à ~6 entrées. > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ -- Cordialement --- William Waisse http://waisse.org | http://neoskills.com | http://ww7.pe | https://careers.stackoverflow.com/neofutur "Computers are like air conditionners. They work better when you close windows." "You have enemies? Good. That means you've stood up for something in your life." "First they ignore you, then they laugh at you, then they fight you, then you win" --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] blocklist.de
> Pierre Emeriaud a écrit : > Non. Mais une contribution au CBBC pourrait être envisagée. > L'injection dans l'ibgp fait partie des choses sur la never-ending-todolist... Ah, tu as un élevage de yàkàs toi aussi ? En fait, l'injection dans iBGP n'est pas compliquée du tout avec ExaBGP. https://github.com/Exa-Networks/exabgp/wiki Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] blocklist.de
Le 5 mars 2016 à 19:51, Michel Pya écrit : >> Pierre Emeriaud a écrit : >> J'ai constaté une grosse augmentation du trafic malicieux sur mes honeypots >> depuis >> quelques jours. Je blackliste environ 2 à 3x plus d'ip par jour qu'avant. > > Combien, et est-ce que tu remontes ta blacklist vers quelqu'un qui consolide, > comme blocklist.de ou autres ? Non. Mais une contribution au CBBC pourrait être envisagée. L'injection dans l'ibgp fait partie des choses sur la never-ending-todolist... --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] blocklist.de
> Pierre Emeriaud a écrit : > J'ai constaté une grosse augmentation du trafic malicieux sur mes honeypots > depuis > quelques jours. Je blackliste environ 2 à 3x plus d'ip par jour qu'avant. Combien, et est-ce que tu remontes ta blacklist vers quelqu'un qui consolide, comme blocklist.de ou autres ? >> ay pierre a écrit : >> pourriez vous m'expliquer le principe de fail2ban? > neo future a écrit : > tu fais des regles pour bannir automatiquement une ip qui fait un truc mal > * bruteforsce ssh - drop > * scan de port abusif -> drop > * whatever you want to refuse -> drop Oui. En plus de çà, il y a 2 niveaux de consolidation au-dessus de çà : - Consolidation le fail2ban de multiples personnes pour en faire une blacklist, la plus importante en taille étant http://www.blocklist.de (77600 IP blockées dans http://lists.blocklist.de/lists/all.txt). D'autres listes consolident d'autres attaques. - Consolidation de multiples blacklists, http://arneill-py.sacramento.ca.us/cbbc/ (90900 préfixes bloqués dans le feed BGP). L'idée derrière la consolidation de fail2ban et autres sources : blacklister les préfixes qui t'attaquent toi c'est bien, blacklister les préfixes qui attaquent tes petits camarades c'est mieux. Pourquoi : un grand nombre de ces botnets vont changer de cible, donc quant au lieu d'attaquer quelqu'un d'autre ça devient ton tour, ils sont déjà bloqués. C'est difficile, et imparfait. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] blocklist.de
> Je n'ai pas analysé ça particulièrement, mais il ne semble pas y avoir > une origine géographique particulière. En fait, en regardant de plus près, le brésil semble ressortir pas mal. --- Liste de diffusion du FRnOG http://www.frnog.org/
[MISC] Re: [FRnOG] [TECH] blocklist.de
Le 4 mars 2016 à 09:34, ay pierrea écrit : > Salut a tous pourriez vous m'expliquer le principe de fail2ban? Google over SMTP. Pas mal, pas mal. Y'a une rfc à sortir là pour le mois prochain. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] blocklist.de
Le 04/03/2016 09:47, ay pierre a écrit : mais il faut serveur linux pour pouvoir crée les regle Si tu veux un HIDS multi-OS, regardes OSSEC. Tu peux appliquer des réponses actives : http://ossec.github.io/docs/manual/ar/index.html ça reste beaucoup plus outillé pour le monde Unix cela dit. A+ -- Jérôme BERTHIER --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] blocklist.de
Le 04/03/2016 09:47, ay pierre a écrit : > mais il faut serveur linux pour pouvoir crée les regle Ah oui : à ma connaissance, ça ne tourne que sous *nix --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] blocklist.de
mais il faut serveur linux pour pouvoir crée les regle Le 4 mars 2016 à 09:37, neo futura écrit : > 2016-03-04 3:34 GMT-05:00 ay pierre : >> Salut a tous pourriez vous m'expliquer le principe de fail2ban? > tu fais des regles pour bannir automatiquement une ip qui fait un truc mal > * bruteforsce ssh - drop > * scan de port abusif -> drop > * whatever you want to refuse -> drop > >> >> Le 4 mars 2016 à 09:14, Pierre Emeriaud a écrit : Leur page http://www.blocklist.de/en/index.html confirme ce que je voyais en analysant le fichier http://lists.blocklist.de/lists/all.txt : entre mercredi 2 à environ 1000 PST (soit 1800 GMT) et maintenant jeudi 3 2200 PST (soit vendredi 4 0600 GMT) j'ai constaté que leur liste a grossi de ~25000 entrées à ~6 entrées. >>> >>> J'ai constaté une grosse augmentation du trafic malicieux sur mes >>> honeypots depuis quelques jours. Je blackliste environ 2 à 3x plus >>> d'ip par jour qu'avant. >>> >>> Je n'ai pas analysé ça particulièrement, mais il ne semble pas y avoir >>> une origine géographique particulière. >>> >>> >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > > -- > Cordialement >--- > William Waisse > http://waisse.org | http://neoskills.com | http://ww7.pe | > https://careers.stackoverflow.com/neofutur > "Computers are like air conditionners. They work better when you close > windows." > "You have enemies? Good. That means you've stood up for something in your > life." > "First they ignore you, then they laugh at you, then they fight you, > then you win" --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] blocklist.de
Le 04/03/2016 09:37, neo futur a écrit : > 2016-03-04 3:34 GMT-05:00 ay pierre: >> Salut a tous pourriez vous m'expliquer le principe de fail2ban? > tu fais des regles pour bannir automatiquement une ip qui fait un truc mal > * bruteforsce ssh - drop > * scan de port abusif -> drop > * whatever you want to refuse -> drop C'est ça. Ça analyse tes logs pour déterminer le nombre de "fail" , et au bout d'un certain nombre, déterminé par la conf, ça crée une règle qui /drop/ les paquets provenant de cette ip pour un certain temps, déterminé par la conf également. le paramétrage se fait par /jail/, qui correspondent à un certain type d'attaque. C'est plutôt efficace. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] blocklist.de
2016-03-04 3:34 GMT-05:00 ay pierre: > Salut a tous pourriez vous m'expliquer le principe de fail2ban? tu fais des regles pour bannir automatiquement une ip qui fait un truc mal * bruteforsce ssh - drop * scan de port abusif -> drop * whatever you want to refuse -> drop > > Le 4 mars 2016 à 09:14, Pierre Emeriaud a écrit : >>> Leur page http://www.blocklist.de/en/index.html confirme ce que je voyais >>> en analysant le fichier http://lists.blocklist.de/lists/all.txt : entre >>> mercredi 2 à environ 1000 PST (soit 1800 GMT) et maintenant jeudi 3 2200 >>> PST (soit vendredi 4 0600 GMT) j'ai constaté que leur liste a grossi de >>> ~25000 entrées à ~6 entrées. >> >> J'ai constaté une grosse augmentation du trafic malicieux sur mes >> honeypots depuis quelques jours. Je blackliste environ 2 à 3x plus >> d'ip par jour qu'avant. >> >> Je n'ai pas analysé ça particulièrement, mais il ne semble pas y avoir >> une origine géographique particulière. >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ -- Cordialement --- William Waisse http://waisse.org | http://neoskills.com | http://ww7.pe | https://careers.stackoverflow.com/neofutur "Computers are like air conditionners. They work better when you close windows." "You have enemies? Good. That means you've stood up for something in your life." "First they ignore you, then they laugh at you, then they fight you, then you win" --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] blocklist.de
Salut a tous pourriez vous m'expliquer le principe de fail2ban? Le 4 mars 2016 à 09:14, Pierre Emeriauda écrit : >> Leur page http://www.blocklist.de/en/index.html confirme ce que je voyais en >> analysant le fichier http://lists.blocklist.de/lists/all.txt : entre >> mercredi 2 à environ 1000 PST (soit 1800 GMT) et maintenant jeudi 3 2200 PST >> (soit vendredi 4 0600 GMT) j'ai constaté que leur liste a grossi de ~25000 >> entrées à ~6 entrées. > > J'ai constaté une grosse augmentation du trafic malicieux sur mes > honeypots depuis quelques jours. Je blackliste environ 2 à 3x plus > d'ip par jour qu'avant. > > Je n'ai pas analysé ça particulièrement, mais il ne semble pas y avoir > une origine géographique particulière. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] blocklist.de
> Leur page http://www.blocklist.de/en/index.html confirme ce que je voyais en > analysant le fichier http://lists.blocklist.de/lists/all.txt : entre > mercredi 2 à environ 1000 PST (soit 1800 GMT) et maintenant jeudi 3 2200 PST > (soit vendredi 4 0600 GMT) j'ai constaté que leur liste a grossi de ~25000 > entrées à ~6 entrées. J'ai constaté une grosse augmentation du trafic malicieux sur mes honeypots depuis quelques jours. Je blackliste environ 2 à 3x plus d'ip par jour qu'avant. Je n'ai pas analysé ça particulièrement, mais il ne semble pas y avoir une origine géographique particulière. --- Liste de diffusion du FRnOG http://www.frnog.org/