subject:"Re\: \[FRnOG\] \[TECH\] blocklist.de"

augmentation traffic malicieux WAS Re: [FRnOG] [TECH] blocklist.de

2016-03-06 Par sujet neo futur

> J'ai constaté une grosse augmentation du trafic malicieux sur mes
> honeypots depuis quelques jours. Je blackliste environ 2 à 3x plus
> d'ip par jour qu'avant.
>
> Je n'ai pas analysé ça particulièrement, mais il ne semble pas y avoir
> une origine géographique particulière.

concernant cet aspect augmentation du traffic malicieux, que j ai
aussi remarque, je voulai rajouter deux elements:

* grosse augmentation des scans de ports
* ce qui pourrait etre important, une enorme augmentation de requetes
sur le robots.txt, et PAS par des robots d indexations, mais par des
ips dynamiques, serveurs corrompus . . . pourquoi donc ? et si c etait
lie avec :

http://www.abondance.com/actualites/20160225-16197-google-a-modifie-son-mode-de-lecture-des-fichiers-robots-txt.html

pourquoi ce changement ? pourquoi sans aucune annonce officielle et publique ?
rajouter un / devant un * ? err ca pourrait pas etre un joli 0day derriere ?




2016-03-04 3:14 GMT-05:00 Pierre Emeriaud :
>> Leur page http://www.blocklist.de/en/index.html confirme ce que je voyais en 
>> analysant le fichier  http://lists.blocklist.de/lists/all.txt : entre 
>> mercredi 2 à environ 1000 PST (soit 1800 GMT) et maintenant jeudi 3 2200 PST 
>> (soit vendredi 4 0600 GMT) j'ai constaté que leur liste a grossi de ~25000 
>> entrées à ~6 entrées.
>

>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



-- 
Cordialement
   ---
 William Waisse
  http://waisse.org | http://neoskills.com | http://ww7.pe |
https://careers.stackoverflow.com/neofutur
"Computers are like air conditionners. They work better when you close windows."
"You have enemies? Good. That means you've stood up for something in your life."
"First they ignore you, then they laugh at you, then they fight you,
then you win"


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] blocklist.de

2016-03-05 Par sujet Michel Py

> Pierre Emeriaud a écrit :
> Non. Mais une contribution au CBBC pourrait être envisagée.
> L'injection dans l'ibgp fait partie des choses sur la never-ending-todolist...

Ah, tu as un élevage de yàkàs toi aussi ?

En fait, l'injection dans iBGP n'est pas compliquée du tout avec ExaBGP.
https://github.com/Exa-Networks/exabgp/wiki

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] blocklist.de

2016-03-05 Par sujet Pierre Emeriaud

Le 5 mars 2016 à 19:51, Michel Py  a écrit :
>> Pierre Emeriaud a écrit :
>> J'ai constaté une grosse augmentation du trafic malicieux sur mes honeypots 
>> depuis
>> quelques jours. Je blackliste environ 2 à 3x plus d'ip par jour qu'avant.
>
> Combien, et est-ce que tu remontes ta blacklist vers quelqu'un qui consolide, 
> comme blocklist.de ou autres ?

Non. Mais une contribution au CBBC pourrait être envisagée.

L'injection dans l'ibgp fait partie des choses sur la never-ending-todolist...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] blocklist.de

2016-03-05 Par sujet Michel Py

> Pierre Emeriaud a écrit :
> J'ai constaté une grosse augmentation du trafic malicieux sur mes honeypots 
> depuis
> quelques jours. Je blackliste environ 2 à 3x plus d'ip par jour qu'avant.

Combien, et est-ce que tu remontes ta blacklist vers quelqu'un qui consolide, 
comme blocklist.de ou autres ?


>> ay pierre a écrit :
>> pourriez vous m'expliquer le principe de fail2ban?
> neo future a écrit :
> tu fais des regles pour bannir automatiquement une ip qui fait un truc mal
> * bruteforsce ssh - drop
> * scan de port abusif -> drop
> * whatever you want to refuse -> drop

Oui.

En plus de çà, il y a 2 niveaux de consolidation au-dessus de çà :

- Consolidation le fail2ban de multiples personnes pour en faire une blacklist, 
la plus importante en taille étant
http://www.blocklist.de (77600 IP blockées dans 
http://lists.blocklist.de/lists/all.txt). D'autres listes consolident d'autres 
attaques.

- Consolidation de multiples blacklists, 
http://arneill-py.sacramento.ca.us/cbbc/ (90900 préfixes bloqués dans le feed 
BGP).

L'idée derrière la consolidation de fail2ban et autres sources : blacklister 
les préfixes qui t'attaquent toi c'est bien, blacklister les préfixes qui 
attaquent tes petits camarades c'est mieux. Pourquoi : un grand nombre de ces 
botnets vont changer de cible, donc quant au lieu d'attaquer quelqu'un d'autre 
ça devient ton tour, ils sont déjà bloqués. C'est difficile, et imparfait.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] blocklist.de

2016-03-04 Par sujet Pierre Emeriaud

> Je n'ai pas analysé ça particulièrement, mais il ne semble pas y avoir
> une origine géographique particulière.

En fait, en regardant de plus près, le brésil semble ressortir pas mal.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[MISC] Re: [FRnOG] [TECH] blocklist.de

2016-03-04 Par sujet Pierre Emeriaud

Le 4 mars 2016 à 09:34, ay pierre  a écrit :
> Salut a tous pourriez vous m'expliquer le principe de fail2ban?

Google over SMTP. Pas mal, pas mal. Y'a une rfc à sortir là pour le
mois prochain.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] blocklist.de

2016-03-04 Par sujet Jérôme BERTHIER


Le 04/03/2016 09:47, ay pierre a écrit :

mais il faut  serveur linux pour pouvoir crée les regle

Si tu veux un HIDS multi-OS, regardes OSSEC.

Tu peux appliquer des réponses actives :
http://ossec.github.io/docs/manual/ar/index.html

ça reste beaucoup plus outillé pour le monde Unix cela dit.

A+

--
Jérôme BERTHIER


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] blocklist.de

2016-03-04 Par sujet Laurent

Le 04/03/2016 09:47, ay pierre a écrit :
> mais il faut  serveur linux pour pouvoir crée les regle

Ah oui : à ma connaissance, ça ne tourne que sous *nix


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] blocklist.de

2016-03-04 Par sujet ay pierre

mais il faut  serveur linux pour pouvoir crée les regle

Le 4 mars 2016 à 09:37, neo futur  a écrit :
> 2016-03-04 3:34 GMT-05:00 ay pierre :
>> Salut a tous pourriez vous m'expliquer le principe de fail2ban?
> tu fais des regles pour bannir automatiquement une ip qui fait un truc mal
> * bruteforsce ssh - drop
> * scan de port abusif -> drop
> * whatever you want to refuse -> drop
>
>>
>> Le 4 mars 2016 à 09:14, Pierre Emeriaud  a écrit :
 Leur page http://www.blocklist.de/en/index.html confirme ce que je voyais 
 en analysant le fichier  http://lists.blocklist.de/lists/all.txt : entre 
 mercredi 2 à environ 1000 PST (soit 1800 GMT) et maintenant jeudi 3 2200 
 PST (soit vendredi 4 0600 GMT) j'ai constaté que leur liste a grossi de 
 ~25000 entrées à ~6 entrées.
>>>
>>> J'ai constaté une grosse augmentation du trafic malicieux sur mes
>>> honeypots depuis quelques jours. Je blackliste environ 2 à 3x plus
>>> d'ip par jour qu'avant.
>>>
>>> Je n'ai pas analysé ça particulièrement, mais il ne semble pas y avoir
>>> une origine géographique particulière.
>>>
>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
>
>
> --
> Cordialement
>---
>  William Waisse
>   http://waisse.org | http://neoskills.com | http://ww7.pe |
> https://careers.stackoverflow.com/neofutur
> "Computers are like air conditionners. They work better when you close 
> windows."
> "You have enemies? Good. That means you've stood up for something in your 
> life."
> "First they ignore you, then they laugh at you, then they fight you,
> then you win"


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] blocklist.de

2016-03-04 Par sujet Laurent

Le 04/03/2016 09:37, neo futur a écrit :
> 2016-03-04 3:34 GMT-05:00 ay pierre :
>> Salut a tous pourriez vous m'expliquer le principe de fail2ban?
> tu fais des regles pour bannir automatiquement une ip qui fait un truc mal
> * bruteforsce ssh - drop
> * scan de port abusif -> drop
> * whatever you want to refuse -> drop

C'est ça.
Ça analyse tes logs pour déterminer le nombre de "fail" , et au bout
d'un certain nombre, déterminé par la conf, ça crée une règle qui /drop/
les paquets provenant de cette ip pour un certain temps, déterminé par
la conf également.
le paramétrage se fait par /jail/, qui correspondent à un certain type
d'attaque.
C'est plutôt efficace.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] blocklist.de

2016-03-04 Par sujet neo futur

2016-03-04 3:34 GMT-05:00 ay pierre :
> Salut a tous pourriez vous m'expliquer le principe de fail2ban?
tu fais des regles pour bannir automatiquement une ip qui fait un truc mal
* bruteforsce ssh - drop
* scan de port abusif -> drop
* whatever you want to refuse -> drop

>
> Le 4 mars 2016 à 09:14, Pierre Emeriaud  a écrit :
>>> Leur page http://www.blocklist.de/en/index.html confirme ce que je voyais 
>>> en analysant le fichier  http://lists.blocklist.de/lists/all.txt : entre 
>>> mercredi 2 à environ 1000 PST (soit 1800 GMT) et maintenant jeudi 3 2200 
>>> PST (soit vendredi 4 0600 GMT) j'ai constaté que leur liste a grossi de 
>>> ~25000 entrées à ~6 entrées.
>>
>> J'ai constaté une grosse augmentation du trafic malicieux sur mes
>> honeypots depuis quelques jours. Je blackliste environ 2 à 3x plus
>> d'ip par jour qu'avant.
>>
>> Je n'ai pas analysé ça particulièrement, mais il ne semble pas y avoir
>> une origine géographique particulière.
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



-- 
Cordialement
   ---
 William Waisse
  http://waisse.org | http://neoskills.com | http://ww7.pe |
https://careers.stackoverflow.com/neofutur
"Computers are like air conditionners. They work better when you close windows."
"You have enemies? Good. That means you've stood up for something in your life."
"First they ignore you, then they laugh at you, then they fight you,
then you win"


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] blocklist.de

2016-03-04 Par sujet ay pierre

Salut a tous pourriez vous m'expliquer le principe de fail2ban?

Le 4 mars 2016 à 09:14, Pierre Emeriaud  a écrit :
>> Leur page http://www.blocklist.de/en/index.html confirme ce que je voyais en 
>> analysant le fichier  http://lists.blocklist.de/lists/all.txt : entre 
>> mercredi 2 à environ 1000 PST (soit 1800 GMT) et maintenant jeudi 3 2200 PST 
>> (soit vendredi 4 0600 GMT) j'ai constaté que leur liste a grossi de ~25000 
>> entrées à ~6 entrées.
>
> J'ai constaté une grosse augmentation du trafic malicieux sur mes
> honeypots depuis quelques jours. Je blackliste environ 2 à 3x plus
> d'ip par jour qu'avant.
>
> Je n'ai pas analysé ça particulièrement, mais il ne semble pas y avoir
> une origine géographique particulière.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] blocklist.de

2016-03-04 Par sujet Pierre Emeriaud

> Leur page http://www.blocklist.de/en/index.html confirme ce que je voyais en 
> analysant le fichier  http://lists.blocklist.de/lists/all.txt : entre 
> mercredi 2 à environ 1000 PST (soit 1800 GMT) et maintenant jeudi 3 2200 PST 
> (soit vendredi 4 0600 GMT) j'ai constaté que leur liste a grossi de ~25000 
> entrées à ~6 entrées.

J'ai constaté une grosse augmentation du trafic malicieux sur mes
honeypots depuis quelques jours. Je blackliste environ 2 à 3x plus
d'ip par jour qu'avant.

Je n'ai pas analysé ça particulièrement, mais il ne semble pas y avoir
une origine géographique particulière.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

augmentation traffic malicieux WAS Re: [FRnOG] [TECH] blocklist.de

RE: [FRnOG] [TECH] blocklist.de

Re: [FRnOG] [TECH] blocklist.de

RE: [FRnOG] [TECH] blocklist.de

Re: [FRnOG] [TECH] blocklist.de

[MISC] Re: [FRnOG] [TECH] blocklist.de

Re: [FRnOG] [TECH] blocklist.de

Re: [FRnOG] [TECH] blocklist.de

Re: [FRnOG] [TECH] blocklist.de

Re: [FRnOG] [TECH] blocklist.de

Re: [FRnOG] [TECH] blocklist.de

Re: [FRnOG] [TECH] blocklist.de

Re: [FRnOG] [TECH] blocklist.de

13 matches

Site Navigation

Mail list logo

Footer information