Hello
Plusieurs programmes existent pour aider à réduire le nombre d'attaques contre vos systèmes informatiques. Ces scripts sont conçus pour rechercher des attaquants de brute-force et pour les interdire automatiquement après un certain nombre de tentatives. Daemon Shield Daemon Shield http://sourceforge.net/projects/daemonshield/ est un petit script programmé en python qui surveille sans interruption un dossier de sgf (habituellement /var/log/messages) pour des tentatives d'ouverture (SSH y compris, ftp, et d'autres services). Le dossier de configuration indique la quantité d'heure d'attendre entre traiter le dossier de sgf pour des changements (un plus grand intervalle peut améliorer l'exécution), le nombre de tentatives acceptables au cours d'une période indiquée, et ce qui a à faire si on trouve une adresse qui viole cette politique. En général, le script a quelques bons dispositifs (tels que la capacité de bloquer une adresse pendant une période indiquée). Il emploie iptables pour manipuler les blocklists (qui, une fois combiné avec un Firewall type, donne aux administrateurs de bon contrôle de la sécurité de leurs réseaux ainsi que de leur système informatique). Je ne sais pas si cela fonctionne avec shorewall. Si jamais un petit lien http://news.dreamings.org/modules/newbb/viewtopic.php?topic_id=3&forum=4 Djo -----Message d'origine----- De : Charles Plessy [mailto:[EMAIL PROTECTED] Envoyé : mardi, 8. novembre 2005 00:23 À : [email protected] Objet : Re: Machine scanée, tentatice d'accès par ssh dénié et relay smtp refusé On Mon, Nov 07, 2005 at 05:31:21PM +0100, manioul wrote : > Par contre il peut etre intéressant de loguer/droper les paquets qui > viennent d'ip [de groupes d'ip] qui reviennent souvent; par ex: Bonjour à tous, ça fait quelques semaines que je blackliste avec shorewall les ips des machines déblatérant leur dictionnaire de mots de passe à mon serveur ssh, et j'ai configuré shorewall pour qu'il journalise les nouvelles tentatives de connexion. Dans l'immense majorité des cas, il n'y en a pas. J'ai l'impression de perdre mon temps, mais je vais continuer un tout petit peu, pour voir si ça pourrait valoir le coup de mettre tout un sous-réseau sur liste noire. À ce propos, n'y a-t-il pas de liste noire publique ? -- Charles -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] -- No virus found in this incoming message. Checked by AVG Free Edition. Version: 7.1.362 / Virus Database: 267.12.8/162 - Release Date: 05.11.2005 -- No virus found in this outgoing message. Checked by AVG Free Edition. Version: 7.1.362 / Virus Database: 267.12.8/162 - Release Date: 05.11.2005
