Re: [HS][up!] fail2ban
Le 18/02/2015 00:11, Philippe Gras a écrit : Bon, alors j'ai trouvé : http://serverfault.com/questions/448779/have-fail2ban-send-notification-to-banned-party Et comme bien souvent le 'banned-party' n'accepte pas les e-mails le MTA de ta machine se retrouve pendant 5 jours à essayer d'envoyer. Peut etre une FBI :( Je ne pense pas que ça fonctionne sous les tropiques, mais dans les pays civilisés peut- être que oui. Tu peux préciser ta pensée sur cette dichotomie ? J. -- GnuPg : C8F5B1E3 WeUsePGP Because privacy matters http://weusepgp.info/ -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/54e45ae1.9070...@lavignotte.org
Re: [HS][up!] fail2ban
Le 18 févr. 15 à 10:26, Jacques Lav!gnotte. a écrit : Le 18/02/2015 00:11, Philippe Gras a écrit : Bon, alors j'ai trouvé : http://serverfault.com/questions/448779/have-fail2ban-send- notification-to-banned-party Et comme bien souvent le 'banned-party' n'accepte pas les e-mails le MTA de ta machine se retrouve pendant 5 jours à essayer d'envoyer. Ça m'est arrivé 1 fois en Chine effectivement, et ce n'était pas un mail automatique. Peut etre une FBI :( Je ne pense pas que ça fonctionne sous les tropiques, mais dans les pays civilisés peut- être que oui. Tu peux préciser ta pensée sur cette dichotomie ? C'est nécessaire ? J. -- GnuPg : C8F5B1E3 WeUsePGP Because privacy matters http:// weusepgp.info/ -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/54e45ae1.9070...@lavignotte.org -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/91bb8245-473e-4cf0-af41-bb0857eea...@worldonline.fr
Re: [HS][up!] fail2ban
Le 3 févr. 15 à 20:04, Laurent Lesage a écrit : La dernière version que j'ai installée (0.8.14) utilise le REJECT. J'ai des sites en 0.8.4 où c'était encore DROP. Donc, l'évolution va dans le sens de ce post. On 03/02/15 12:01, Philippe Gras wrote: Le 3 févr. 15 à 08:37, BERTRAND Joël a écrit : J'ai vu aussi qu'il existait un système pour formuler une réclamation au registrar : https://github.com/sergejmueller/fail2ban/blob/master/action.d/ complain.conf Le fichier existe aussi dans ma version de fail2ban. Si quelqu'un connaît la procédure pour le faire fonctionner… Bon, alors j'ai trouvé : http://serverfault.com/questions/448779/have-fail2ban-send- notification-to-banned-party Il suffit d'ajouter une ligne à action dans les jails de jail.local :-) Je ne pense pas que ça fonctionne sous les tropiques, mais dans les pays civilisés peut- être que oui. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/54d07ad5.6080...@systella.fr -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/54d11bb1.6060...@2lconsult.be
Re: [HS][up!] fail2ban
On 2015-02-17 13:11:11 +0100, Philippe Gras wrote: Le 17 févr. 15 à 12:59, Vincent Lefevre a écrit : On 2015-02-16 16:04:23 +0100, Philippe Gras wrote: Le 16 févr. 15 à 15:09, Vincent Lefevre a écrit : En même temps, cela permet de repérer les adresses IP en question. Ouais, mais qu'est-ce que tu veux prendre comme mesures avec des IP situées en Russie ou en Chine ? C'est comme si elles étaient sur la planète Mars ! Je les bannis de manière permanente (en fait, le sous-réseau entier). Tu veux dire toute la plage ? Avec un paramètre de géolocalisation ? Toute la plage (en général), pas de géolocalisation: je remarque qu'il y a plusieurs adresses IP bannies similaires (même préfixe) qui reviennent, puis je fais un whois sur l'une d'elle, ce qui me donne un sous-réseau, je m'aperçois que ces adresses appartiennent toutes à ce sous-réseau, et je bannis de manière permanente. Sinon, j'ai trouvé un truc marrant hier soir : http://www.wikigento.com/securite/tarpit-iptables-les-armes-fatales-anti-ddos/ Donc si je comprends bien, au lieu de faire un DROP ou un REJECT avec fail2ban, on pourrait appliquer un Tarpit? -- Vincent Lefèvre vinc...@vinc17.net - Web: https://www.vinc17.net/ 100% accessible validated (X)HTML - Blog: https://www.vinc17.net/blog/ Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20150217142253.gc4...@xvii.vinc17.org
Re: [HS][up!] fail2ban
Le 17 févr. 15 à 15:22, Vincent Lefevre a écrit : On 2015-02-17 13:11:11 +0100, Philippe Gras wrote: Le 17 févr. 15 à 12:59, Vincent Lefevre a écrit : On 2015-02-16 16:04:23 +0100, Philippe Gras wrote: Le 16 févr. 15 à 15:09, Vincent Lefevre a écrit : En même temps, cela permet de repérer les adresses IP en question. Ouais, mais qu'est-ce que tu veux prendre comme mesures avec des IP situées en Russie ou en Chine ? C'est comme si elles étaient sur la planète Mars ! Je les bannis de manière permanente (en fait, le sous-réseau entier). Tu veux dire toute la plage ? Avec un paramètre de géolocalisation ? Toute la plage (en général), pas de géolocalisation: je remarque qu'il y a plusieurs adresses IP bannies similaires (même préfixe) qui reviennent, puis je fais un whois sur l'une d'elle, ce qui me donne un sous-réseau, je m'aperçois que ces adresses appartiennent toutes à ce sous-réseau, et je bannis de manière permanente. OK. Je faisais ça avant d'avoir installé fail2ban. Trop de maintenance à mon goût :-) Sinon, j'ai trouvé un truc marrant hier soir : http://www.wikigento.com/securite/tarpit-iptables-les-armes- fatales-anti-ddos/ Donc si je comprends bien, au lieu de faire un DROP ou un REJECT avec fail2ban, on pourrait appliquer un Tarpit? Oui, mais j'ai l'impression qu'il s'agit d'une instruction hétérodoxe, à installer chez soi. -- Vincent Lefèvre vinc...@vinc17.net - Web: https://www.vinc17.net/ 100% accessible validated (X)HTML - Blog: https://www.vinc17.net/ blog/ Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/ 20150217142253.gc4...@xvii.vinc17.org -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/84bcfb80-3bd4-4d7b-b3ed-220db1fb2...@worldonline.fr
Re: [HS][up!] fail2ban
On 2015-02-17 15:22:54 +0100, Vincent Lefevre wrote: On 2015-02-17 13:11:11 +0100, Philippe Gras wrote: Sinon, j'ai trouvé un truc marrant hier soir : http://www.wikigento.com/securite/tarpit-iptables-les-armes-fatales-anti-ddos/ Donc si je comprends bien, au lieu de faire un DROP ou un REJECT avec fail2ban, on pourrait appliquer un Tarpit? À ce propos, avec Google, j'ai trouvé ça: http://blog.nicolargo.com/2012/03/bannir-les-bannis-avec-fail2ban.html En bonus, nous allons également voir comment pourrir la bande passante de la machine effectuant l'attaque en utilisant la règle de drop de type tarpitting de IpTable. -- Vincent Lefèvre vinc...@vinc17.net - Web: https://www.vinc17.net/ 100% accessible validated (X)HTML - Blog: https://www.vinc17.net/blog/ Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20150217142551.gd4...@xvii.vinc17.org
Re: [HS][up!] fail2ban
On 2015-02-16 16:04:23 +0100, Philippe Gras wrote: Le 16 févr. 15 à 15:09, Vincent Lefevre a écrit : En même temps, cela permet de repérer les adresses IP en question. Ouais, mais qu'est-ce que tu veux prendre comme mesures avec des IP situées en Russie ou en Chine ? C'est comme si elles étaient sur la planète Mars ! Je les bannis de manière permanente (en fait, le sous-réseau entier). -- Vincent Lefèvre vinc...@vinc17.net - Web: https://www.vinc17.net/ 100% accessible validated (X)HTML - Blog: https://www.vinc17.net/blog/ Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20150217115959.ga4...@xvii.vinc17.org
Re: [HS][up!] fail2ban
Bonjour, Le mardi 17 février 2015, Philippe Gras a écrit... Donc si je comprends bien, au lieu de faire un DROP ou un REJECT avec fail2ban, on pourrait appliquer un Tarpit? Oui, mais j'ai l'impression qu'il s'agit d'une instruction hétérodoxe, à installer chez soi. Ce n'est pas vraiment compliqué. Installer xtables-addons-common et xtables-addons-dkms qui s'occupera de tout. Puis TARPIT'er les méchants ! Tu peux en parallèle utiliser les fonctionnalités d'ipset et de ses listes pour faire des blacklist (ou whitelist) plus ou moins dynamiques. C'est très efficace. Fail2ban, ou un autre hids (comme Ossec) peut remplir les listes et iptables s'occuper du reste, ce qui concentre la riposte en un seul point. -- jm -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20150217212838.GD2850@espinasse
Re: [HS][up!] fail2ban
Le 17 févr. 15 à 12:59, Vincent Lefevre a écrit : On 2015-02-16 16:04:23 +0100, Philippe Gras wrote: Le 16 févr. 15 à 15:09, Vincent Lefevre a écrit : En même temps, cela permet de repérer les adresses IP en question. Ouais, mais qu'est-ce que tu veux prendre comme mesures avec des IP situées en Russie ou en Chine ? C'est comme si elles étaient sur la planète Mars ! Je les bannis de manière permanente (en fait, le sous-réseau entier). Tu veux dire toute la plage ? Avec un paramètre de géolocalisation ? Sinon, j'ai trouvé un truc marrant hier soir : http://www.wikigento.com/securite/tarpit-iptables-les-armes-fatales- anti-ddos/ Je ne sais pas si c'est de série dans Iptables. -- Vincent Lefèvre vinc...@vinc17.net - Web: https://www.vinc17.net/ 100% accessible validated (X)HTML - Blog: https://www.vinc17.net/ blog/ Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/ 20150217115959.ga4...@xvii.vinc17.org -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/84d5904b-83cc-48ea-988e-6287ac90e...@worldonline.fr
Re: [HS][up!] fail2ban
On 2015-02-16 14:38:47 +0100, Philippe Gras wrote: Le 16 févr. 15 à 14:18, Vincent Lefevre a écrit : D'un autre côté, faire un DROP embête plus l'attaquant, qui va perdre son temps à faire des requêtes qui n'aboutiront pas. Mais... Non, le DROP n'embête pas plus l'attaquant que ça. Tu loues un VPN à la journée, la semaine ou au mois et t'as un abonnement identique pour X, Y ou Z Ko de trafic, dans une certaine limite évidemment. Ce n'est pas le trafic qui est important ici. Quand on fait un DROP, le ssh qui a été lancé reste actif sur la machine cliente pendant un certain temps, alors qu'avec un REJECT, le ssh termine immédiatement. Donc avec des DROP, l'attaquant peut donc faire moins de tentatives s'il passe son temps à tomber sur des DROP (même s'il fait des ssh en parallèle, le parallélisme a ses limites). [...] Le fait d'avoir changé le DROP en REJECT m'a permis d'en décourager beaucoup, en seulement quelques jours. Je suis en train de généraliser l'option sur tous mes filtres. Avec le DROP quand tu lèves le ban, tu vois les mêmes IP réapparaître. On a vraiment l'impression que les mecs ne récupèrent pas les données de leurs bots, c'est n'importe quoi ! En même temps, cela permet de repérer les adresses IP en question. -- Vincent Lefèvre vinc...@vinc17.net - Web: https://www.vinc17.net/ 100% accessible validated (X)HTML - Blog: https://www.vinc17.net/blog/ Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20150216140954.ga27...@xvii.vinc17.org
Re: [HS][up!] fail2ban
On 2015-02-15 12:22:34 +0100, Philippe Gras wrote: Le 15 févr. 15 à 12:08, BERTRAND Joël a écrit : Philippe Gras a écrit : Le 14 févr. 15 à 20:50, BERTRAND Joël a écrit : Philippe Gras a écrit : OKAAAYY ! Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit : Philippe Gras a écrit : Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas très bien compris la façon dont ça se passe et pourquoi ça décourage l'attaquant. Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si le port est ouvert (et saturé) ou fermé, ou s'il y a même une machine sur cette adresse. Il réessaye jusqu'à ce que quelqu'un lui réponde. Avec un REJECT, tu dis immédiatement merdre à l'attaquant et il passe à autre chose. Cela fonctionne pour l'instant parce que les réseaux zombie veulent passer inaperçus. Donc si une machine est un peu protégée, ils passent à une autre. Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu… repasseras ;-) La boîte noire n'est jamais une solution quand on parle de sécurité. La boîte noire ? Que veux-tu dire par-là ? Que faire croire qu'il n'y a aucune machine qui répond sur cette adresse IP n'est pas la solution. Rejeter le paquet signifie j'ai bien vu ta tentative et je t'emmerde. D'un autre côté, faire un DROP embête plus l'attaquant, qui va perdre son temps à faire des requêtes qui n'aboutiront pas. Mais... Oui, tu as 1.000.000 fois raison ! Il y a un module pour envoyer des réclamations abuse dans fail2ban. J'aimerais bien l'activer aussi, mais je n'ai pas trouvé comment faire. un abuse serait peut-être mieux. Ceci dit, je ne sais pas si les principaux FAI concernés (en général chinois) prendraient des mesures. Pour info, j'ai ceci dans mon /etc/hosts.deny: # Permanent SSH ban due to many attempts (according to fail2ban) # CHINANET-ZJ-HU (CN) sshd: 61.174.48.0/21 # HEETHAI-HK (CN) sshd: 103.41.124.0/24 # CHINANET-ZJ-SX (CN) sshd: 115.231.216.0/21 # CHINANET-ZJ-HU (CN) sshd: 122.225.96.0/19 # CHINANET-JS (CN) sshd: 218.2.0.0/16 # UNICOM-JL (CN) sshd: 222.160.0.0/14 Quand elles aboutissent chez des gens sérieux perchant dans des pays sérieux, l'effet rafraîchissant est garanti. Je reçois plein de pourriels de chez OVH en ce moment, et je sais qu'en les dénonçant, ils vont cesser leur petit jeu débile. Les mecs ont déjà usé 3 IP pour me faire ch… et je suppose qu'ils en ont d'autres. Si je J'ai déjà blacklisté plus de 500 adresses IP de chez OVH (toutes provenant de sous-réseaux propageant le même modèle de spam: quand j'en vois un, je me dis que ça vient de chez OVH, et effectivement). pouvais leur faire suspendre leur abonnement, ça me ferait bien plaisir :-). Ce n'est pas ça qui va gêner les spammeurs. Tant qu'il n'y a pas de grosse conséquence financière... -- Vincent Lefèvre vinc...@vinc17.net - Web: https://www.vinc17.net/ 100% accessible validated (X)HTML - Blog: https://www.vinc17.net/blog/ Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20150216131856.ga17...@xvii.vinc17.org
Re: [HS][up!] fail2ban
Le 16 févr. 15 à 14:18, Vincent Lefevre a écrit : On 2015-02-15 12:22:34 +0100, Philippe Gras wrote: Le 15 févr. 15 à 12:08, BERTRAND Joël a écrit : Philippe Gras a écrit : Le 14 févr. 15 à 20:50, BERTRAND Joël a écrit : Philippe Gras a écrit : OKAAAYY ! Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit : Philippe Gras a écrit : Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas très bien compris la façon dont ça se passe et pourquoi ça décourage l'attaquant. Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si le port est ouvert (et saturé) ou fermé, ou s'il y a même une machine sur cette adresse. Il réessaye jusqu'à ce que quelqu'un lui réponde. Avec un REJECT, tu dis immédiatement merdre à l'attaquant et il passe à autre chose. Cela fonctionne pour l'instant parce que les réseaux zombie veulent passer inaperçus. Donc si une machine est un peu protégée, ils passent à une autre. Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu… repasseras ;-) La boîte noire n'est jamais une solution quand on parle de sécurité. La boîte noire ? Que veux-tu dire par-là ? Que faire croire qu'il n'y a aucune machine qui répond sur cette adresse IP n'est pas la solution. Rejeter le paquet signifie j'ai bien vu ta tentative et je t'emmerde. D'un autre côté, faire un DROP embête plus l'attaquant, qui va perdre son temps à faire des requêtes qui n'aboutiront pas. Mais... Non, le DROP n'embête pas plus l'attaquant que ça. Tu loues un VPN à la journée, la semaine ou au mois et t'as un abonnement identique pour X, Y ou Z Ko de trafic, dans une certaine limite évidemment. Le plus galère dans la sécurité, ce n'est pas le plus dangereux. On a en effet 2 types d'attaquants : Les script kiddies, qui te bouffent un max de ressources, mais ne te font pas réellement de dégâts. Les vrais pirates, qui savent infiltrer un serveur incognito. Il faut bien se dire que fail2ban te permet de bloquer les premiers, et de sauver ainsi énormément de ressources. Pour les autres… Le fait d'avoir changé le DROP en REJECT m'a permis d'en décourager beaucoup, en seulement quelques jours. Je suis en train de généraliser l'option sur tous mes filtres. Avec le DROP quand tu lèves le ban, tu vois les mêmes IP réapparaître. On a vraiment l'impression que les mecs ne récupèrent pas les données de leurs bots, c'est n'importe quoi ! Oui, tu as 1.000.000 fois raison ! Il y a un module pour envoyer des réclamations abuse dans fail2ban. J'aimerais bien l'activer aussi, mais je n'ai pas trouvé comment faire. un abuse serait peut-être mieux. Ceci dit, je ne sais pas si les principaux FAI concernés (en général chinois) prendraient des mesures. Pour info, j'ai ceci dans mon /etc/hosts.deny: # Permanent SSH ban due to many attempts (according to fail2ban) # CHINANET-ZJ-HU (CN) sshd: 61.174.48.0/21 # HEETHAI-HK (CN) sshd: 103.41.124.0/24 # CHINANET-ZJ-SX (CN) sshd: 115.231.216.0/21 # CHINANET-ZJ-HU (CN) sshd: 122.225.96.0/19 # CHINANET-JS (CN) sshd: 218.2.0.0/16 # UNICOM-JL (CN) sshd: 222.160.0.0/14 Quand elles aboutissent chez des gens sérieux perchant dans des pays sérieux, l'effet rafraîchissant est garanti. Je reçois plein de pourriels de chez OVH en ce moment, et je sais qu'en les dénonçant, ils vont cesser leur petit jeu débile. Les mecs ont déjà usé 3 IP pour me faire ch… et je suppose qu'ils en ont d'autres. Si je J'ai déjà blacklisté plus de 500 adresses IP de chez OVH (toutes provenant de sous-réseaux propageant le même modèle de spam: quand j'en vois un, je me dis que ça vient de chez OVH, et effectivement). pouvais leur faire suspendre leur abonnement, ça me ferait bien plaisir :-). Ce n'est pas ça qui va gêner les spammeurs. Tant qu'il n'y a pas de grosse conséquence financière... -- Vincent Lefèvre vinc...@vinc17.net - Web: https://www.vinc17.net/ 100% accessible validated (X)HTML - Blog: https://www.vinc17.net/ blog/ Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/ 20150216131856.ga17...@xvii.vinc17.org -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/7fb7b0b6-d9d1-44a0-aa71-a5b2449cc...@worldonline.fr
Re: [HS][up!] fail2ban
Le 16 févr. 15 à 15:09, Vincent Lefevre a écrit : On 2015-02-16 14:38:47 +0100, Philippe Gras wrote: Le 16 févr. 15 à 14:18, Vincent Lefevre a écrit : D'un autre côté, faire un DROP embête plus l'attaquant, qui va perdre son temps à faire des requêtes qui n'aboutiront pas. Mais... Non, le DROP n'embête pas plus l'attaquant que ça. Tu loues un VPN à la journée, la semaine ou au mois et t'as un abonnement identique pour X, Y ou Z Ko de trafic, dans une certaine limite évidemment. Ce n'est pas le trafic qui est important ici. Quand on fait un DROP, le ssh qui a été lancé reste actif sur la machine cliente pendant un certain temps, alors qu'avec un REJECT, le ssh termine immédiatement. Donc avec des DROP, l'attaquant peut donc faire moins de tentatives s'il passe son temps à tomber sur des DROP (même s'il fait des ssh en parallèle, le parallélisme a ses limites). C'est vrai dans le principe, mais dans la pratique ça revient au même… Avec la différence que ce dialogue établi entre le serveur et le bot semble avoir un effet sur la persistance des attaques. Le problème avec cette assertion, c'est qu'il faudrait installer un robot sur son serveur pour se spammer soi-même afin de vérifier l'efficacité du DROP et du REJECT, ça représente une charge de travail que je n'ai pas envie d'assumer. Je suppose que les bots sont livrés à l'origine de telle façon qu'ils s'arrêtent au moment où ils reçoivent un message ICMP. Ça me semble cohérent… mais je ne peux pas le certifier ! Toujours est-il que j'observe de meilleurs résultats avec le REJECT ! [...] Le fait d'avoir changé le DROP en REJECT m'a permis d'en décourager beaucoup, en seulement quelques jours. Je suis en train de généraliser l'option sur tous mes filtres. Avec le DROP quand tu lèves le ban, tu vois les mêmes IP réapparaître. On a vraiment l'impression que les mecs ne récupèrent pas les données de leurs bots, c'est n'importe quoi ! En même temps, cela permet de repérer les adresses IP en question. Ouais, mais qu'est-ce que tu veux prendre comme mesures avec des IP situées en Russie ou en Chine ? C'est comme si elles étaient sur la planète Mars ! Les gouvernements pourraient facilement limiter le spam et le piratage, avec les fournisseurs d'accès nationaux. Mais comme il y a un gros bizness derrière c'est complètement hors de question… -- Vincent Lefèvre vinc...@vinc17.net - Web: https://www.vinc17.net/ 100% accessible validated (X)HTML - Blog: https://www.vinc17.net/ blog/ Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/ 20150216140954.ga27...@xvii.vinc17.org -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/2e33e366-60e1-4957-bfd7-b78af6760...@worldonline.fr
Re: [HS][up!] fail2ban
Philippe Gras a écrit : Le 14 févr. 15 à 20:50, BERTRAND Joël a écrit : Philippe Gras a écrit : OKAAAYY ! Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit : Philippe Gras a écrit : Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas très bien compris la façon dont ça se passe et pourquoi ça décourage l'attaquant. Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si le port est ouvert (et saturé) ou fermé, ou s'il y a même une machine sur cette adresse. Il réessaye jusqu'à ce que quelqu'un lui réponde. Avec un REJECT, tu dis immédiatement merdre à l'attaquant et il passe à autre chose. Cela fonctionne pour l'instant parce que les réseaux zombie veulent passer inaperçus. Donc si une machine est un peu protégée, ils passent à une autre. Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu… repasseras ;-) La boîte noire n'est jamais une solution quand on parle de sécurité. La boîte noire ? Que veux-tu dire par-là ? Que faire croire qu'il n'y a aucune machine qui répond sur cette adresse IP n'est pas la solution. Rejeter le paquet signifie j'ai bien vu ta tentative et je t'emmerde. JKB -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/54e07e23.70...@systella.fr
Re: [HS][up!] fail2ban
Le 15 févr. 15 à 12:08, BERTRAND Joël a écrit : Philippe Gras a écrit : Le 14 févr. 15 à 20:50, BERTRAND Joël a écrit : Philippe Gras a écrit : OKAAAYY ! Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit : Philippe Gras a écrit : Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas très bien compris la façon dont ça se passe et pourquoi ça décourage l'attaquant. Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si le port est ouvert (et saturé) ou fermé, ou s'il y a même une machine sur cette adresse. Il réessaye jusqu'à ce que quelqu'un lui réponde. Avec un REJECT, tu dis immédiatement merdre à l'attaquant et il passe à autre chose. Cela fonctionne pour l'instant parce que les réseaux zombie veulent passer inaperçus. Donc si une machine est un peu protégée, ils passent à une autre. Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu… repasseras ;-) La boîte noire n'est jamais une solution quand on parle de sécurité. La boîte noire ? Que veux-tu dire par-là ? Que faire croire qu'il n'y a aucune machine qui répond sur cette adresse IP n'est pas la solution. Rejeter le paquet signifie j'ai bien vu ta tentative et je t'emmerde. Oui, tu as 1.000.000 fois raison ! Il y a un module pour envoyer des réclamations abuse dans fail2ban. J'aimerais bien l'activer aussi, mais je n'ai pas trouvé comment faire. Quand elles aboutissent chez des gens sérieux perchant dans des pays sérieux, l'effet rafraîchissant est garanti. Je reçois plein de pourriels de chez OVH en ce moment, et je sais qu'en les dénonçant, ils vont cesser leur petit jeu débile. Les mecs ont déjà usé 3 IP pour me faire ch… et je suppose qu'ils en ont d'autres. Si je pouvais leur faire suspendre leur abonnement, ça me ferait bien plaisir :-). JKB -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/54e07e23.70...@systella.fr -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/711da1f0-3ce1-4e7e-8044-b6eaeec88...@worldonline.fr
Re: [HS][up!] fail2ban
Le 2 févr. 15 à 15:48, BERTRAND Joël a écrit : Philippe Gras a écrit : Pardon de remonter ce sujet. As-tu réussi à stopper ces attaques avec fail2ban, finalement ? Oui, ça s'est calmé, mais il y a eu une quinzaine de jours assez folkloriques. Je rencontre un problème sur les tentatives d'exploits (casser un mot de passe en testant des milliers de combinaisons possibles). Chez moi, fail2ban bannit bien les IP, mais l'attaque continue… Chez moi aussi, ça fait ça, mais comme les attaquants sont décorrélés, pas de problème. J'ai eu des queues de bannis de plus de 50 machines et la cible récidive fonctionne parfaitement. En revanche, je ferme autoritairement la connexion avec un ICMP bien senti, je n'attends pas que la connexion se ferme d'elle même en DROPant le paquet. Ça aide un peu... Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas très bien compris la façon dont ça se passe et pourquoi ça décourage l'attaquant. Ph. Gras Cordialement, JKB -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/44671fd3-4714-40d3-a00c-d4b378c03...@worldonline.fr
Re: [HS][up!] fail2ban
Philippe Gras a écrit : Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas très bien compris la façon dont ça se passe et pourquoi ça décourage l'attaquant. Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si le port est ouvert (et saturé) ou fermé, ou s'il y a même une machine sur cette adresse. Il réessaye jusqu'à ce que quelqu'un lui réponde. Avec un REJECT, tu dis immédiatement merdre à l'attaquant et il passe à autre chose. Cela fonctionne pour l'instant parce que les réseaux zombie veulent passer inaperçus. Donc si une machine est un peu protégée, ils passent à une autre. Cordialement, JKB -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/54df9c4f.5040...@systella.fr
Re: [HS][up!] fail2ban
OKAAAYY ! Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit : Philippe Gras a écrit : Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas très bien compris la façon dont ça se passe et pourquoi ça décourage l'attaquant. Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si le port est ouvert (et saturé) ou fermé, ou s'il y a même une machine sur cette adresse. Il réessaye jusqu'à ce que quelqu'un lui réponde. Avec un REJECT, tu dis immédiatement merdre à l'attaquant et il passe à autre chose. Cela fonctionne pour l'instant parce que les réseaux zombie veulent passer inaperçus. Donc si une machine est un peu protégée, ils passent à une autre. Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu… repasseras ;-) Cordialement, JKB -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/54df9c4f.5040...@systella.fr -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/b151b725-78bb-46f3-a579-2332bf78c...@worldonline.fr
Re: [HS][up!] fail2ban
Philippe Gras a écrit : OKAAAYY ! Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit : Philippe Gras a écrit : Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas très bien compris la façon dont ça se passe et pourquoi ça décourage l'attaquant. Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si le port est ouvert (et saturé) ou fermé, ou s'il y a même une machine sur cette adresse. Il réessaye jusqu'à ce que quelqu'un lui réponde. Avec un REJECT, tu dis immédiatement merdre à l'attaquant et il passe à autre chose. Cela fonctionne pour l'instant parce que les réseaux zombie veulent passer inaperçus. Donc si une machine est un peu protégée, ils passent à une autre. Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu… repasseras ;-) La boîte noire n'est jamais une solution quand on parle de sécurité. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/54dfa6ec.6060...@systella.fr
Re: [HS][up!] fail2ban
Le 14 févr. 15 à 20:50, BERTRAND Joël a écrit : Philippe Gras a écrit : OKAAAYY ! Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit : Philippe Gras a écrit : Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas très bien compris la façon dont ça se passe et pourquoi ça décourage l'attaquant. Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si le port est ouvert (et saturé) ou fermé, ou s'il y a même une machine sur cette adresse. Il réessaye jusqu'à ce que quelqu'un lui réponde. Avec un REJECT, tu dis immédiatement merdre à l'attaquant et il passe à autre chose. Cela fonctionne pour l'instant parce que les réseaux zombie veulent passer inaperçus. Donc si une machine est un peu protégée, ils passent à une autre. Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu… repasseras ;-) La boîte noire n'est jamais une solution quand on parle de sécurité. La boîte noire ? Que veux-tu dire par-là ? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/54dfa6ec.6060...@systella.fr -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/f17e761f-424d-4132-8b8c-384d32542...@worldonline.fr
Re: [HS][up!] fail2ban
La dernière version que j'ai installée (0.8.14) utilise le REJECT. J'ai des sites en 0.8.4 où c'était encore DROP. Donc, l'évolution va dans le sens de ce post. On 03/02/15 12:01, Philippe Gras wrote: Le 3 févr. 15 à 08:37, BERTRAND Joël a écrit : Philippe Gras a écrit : as-tu aussi un fichier iptables-blocktype.conf dans action.d ? https://github.com/sergejmueller/fail2ban/blob/master/action.d/iptables-blocktype.conf Non. Mon fail2ban est un fail2ban d'origine contrôlée patché pour qu'il surveille aussi IPv6. Je n'ai pas cherché à le modifier. JKB Il existe un système analogue dans la version que j'ai téléchargée à Noël, mais qui fait un DROP au lieu du REJECT. C'est sur ce fichier : https://github.com/sergejmueller/fail2ban/blob/master/action.d/iptables-xt_recent-echo.conf On voit bien le blocktype sur ce fichier du dépôt Github. Dans l'un et l'autre cas, il suffit de mettre banaction = iptables-xt_recent-echo dans jail.local, sur tel ou tel filtre. Comme ce REJECT m'a bien plu, j'ai copié iptables-blocktype.conf et j'ai créé un clone avec iptables-xt_recent-echo.local, qui reprend le blocktype. J'ai rechargé fail2ban et ça a l'air de bien se passer. Mais je ne peux pas encore le confirmer, n'ayant pas subi d'exploit hier. J'ai vu aussi qu'il existait un système pour formuler une réclamation au registrar : https://github.com/sergejmueller/fail2ban/blob/master/action.d/complain.conf Le fichier existe aussi dans ma version de fail2ban. Si quelqu'un connaît la procédure pour le faire fonctionner… -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/54d07ad5.6080...@systella.fr -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/54d11bb1.6060...@2lconsult.be
Re: [HS][up!] fail2ban
Le 3 févr. 15 à 08:37, BERTRAND Joël a écrit : Philippe Gras a écrit : as-tu aussi un fichier iptables-blocktype.conf dans action.d ? https://github.com/sergejmueller/fail2ban/blob/master/action.d/ iptables-blocktype.conf Non. Mon fail2ban est un fail2ban d'origine contrôlée patché pour qu'il surveille aussi IPv6. Je n'ai pas cherché à le modifier. JKB Il existe un système analogue dans la version que j'ai téléchargée à Noël, mais qui fait un DROP au lieu du REJECT. C'est sur ce fichier : https://github.com/sergejmueller/fail2ban/blob/master/action.d/ iptables-xt_recent-echo.conf On voit bien le blocktype sur ce fichier du dépôt Github. Dans l'un et l'autre cas, il suffit de mettre banaction = iptables- xt_recent-echo dans jail.local, sur tel ou tel filtre. Comme ce REJECT m'a bien plu, j'ai copié iptables-blocktype.conf et j'ai créé un clone avec iptables-xt_recent-echo.local, qui reprend le blocktype. J'ai rechargé fail2ban et ça a l'air de bien se passer. Mais je ne peux pas encore le confirmer, n'ayant pas subi d'exploit hier. J'ai vu aussi qu'il existait un système pour formuler une réclamation au registrar : https://github.com/sergejmueller/fail2ban/blob/master/action.d/ complain.conf Le fichier existe aussi dans ma version de fail2ban. Si quelqu'un connaît la procédure pour le faire fonctionner… -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/54d07ad5.6080...@systella.fr -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/cdd238bc-41be-464a-80f6-ca67ef0d0...@worldonline.fr
Re: [HS][up!] fail2ban
as-tu aussi un fichier iptables-blocktype.conf dans action.d ? https://github.com/sergejmueller/fail2ban/blob/master/action.d/ iptables-blocktype.conf Le 2 févr. 15 à 17:43, BERTRAND Joël a écrit : Philippe Gras a écrit : Le 2 févr. 15 à 16:47, BERTRAND Joël a écrit : Philippe Gras a écrit : Le 2 févr. 15 à 16:21, BERTRAND Joël a écrit : Philippe Gras a écrit : Je rencontre un problème sur les tentatives d'exploits (casser un mot de passe en testant des milliers de combinaisons possibles). Chez moi, fail2ban bannit bien les IP, mais l'attaque continue… Chez moi aussi, ça fait ça, mais comme les attaquants sont décorrélés, pas de problème. J'ai eu des queues de bannis de plus de 50 machines et la cible récidive fonctionne parfaitement. En revanche, je ferme autoritairement la connexion avec un ICMP bien senti, je n'attends pas que la connexion se ferme d'elle même en DROPant le paquet. Ça aide un peu... Ah, OK ! Peux-tu expliquer comment tu fermes autoritairement la connexion avec un ICMP bien senti ? Au lieu de garder la configuration par défaut (d'il y a très longtemps, je n'ai pas vérifié si cette configuration avait changé récemment) qui installe un DROP, mes règles installent un REJET avec --reject-with icmp-port-unreachable Tu veux parler de la configuration de fail2ban, c'est ça ? Oui. Ça t'ennuierait de communiquer ta conf. perso, que je la recopie chez moi ? (… et d'autres sur la liste éventuellement aussi, parce que ça a l'air trop cool) Si tu le dis... Elle n'a rien d'extraordinaire. Dans jail.conf, j'ai un : banaction = iptables46-multiport - ipv4 _et_ ipv6 et dans action.d/iptables-common.conf un : blocktype = REJECT --reject-with icmp-port-unreachable Le reste ressemble assez à une configuration par défaut. Encore une fois, je n'ai pas suivi les évolutions de la configuration par défaut et je ne sais pas comment est configuré un fail2ban récent out of the box. JKB -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/54cfa91c.70...@systella.fr -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/e1ffb3ed-8021-44ac-aea2-3bc10ea35...@worldonline.fr
Re: [HS][up!] fail2ban
Philippe Gras a écrit : Le 2 févr. 15 à 16:21, BERTRAND Joël a écrit : Philippe Gras a écrit : Je rencontre un problème sur les tentatives d'exploits (casser un mot de passe en testant des milliers de combinaisons possibles). Chez moi, fail2ban bannit bien les IP, mais l'attaque continue… Chez moi aussi, ça fait ça, mais comme les attaquants sont décorrélés, pas de problème. J'ai eu des queues de bannis de plus de 50 machines et la cible récidive fonctionne parfaitement. En revanche, je ferme autoritairement la connexion avec un ICMP bien senti, je n'attends pas que la connexion se ferme d'elle même en DROPant le paquet. Ça aide un peu... Ah, OK ! Peux-tu expliquer comment tu fermes autoritairement la connexion avec un ICMP bien senti ? Au lieu de garder la configuration par défaut (d'il y a très longtemps, je n'ai pas vérifié si cette configuration avait changé récemment) qui installe un DROP, mes règles installent un REJET avec --reject-with icmp-port-unreachable Tu veux parler de la configuration de fail2ban, c'est ça ? Oui. Si je comprends bien, tu aurais le même problème que moi si tu attendais que la connexion se fermât Oui j'ai eu ce genre de problème par le passé. En plus, lorsqu'on parle au zombie, il passe à autre chose plus vite, c'est tout bénef :-P Que veux-tu dire par-là ? Casser la connexion avec un DROP ou un REJECT, ce n'est pas la même chose finalement ? Non, ce n'est pas la même chose. DROP, le paquet de l'émetteur tombe dans un trou noir et la connexion tombe par un timeout côté émetteur. Avec un REJECT, j'informe explicitement l'émetteur que le port est fermé en coupant la communication de mon côté. Si l'émetteur n'est pas trop idiot, il passe à autre chose. JKB -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/54cf9c1d.7040...@systella.fr
Re: [HS][up!] fail2ban
Pardon de remonter ce sujet. As-tu réussi à stopper ces attaques avec fail2ban, finalement ? Je rencontre un problème sur les tentatives d'exploits (casser un mot de passe en testant des milliers de combinaisons possibles). Chez moi, fail2ban bannit bien les IP, mais l'attaque continue… Le 14 janv. 15 à 22:50, BERTRAND Joël a écrit : Bonsoir à tous, J'observe un comportement étrange sans savoir si ce comportement est provoqué par le patch IPv6 (mais il n'a rien de complexe) ou si c'est dû à l'augmentation ces derniers jours des attaques. En effet, j'ai un /29 et je subis actuellement en IPv4 des attaques sur toutes les IP à un rythme soutenu. […] JKB -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/54b6e498.4050...@systella.fr -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/cc8dc30a-a4a0-419c-a44a-ff2c1749a...@worldonline.fr
Re: [HS][up!] fail2ban
Philippe Gras a écrit : Je rencontre un problème sur les tentatives d'exploits (casser un mot de passe en testant des milliers de combinaisons possibles). Chez moi, fail2ban bannit bien les IP, mais l'attaque continue… Chez moi aussi, ça fait ça, mais comme les attaquants sont décorrélés, pas de problème. J'ai eu des queues de bannis de plus de 50 machines et la cible récidive fonctionne parfaitement. En revanche, je ferme autoritairement la connexion avec un ICMP bien senti, je n'attends pas que la connexion se ferme d'elle même en DROPant le paquet. Ça aide un peu... Ah, OK ! Peux-tu expliquer comment tu fermes autoritairement la connexion avec un ICMP bien senti ? Au lieu de garder la configuration par défaut (d'il y a très longtemps, je n'ai pas vérifié si cette configuration avait changé récemment) qui installe un DROP, mes règles installent un REJET avec --reject-with icmp-port-unreachable Si je comprends bien, tu aurais le même problème que moi si tu attendais que la connexion se fermât Oui j'ai eu ce genre de problème par le passé. En plus, lorsqu'on parle au zombie, il passe à autre chose plus vite, c'est tout bénef :-P JKB -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/54cf9615.3030...@systella.fr
Re: [HS][up!] fail2ban
Le 2 févr. 15 à 16:21, BERTRAND Joël a écrit : Philippe Gras a écrit : Je rencontre un problème sur les tentatives d'exploits (casser un mot de passe en testant des milliers de combinaisons possibles). Chez moi, fail2ban bannit bien les IP, mais l'attaque continue… Chez moi aussi, ça fait ça, mais comme les attaquants sont décorrélés, pas de problème. J'ai eu des queues de bannis de plus de 50 machines et la cible récidive fonctionne parfaitement. En revanche, je ferme autoritairement la connexion avec un ICMP bien senti, je n'attends pas que la connexion se ferme d'elle même en DROPant le paquet. Ça aide un peu... Ah, OK ! Peux-tu expliquer comment tu fermes autoritairement la connexion avec un ICMP bien senti ? Au lieu de garder la configuration par défaut (d'il y a très longtemps, je n'ai pas vérifié si cette configuration avait changé récemment) qui installe un DROP, mes règles installent un REJET avec --reject-with icmp-port-unreachable Tu veux parler de la configuration de fail2ban, c'est ça ? Si je comprends bien, tu aurais le même problème que moi si tu attendais que la connexion se fermât Oui j'ai eu ce genre de problème par le passé. En plus, lorsqu'on parle au zombie, il passe à autre chose plus vite, c'est tout bénef :-P Que veux-tu dire par-là ? Casser la connexion avec un DROP ou un REJECT, ce n'est pas la même chose finalement ? JKB -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/54cf9615.3030...@systella.fr -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/15dad622-f74d-44b4-9acd-d42772c69...@worldonline.fr
Re: [HS][up!] fail2ban
Philippe Gras a écrit : Pardon de remonter ce sujet. As-tu réussi à stopper ces attaques avec fail2ban, finalement ? Oui, ça s'est calmé, mais il y a eu une quinzaine de jours assez folkloriques. Je rencontre un problème sur les tentatives d'exploits (casser un mot de passe en testant des milliers de combinaisons possibles). Chez moi, fail2ban bannit bien les IP, mais l'attaque continue… Chez moi aussi, ça fait ça, mais comme les attaquants sont décorrélés, pas de problème. J'ai eu des queues de bannis de plus de 50 machines et la cible récidive fonctionne parfaitement. En revanche, je ferme autoritairement la connexion avec un ICMP bien senti, je n'attends pas que la connexion se ferme d'elle même en DROPant le paquet. Ça aide un peu... Cordialement, JKB -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/54cf8e2a.5050...@systella.fr
Re: [HS][up!] fail2ban
Je rencontre un problème sur les tentatives d'exploits (casser un mot de passe en testant des milliers de combinaisons possibles). Chez moi, fail2ban bannit bien les IP, mais l'attaque continue… Chez moi aussi, ça fait ça, mais comme les attaquants sont décorrélés, pas de problème. J'ai eu des queues de bannis de plus de 50 machines et la cible récidive fonctionne parfaitement. En revanche, je ferme autoritairement la connexion avec un ICMP bien senti, je n'attends pas que la connexion se ferme d'elle même en DROPant le paquet. Ça aide un peu... Ah, OK ! Peux-tu expliquer comment tu fermes autoritairement la connexion avec un ICMP bien senti ? Si je comprends bien, tu aurais le même problème que moi si tu attendais que la connexion se fermât naturellement, à moins qu'il ne s'agisse pas du même type d'attaques… Cordialement, JKB -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/79c86362-0bb9-41e9-884d-d9253edd7...@worldonline.fr
Re: [HS][up!] fail2ban
Philippe Gras a écrit : as-tu aussi un fichier iptables-blocktype.conf dans action.d ? https://github.com/sergejmueller/fail2ban/blob/master/action.d/iptables-blocktype.conf Non. Mon fail2ban est un fail2ban d'origine contrôlée patché pour qu'il surveille aussi IPv6. Je n'ai pas cherché à le modifier. JKB -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/54d07ad5.6080...@systella.fr
Re: [HS][up!] fail2ban
Philippe Gras a écrit : Le 2 févr. 15 à 16:47, BERTRAND Joël a écrit : Philippe Gras a écrit : Le 2 févr. 15 à 16:21, BERTRAND Joël a écrit : Philippe Gras a écrit : Je rencontre un problème sur les tentatives d'exploits (casser un mot de passe en testant des milliers de combinaisons possibles). Chez moi, fail2ban bannit bien les IP, mais l'attaque continue… Chez moi aussi, ça fait ça, mais comme les attaquants sont décorrélés, pas de problème. J'ai eu des queues de bannis de plus de 50 machines et la cible récidive fonctionne parfaitement. En revanche, je ferme autoritairement la connexion avec un ICMP bien senti, je n'attends pas que la connexion se ferme d'elle même en DROPant le paquet. Ça aide un peu... Ah, OK ! Peux-tu expliquer comment tu fermes autoritairement la connexion avec un ICMP bien senti ? Au lieu de garder la configuration par défaut (d'il y a très longtemps, je n'ai pas vérifié si cette configuration avait changé récemment) qui installe un DROP, mes règles installent un REJET avec --reject-with icmp-port-unreachable Tu veux parler de la configuration de fail2ban, c'est ça ? Oui. Ça t'ennuierait de communiquer ta conf. perso, que je la recopie chez moi ? (… et d'autres sur la liste éventuellement aussi, parce que ça a l'air trop cool) Si tu le dis... Elle n'a rien d'extraordinaire. Dans jail.conf, j'ai un : banaction = iptables46-multiport - ipv4 _et_ ipv6 et dans action.d/iptables-common.conf un : blocktype = REJECT --reject-with icmp-port-unreachable Le reste ressemble assez à une configuration par défaut. Encore une fois, je n'ai pas suivi les évolutions de la configuration par défaut et je ne sais pas comment est configuré un fail2ban récent out of the box. JKB -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/54cfa91c.70...@systella.fr
Re: [HS][up!] fail2ban
Le 2 févr. 15 à 17:43, BERTRAND Joël a écrit : Philippe Gras a écrit : Le 2 févr. 15 à 16:47, BERTRAND Joël a écrit : Philippe Gras a écrit : Le 2 févr. 15 à 16:21, BERTRAND Joël a écrit : Philippe Gras a écrit : Je rencontre un problème sur les tentatives d'exploits (casser un mot de passe en testant des milliers de combinaisons possibles). Chez moi, fail2ban bannit bien les IP, mais l'attaque continue… Chez moi aussi, ça fait ça, mais comme les attaquants sont décorrélés, pas de problème. J'ai eu des queues de bannis de plus de 50 machines et la cible récidive fonctionne parfaitement. En revanche, je ferme autoritairement la connexion avec un ICMP bien senti, je n'attends pas que la connexion se ferme d'elle même en DROPant le paquet. Ça aide un peu... Ah, OK ! Peux-tu expliquer comment tu fermes autoritairement la connexion avec un ICMP bien senti ? Au lieu de garder la configuration par défaut (d'il y a très longtemps, je n'ai pas vérifié si cette configuration avait changé récemment) qui installe un DROP, mes règles installent un REJET avec --reject-with icmp-port-unreachable Tu veux parler de la configuration de fail2ban, c'est ça ? Oui. Ça t'ennuierait de communiquer ta conf. perso, que je la recopie chez moi ? (… et d'autres sur la liste éventuellement aussi, parce que ça a l'air trop cool) Si tu le dis... Elle n'a rien d'extraordinaire. Dans jail.conf, j'ai un : banaction = iptables46-multiport - ipv4 _et_ ipv6 et dans action.d/iptables-common.conf un : blocktype = REJECT --reject-with icmp-port-unreachable Merci :-) C'est en effet cette ligne qui m'intéresse tout particulièrement. Le reste ressemble assez à une configuration par défaut. Encore une fois, je n'ai pas suivi les évolutions de la configuration par défaut et je ne sais pas comment est configuré un fail2ban récent out of the box. De toute façon, ma configuration non plus n'a plus grand-chose à voir avec celle d'origine. Même si mes paquets datent du 25 décembre de l'année dernière… Vu que je tourne avec NginX, j'ai dû créer plein de filtres et une partie de mes sites transitent par Cloudflare, ce qui a des conséquences aussi sur le traitement des actions. JKB -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/54cfa91c.70...@systella.fr
Re: [HS][up!] fail2ban
Le 2 févr. 15 à 16:47, BERTRAND Joël a écrit : Philippe Gras a écrit : Le 2 févr. 15 à 16:21, BERTRAND Joël a écrit : Philippe Gras a écrit : Je rencontre un problème sur les tentatives d'exploits (casser un mot de passe en testant des milliers de combinaisons possibles). Chez moi, fail2ban bannit bien les IP, mais l'attaque continue… Chez moi aussi, ça fait ça, mais comme les attaquants sont décorrélés, pas de problème. J'ai eu des queues de bannis de plus de 50 machines et la cible récidive fonctionne parfaitement. En revanche, je ferme autoritairement la connexion avec un ICMP bien senti, je n'attends pas que la connexion se ferme d'elle même en DROPant le paquet. Ça aide un peu... Ah, OK ! Peux-tu expliquer comment tu fermes autoritairement la connexion avec un ICMP bien senti ? Au lieu de garder la configuration par défaut (d'il y a très longtemps, je n'ai pas vérifié si cette configuration avait changé récemment) qui installe un DROP, mes règles installent un REJET avec --reject-with icmp-port-unreachable Tu veux parler de la configuration de fail2ban, c'est ça ? Oui. Ça t'ennuierait de communiquer ta conf. perso, que je la recopie chez moi ? (… et d'autres sur la liste éventuellement aussi, parce que ça a l'air trop cool) Si je comprends bien, tu aurais le même problème que moi si tu attendais que la connexion se fermât Oui j'ai eu ce genre de problème par le passé. En plus, lorsqu'on parle au zombie, il passe à autre chose plus vite, c'est tout bénef :-P Que veux-tu dire par-là ? Casser la connexion avec un DROP ou un REJECT, ce n'est pas la même chose finalement ? Non, ce n'est pas la même chose. DROP, le paquet de l'émetteur tombe dans un trou noir et la connexion tombe par un timeout côté émetteur. Avec un REJECT, j'informe explicitement l'émetteur que le port est fermé en coupant la communication de mon côté. Si l'émetteur n'est pas trop idiot, il passe à autre chose. Dans ma petite tête, je pensais que les mecs lançaient leur logiciel avant d'aller faire la bringue en fumant des joints, avec leurs copains de la mafia russe… J'ai des requêtes en forbidden qui commencent le soir et se terminent vers 7h00 le lendemain matin, j'ai pas l'impression que ça les formalise plus que ça ! JKB -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/54cf9c1d.7040...@systella.fr -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/a25736b2-0eaf-4c6f-b018-4bb511e56...@worldonline.fr
