Discussion :

[ddams]

Bonjour,

En regardant un peu les logs de mon serveur /var/log/messages, je me suis aperçu qu'il y avait énormément de tentatives d'intrusion sur celui-ci.
Afin de faciliter l'analyse des logs, connaitriez-vous un bon outils permettant de faire des stats sur ce genre de logs (nb de tentatives de connexion pour chaque ip, nb réussies, nb échouées).

Toujours dans l'objectif de limiter ce problème, je souhaiterais interdire toute tentative de connexion d'une IP à partir du moment ou celle-ci a échoué sur trois tentatives de connexion. Celà est-il possible et si oui comment m'y prendre ?

Merci d'avance

Pour info, voilà le type de log que j'obtiens :

Apr 16 02:43:52 ns39350 sshd[2484]: Invalid user terence from 88.84.143.102
Apr 16 02:43:53 ns39350 sshd[2486]: Invalid user terra from 88.84.143.102
Apr 16 02:43:53 ns39350 sshd[2488]: Invalid user terry from 88.84.143.102
Apr 16 02:43:53 ns39350 sshd[2490]: Invalid user tess from 88.84.143.102
Apr 16 02:43:54 ns39350 sshd[2492]: Invalid user teresa from 88.84.143.102
Apr 16 02:43:54 ns39350 sshd[2494]: Invalid user thelma from 88.84.143.102
Apr 16 02:43:54 ns39350 sshd[2496]: Invalid user theo from 88.84.143.102
Apr 16 02:43:55 ns39350 sshd[2498]: Invalid user theodora from 88.84.143.102
Apr 16 02:43:55 ns39350 sshd[2500]: Invalid user theodore from 88.84.143.102
Apr 16 02:43:55 ns39350 sshd[2502]: Invalid user theresa from 88.84.143.102
Apr 16 02:43:56 ns39350 sshd[2504]: Invalid user thomas from 88.84.143.102
Apr 16 02:43:56 ns39350 sshd[2506]: Invalid user tia from 88.84.143.102
Apr 16 02:43:56 ns39350 sshd[2508]: Invalid user tiffany from 88.84.143.102
Apr 16 02:43:57 ns39350 sshd[2511]: Invalid user tiger from 88.84.143.102
Apr 16 02:43:57 ns39350 sshd[2513]: Invalid user tigger from 88.84.143.102
Apr 16 02:43:57 ns39350 sshd[2515]: Invalid user tim from 88.84.143.102
Apr 16 02:43:58 ns39350 sshd[2517]: Invalid user timmy from 88.84.143.102
Apr 16 02:43:58 ns39350 sshd[2519]: Invalid user timothy from 88.84.143.102
Apr 16 02:43:58 ns39350 sshd[2521]: Invalid user tina from 88.84.143.102
Apr 16 02:43:59 ns39350 sshd[2523]: Invalid user tisha from 88.84.143.102
Apr 16 02:43:59 ns39350 sshd[2525]: Invalid user titus from 88.84.143.102
Apr 16 02:43:59 ns39350 sshd[2527]: Invalid user toby from 88.84.143.102
Apr 16 02:44:00 ns39350 sshd[2529]: Invalid user tod from 88.84.143.102
Apr 16 02:44:00 ns39350 sshd[2531]: Invalid user todd from 88.84.143.102
Apr 16 02:44:00 ns39350 sshd[2533]: Invalid user tom from 88.84.143.102
Apr 16 02:44:01 ns39350 sshd[2535]: Invalid user tommie from 88.84.143.102
Apr 16 02:44:01 ns39350 sshd[2537]: Invalid user tomcat from 88.84.143.102

ou encore

Apr 17 14:11:11 ns39350 sshd[1357]: Invalid user contrib from 212.92.18.28
Apr 17 14:11:11 ns39350 sshd[1357]: reverse mapping checking getaddrinfo for sms.marketorg.hu.18.92.212.in-addr.arpa failed -
POSSIBLE BREAK-IN ATTEMPT!

[deny]

voici un exemple de script tournant avec iptables visant a bloquer des ips
coupable de tentatives d'intrusion avec plusieurs logins

http://linuxgazette.net/137/takefuji.html

a+

[ddams]

C'est vraiment un bon article merci bien.

Je test ça en début de semaine prochaine.

[herzleid]

Encore plus simple : fail2ban

C'est en réalité un script perl qui bloque les adresses ip au bout x tentavives et pendant x secondes. x que tu paramètres bien sur.

ce programme marche pour ssh, vsftpd, apache etc ... Il s'appuis sur les log de ces programmes.

En général il y a un paquet pour ta distrib favorite.

Il marche super bien. A la limite tu peux aussi rajouter une regle iptable du style :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
# Bannissement d une adresse IP apres 4 tentavies ko
iptables -A INPUT -p tcp --dport ssh -m recent --update --seconds 60 --hitcount 4 --name SSH -j DROP
iptables -A INPUT -p tcp --dport ssh -m recent --set --name SSH
iptables -A INPUT -p tcp --dport ssh -j ACCEPT

Perso j'ai fail2ban qui drop et bloque les ip apres 3 tentatives, et au cas ou j'ai cette regle qui se mets en marche à la 4ème tentative. No j'suis pas parano

[ddams]

Je vais tester ce fameux fail2ban, à ce que j'ai lu sur sourceforge ça a l'air pas mal et super simple.