Re: [HS][up!] fail2ban

2015-02-18 Par sujet Philippe Gras


Le 18 févr. 15 à 10:26, Jacques Lav!gnotte. a écrit :


Le 18/02/2015 00:11, Philippe Gras a écrit :


Bon, alors j'ai trouvé :
http://serverfault.com/questions/448779/have-fail2ban-send- 
notification-to-banned-party


Et comme bien souvent le 'banned-party' n'accepte pas les e-mails  
le MTA

de ta machine se retrouve pendant 5 jours à essayer d'envoyer.


Ça m'est arrivé 1 fois en Chine effectivement, et ce n'était pas un  
mail automatique.




Peut etre une FBI :(

Je ne pense pas que ça fonctionne sous les tropiques, mais dans  
les pays

civilisés peut-
être que oui.


Tu peux préciser ta pensée sur cette dichotomie ?


C'est nécessaire ?


J.

--
GnuPg : C8F5B1E3 WeUsePGP Because privacy matters http:// 
weusepgp.info/


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet  
"unsubscribe"

vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/54e45ae1.9070...@lavignotte.org



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
https://lists.debian.org/91bb8245-473e-4cf0-af41-bb0857eea...@worldonline.fr



Re: [HS][up!] fail2ban

2015-02-18 Par sujet Jacques Lav!gnotte.
Le 18/02/2015 00:11, Philippe Gras a écrit :

> Bon, alors j'ai trouvé :
> http://serverfault.com/questions/448779/have-fail2ban-send-notification-to-banned-party

Et comme bien souvent le 'banned-party' n'accepte pas les e-mails le MTA
de ta machine se retrouve pendant 5 jours à essayer d'envoyer.

Peut etre une FBI :(

> Je ne pense pas que ça fonctionne sous les tropiques, mais dans les pays
> civilisés peut-
> être que oui.

Tu peux préciser ta pensée sur cette dichotomie ?

J.

-- 
GnuPg : C8F5B1E3 WeUsePGP Because privacy matters http://weusepgp.info/

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/54e45ae1.9070...@lavignotte.org



Re: [HS][up!] fail2ban

2015-02-17 Par sujet Philippe Gras


Le 3 févr. 15 à 20:04, Laurent Lesage a écrit :

La dernière version que j'ai installée (0.8.14) utilise le REJECT.  
J'ai des sites en 0.8.4 où c'était encore DROP.

Donc, l'évolution va dans le sens de ce post.

On 03/02/15 12:01, Philippe Gras wrote:


Le 3 févr. 15 à 08:37, BERTRAND Joël a écrit :


J'ai vu aussi qu'il existait un système pour formuler une  
réclamation au registrar :
https://github.com/sergejmueller/fail2ban/blob/master/action.d/ 
complain.conf


Le fichier existe aussi dans ma version de fail2ban. Si quelqu'un  
connaît la procédure pour le

faire fonctionner…


Bon, alors j'ai trouvé :
http://serverfault.com/questions/448779/have-fail2ban-send- 
notification-to-banned-party


Il suffit d'ajouter une ligne à action dans les jails de jail.local :-)

Je ne pense pas que ça fonctionne sous les tropiques, mais dans les  
pays civilisés peut-

être que oui.





--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet  
"unsubscribe"

vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/54d07ad5.6080...@systella.fr





--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet  
"unsubscribe"

vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/54d11bb1.6060...@2lconsult.be





Re: [HS][up!] fail2ban

2015-02-17 Par sujet Jean-Michel OLTRA

Bonjour,


Le mardi 17 février 2015, Philippe Gras a écrit...


> >Donc si je comprends bien, au lieu de faire un DROP ou un REJECT
> >avec fail2ban, on pourrait appliquer un Tarpit?

> Oui, mais j'ai l'impression qu'il s'agit d'une instruction hétérodoxe, à
> installer chez soi.

Ce n'est pas vraiment compliqué. Installer xtables-addons-common et
xtables-addons-dkms qui s'occupera de tout. Puis TARPIT'er les
méchants !

Tu peux en parallèle utiliser les fonctionnalités d'ipset et de ses
listes pour faire des blacklist (ou whitelist) plus ou moins dynamiques.

C'est très efficace. Fail2ban, ou un autre hids (comme Ossec) peut
remplir les listes et iptables s'occuper du reste, ce qui concentre la
riposte en un seul point.

-- 
jm

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/20150217212838.GD2850@espinasse



Re: [HS][up!] fail2ban

2015-02-17 Par sujet Philippe Gras


Le 17 févr. 15 à 15:22, Vincent Lefevre a écrit :


On 2015-02-17 13:11:11 +0100, Philippe Gras wrote:

Le 17 févr. 15 à 12:59, Vincent Lefevre a écrit :

On 2015-02-16 16:04:23 +0100, Philippe Gras wrote:

Le 16 févr. 15 à 15:09, Vincent Lefevre a écrit :

En même temps, cela permet de repérer les adresses IP en question.


Ouais, mais qu'est-ce que tu veux prendre comme mesures avec des IP
situées
en Russie ou en Chine ? C'est comme si elles étaient sur la  
planète Mars

!


Je les bannis de manière permanente (en fait, le sous-réseau  
entier).


Tu veux dire toute la plage ? Avec un paramètre de géolocalisation ?


Toute la plage (en général), pas de géolocalisation: je remarque
qu'il y a plusieurs adresses IP bannies similaires (même préfixe)
qui reviennent, puis je fais un whois sur l'une d'elle, ce qui me
donne un sous-réseau, je m'aperçois que ces adresses appartiennent
toutes à ce sous-réseau, et je bannis de manière permanente.


OK. Je faisais ça avant d'avoir installé fail2ban. Trop de  
maintenance à mon goût :-)



Sinon, j'ai trouvé un truc marrant hier soir :
http://www.wikigento.com/securite/tarpit-iptables-les-armes- 
fatales-anti-ddos/


Donc si je comprends bien, au lieu de faire un DROP ou un REJECT
avec fail2ban, on pourrait appliquer un Tarpit?


Oui, mais j'ai l'impression qu'il s'agit d'une instruction  
hétérodoxe, à installer chez soi.




--
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 

Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet  
"unsubscribe"

vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/ 
20150217142253.gc4...@xvii.vinc17.org




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
https://lists.debian.org/84bcfb80-3bd4-4d7b-b3ed-220db1fb2...@worldonline.fr



Re: [HS][up!] fail2ban

2015-02-17 Par sujet Vincent Lefevre
On 2015-02-17 15:22:54 +0100, Vincent Lefevre wrote:
> On 2015-02-17 13:11:11 +0100, Philippe Gras wrote:
> > Sinon, j'ai trouvé un truc marrant hier soir :
> > http://www.wikigento.com/securite/tarpit-iptables-les-armes-fatales-anti-ddos/
> 
> Donc si je comprends bien, au lieu de faire un DROP ou un REJECT
> avec fail2ban, on pourrait appliquer un Tarpit?

À ce propos, avec Google, j'ai trouvé ça:

  http://blog.nicolargo.com/2012/03/bannir-les-bannis-avec-fail2ban.html

"En bonus, nous allons également voir comment pourrir la bande
passante de la machine effectuant l'attaque en utilisant la règle
de drop de type "tarpitting" de IpTable."

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/20150217142551.gd4...@xvii.vinc17.org



Re: [HS][up!] fail2ban

2015-02-17 Par sujet Vincent Lefevre
On 2015-02-17 13:11:11 +0100, Philippe Gras wrote:
> Le 17 févr. 15 à 12:59, Vincent Lefevre a écrit :
> >On 2015-02-16 16:04:23 +0100, Philippe Gras wrote:
> >>Le 16 févr. 15 à 15:09, Vincent Lefevre a écrit :
> >>>En même temps, cela permet de repérer les adresses IP en question.
> >>
> >>Ouais, mais qu'est-ce que tu veux prendre comme mesures avec des IP
> >>situées
> >>en Russie ou en Chine ? C'est comme si elles étaient sur la planète Mars
> >>!
> >
> >Je les bannis de manière permanente (en fait, le sous-réseau entier).
> 
> Tu veux dire toute la plage ? Avec un paramètre de géolocalisation ?

Toute la plage (en général), pas de géolocalisation: je remarque
qu'il y a plusieurs adresses IP bannies similaires (même préfixe)
qui reviennent, puis je fais un whois sur l'une d'elle, ce qui me
donne un sous-réseau, je m'aperçois que ces adresses appartiennent
toutes à ce sous-réseau, et je bannis de manière permanente.

> Sinon, j'ai trouvé un truc marrant hier soir :
> http://www.wikigento.com/securite/tarpit-iptables-les-armes-fatales-anti-ddos/

Donc si je comprends bien, au lieu de faire un DROP ou un REJECT
avec fail2ban, on pourrait appliquer un Tarpit?

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/20150217142253.gc4...@xvii.vinc17.org



Re: [HS][up!] fail2ban

2015-02-17 Par sujet Philippe Gras


Le 17 févr. 15 à 12:59, Vincent Lefevre a écrit :


On 2015-02-16 16:04:23 +0100, Philippe Gras wrote:

Le 16 févr. 15 à 15:09, Vincent Lefevre a écrit :

En même temps, cela permet de repérer les adresses IP en question.


Ouais, mais qu'est-ce que tu veux prendre comme mesures avec des  
IP situées
en Russie ou en Chine ? C'est comme si elles étaient sur la  
planète Mars !


Je les bannis de manière permanente (en fait, le sous-réseau entier).


Tu veux dire toute la plage ? Avec un paramètre de géolocalisation ?

Sinon, j'ai trouvé un truc marrant hier soir :
http://www.wikigento.com/securite/tarpit-iptables-les-armes-fatales- 
anti-ddos/


Je ne sais pas si c'est de série dans Iptables.


--
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 

Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet  
"unsubscribe"

vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/ 
20150217115959.ga4...@xvii.vinc17.org




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
https://lists.debian.org/84d5904b-83cc-48ea-988e-6287ac90e...@worldonline.fr



Re: [HS][up!] fail2ban

2015-02-17 Par sujet Vincent Lefevre
On 2015-02-16 16:04:23 +0100, Philippe Gras wrote:
> Le 16 févr. 15 à 15:09, Vincent Lefevre a écrit :
> >En même temps, cela permet de repérer les adresses IP en question.
> 
> Ouais, mais qu'est-ce que tu veux prendre comme mesures avec des IP situées
> en Russie ou en Chine ? C'est comme si elles étaient sur la planète Mars !

Je les bannis de manière permanente (en fait, le sous-réseau entier).

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/20150217115959.ga4...@xvii.vinc17.org



Re: [HS][up!] fail2ban

2015-02-16 Par sujet Philippe Gras


Le 16 févr. 15 à 15:09, Vincent Lefevre a écrit :


On 2015-02-16 14:38:47 +0100, Philippe Gras wrote:

Le 16 févr. 15 à 14:18, Vincent Lefevre a écrit :
D'un autre côté, faire un DROP embête plus l'attaquant, qui va  
perdre

son temps à faire des requêtes qui n'aboutiront pas. Mais...


Non, le DROP n'embête pas plus l'attaquant que ça. Tu loues un VPN à
la journée, la semaine ou au mois et t'as un abonnement identique  
pour

X, Y ou Z Ko de trafic, dans une certaine limite évidemment.


Ce n'est pas le trafic qui est important ici. Quand on fait un DROP,
le ssh qui a été lancé reste actif sur la machine cliente pendant un
certain temps, alors qu'avec un REJECT, le ssh termine immédiatement.
Donc avec des DROP, l'attaquant peut donc faire moins de tentatives
s'il passe son temps à tomber sur des DROP (même s'il fait des ssh
en parallèle, le parallélisme a ses limites).


C'est vrai dans le principe, mais dans la pratique ça revient au  
même… Avec
la différence que ce dialogue établi entre le serveur et le bot  
semble avoir un

effet sur la persistance des attaques.

Le problème avec cette assertion, c'est qu'il faudrait installer un  
robot sur son
serveur pour se spammer soi-même afin de vérifier l'efficacité du  
DROP et du
REJECT, ça représente une charge de travail que je n'ai pas envie  
d'assumer.


Je suppose que les bots sont livrés à l'origine de telle façon qu'ils  
s'arrêtent au

moment où ils reçoivent un message ICMP. Ça me semble cohérent… mais je
ne peux pas le certifier !

Toujours est-il que j'observe de meilleurs résultats avec le REJECT !



[...]

Le fait d'avoir changé le DROP en REJECT m'a permis d'en décourager
beaucoup, en seulement quelques jours. Je suis en train de  
généraliser

l'option sur tous mes filtres.

Avec  le DROP quand tu lèves le ban, tu vois les mêmes IP  
réapparaître.


On a vraiment l'impression que les mecs ne récupèrent pas les données
de leurs bots, c'est n'importe quoi !


En même temps, cela permet de repérer les adresses IP en question.


Ouais, mais qu'est-ce que tu veux prendre comme mesures avec des IP  
situées
en Russie ou en Chine ? C'est comme si elles étaient sur la planète  
Mars !


Les gouvernements pourraient facilement limiter le spam et le  
piratage, avec les
fournisseurs d'accès nationaux. Mais comme il y a un gros bizness  
derrière c'est

complètement hors de question…


--
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 

Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet  
"unsubscribe"

vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/ 
20150216140954.ga27...@xvii.vinc17.org




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
https://lists.debian.org/2e33e366-60e1-4957-bfd7-b78af6760...@worldonline.fr



Re: [HS][up!] fail2ban

2015-02-16 Par sujet Vincent Lefevre
On 2015-02-16 14:38:47 +0100, Philippe Gras wrote:
> Le 16 févr. 15 à 14:18, Vincent Lefevre a écrit :
> >D'un autre côté, faire un DROP embête plus l'attaquant, qui va perdre
> >son temps à faire des requêtes qui n'aboutiront pas. Mais...
> 
> Non, le DROP n'embête pas plus l'attaquant que ça. Tu loues un VPN à
> la journée, la semaine ou au mois et t'as un abonnement identique pour
> X, Y ou Z Ko de trafic, dans une certaine limite évidemment.

Ce n'est pas le trafic qui est important ici. Quand on fait un DROP,
le ssh qui a été lancé reste actif sur la machine cliente pendant un
certain temps, alors qu'avec un REJECT, le ssh termine immédiatement.
Donc avec des DROP, l'attaquant peut donc faire moins de tentatives
s'il passe son temps à tomber sur des DROP (même s'il fait des ssh
en parallèle, le parallélisme a ses limites).

[...]
> Le fait d'avoir changé le DROP en REJECT m'a permis d'en décourager
> beaucoup, en seulement quelques jours. Je suis en train de généraliser
> l'option sur tous mes filtres.
> 
> Avec  le DROP quand tu lèves le ban, tu vois les mêmes IP réapparaître.
> 
> On a vraiment l'impression que les mecs ne récupèrent pas les données
> de leurs bots, c'est n'importe quoi !

En même temps, cela permet de repérer les adresses IP en question.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/20150216140954.ga27...@xvii.vinc17.org



Re: [HS][up!] fail2ban

2015-02-16 Par sujet Philippe Gras


Le 16 févr. 15 à 14:18, Vincent Lefevre a écrit :


On 2015-02-15 12:22:34 +0100, Philippe Gras wrote:

Le 15 févr. 15 à 12:08, BERTRAND Joël a écrit :


Philippe Gras a écrit :


Le 14 févr. 15 à 20:50, BERTRAND Joël a écrit :


Philippe Gras a écrit :

OKAAAYY !

Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :


Philippe Gras a écrit :
Apparemment, ça a l'air super efficace :-) Par contre je  
n'ai pas

très bien
compris la façon dont ça se passe et pourquoi ça décourage
l'attaquant.


   Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si
le
port est ouvert (et saturé) ou fermé, ou s'il y a même une  
machine

sur
cette adresse. Il réessaye jusqu'à ce que quelqu'un lui réponde.
Avec
un REJECT, tu dis immédiatement merdre à l'attaquant et il  
passe à

autre chose.

   Cela fonctionne pour l'instant parce que les réseaux zombie
veulent passer inaperçus. Donc si une machine est un peu  
protégée,

ils
passent à une autre.


Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu…
repasseras
;-)


   La boîte noire n'est jamais une solution quand on parle de
sécurité.


La boîte noire ? Que veux-tu dire par-là ?


	Que faire croire qu'il n'y a aucune machine qui répond sur cette  
adresse
IP n'est pas la solution. Rejeter le paquet signifie "j'ai bien  
vu ta

tentative et je t'emmerde".


D'un autre côté, faire un DROP embête plus l'attaquant, qui va perdre
son temps à faire des requêtes qui n'aboutiront pas. Mais...


Non, le DROP n'embête pas plus l'attaquant que ça. Tu loues un VPN à
la journée, la semaine ou au mois et t'as un abonnement identique pour
X, Y ou Z Ko de trafic, dans une certaine limite évidemment.

Le plus galère dans la sécurité, ce n'est pas le plus dangereux. On a en
effet 2 types d'attaquants :
Les script kiddies, qui te bouffent un max de ressources, mais ne te  
font

pas réellement de dégâts.
Les vrais pirates, qui savent infiltrer un serveur incognito.

Il faut bien se dire que fail2ban te permet de bloquer les premiers,  
et de

sauver ainsi énormément de ressources. Pour les autres…

Le fait d'avoir changé le DROP en REJECT m'a permis d'en décourager
beaucoup, en seulement quelques jours. Je suis en train de généraliser
l'option sur tous mes filtres.

Avec  le DROP quand tu lèves le ban, tu vois les mêmes IP réapparaître.

On a vraiment l'impression que les mecs ne récupèrent pas les données
de leurs bots, c'est n'importe quoi !




Oui, tu as 1.000.000 fois raison ! Il y a un module pour envoyer des
réclamations abuse

dans fail2ban. J'aimerais bien l'activer aussi, mais je n'ai pas  
trouvé

comment faire.


un abuse serait peut-être mieux. Ceci dit, je ne sais pas si
les principaux FAI concernés (en général chinois) prendraient
des mesures. Pour info, j'ai ceci dans mon /etc/hosts.deny:

# Permanent SSH ban due to many attempts (according to fail2ban)
# CHINANET-ZJ-HU (CN)
sshd: 61.174.48.0/21
# HEETHAI-HK (CN)
sshd: 103.41.124.0/24
# CHINANET-ZJ-SX (CN)
sshd: 115.231.216.0/21
# CHINANET-ZJ-HU (CN)
sshd: 122.225.96.0/19
# CHINANET-JS (CN)
sshd: 218.2.0.0/16
# UNICOM-JL (CN)
sshd: 222.160.0.0/14


Quand elles aboutissent chez des gens sérieux perchant dans des pays
sérieux, l'effet

rafraîchissant est garanti. Je reçois plein de pourriels de chez  
OVH en ce

moment, et je

sais qu'en les dénonçant, ils vont cesser leur petit jeu débile.

Les mecs ont déjà usé 3 IP pour me faire ch… et je suppose qu'ils  
en ont

d'autres. Si je


J'ai déjà blacklisté plus de 500 adresses IP de chez OVH (toutes
provenant de sous-réseaux propageant le même modèle de spam: quand
j'en vois un, je me dis que ça vient de chez OVH, et effectivement).

pouvais leur faire suspendre leur abonnement, ça me ferait bien  
plaisir :-).


Ce n'est pas ça qui va gêner les spammeurs. Tant qu'il n'y a pas de
grosse conséquence financière...

--
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 

Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet  
"unsubscribe"

vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/ 
20150216131856.ga17...@xvii.vinc17.org




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
https://lists.debian.org/7fb7b0b6-d9d1-44a0-aa71-a5b2449cc...@worldonline.fr



Re: [HS][up!] fail2ban

2015-02-16 Par sujet Vincent Lefevre
On 2015-02-15 12:22:34 +0100, Philippe Gras wrote:
> Le 15 févr. 15 à 12:08, BERTRAND Joël a écrit :
> 
> >Philippe Gras a écrit :
> >>
> >>Le 14 févr. 15 à 20:50, BERTRAND Joël a écrit :
> >>
> >>>Philippe Gras a écrit :
> OKAAAYY !
> 
> Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :
> 
> >Philippe Gras a écrit :
> >>Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas
> >>très bien
> >>compris la façon dont ça se passe et pourquoi ça décourage
> >>l'attaquant.
> >
> >Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si
> >le
> >port est ouvert (et saturé) ou fermé, ou s'il y a même une machine
> >sur
> >cette adresse. Il réessaye jusqu'à ce que quelqu'un lui réponde.
> >Avec
> >un REJECT, tu dis immédiatement merdre à l'attaquant et il passe à
> >autre chose.
> >
> >Cela fonctionne pour l'instant parce que les réseaux zombie
> >veulent passer inaperçus. Donc si une machine est un peu protégée,
> >ils
> >passent à une autre.
> 
> Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu…
> repasseras
> ;-)
> >>>
> >>>La boîte noire n'est jamais une solution quand on parle de
> >>>sécurité.
> >>
> >>La boîte noire ? Que veux-tu dire par-là ?
> >
> > Que faire croire qu'il n'y a aucune machine qui répond sur cette adresse
> >IP n'est pas la solution. Rejeter le paquet signifie "j'ai bien vu ta
> >tentative et je t'emmerde".

D'un autre côté, faire un DROP embête plus l'attaquant, qui va perdre
son temps à faire des requêtes qui n'aboutiront pas. Mais...

> Oui, tu as 1.000.000 fois raison ! Il y a un module pour envoyer des
> réclamations abuse
> 
> dans fail2ban. J'aimerais bien l'activer aussi, mais je n'ai pas trouvé
> comment faire.

un abuse serait peut-être mieux. Ceci dit, je ne sais pas si
les principaux FAI concernés (en général chinois) prendraient
des mesures. Pour info, j'ai ceci dans mon /etc/hosts.deny:

# Permanent SSH ban due to many attempts (according to fail2ban)
# CHINANET-ZJ-HU (CN)
sshd: 61.174.48.0/21
# HEETHAI-HK (CN)
sshd: 103.41.124.0/24
# CHINANET-ZJ-SX (CN)
sshd: 115.231.216.0/21
# CHINANET-ZJ-HU (CN)
sshd: 122.225.96.0/19
# CHINANET-JS (CN)
sshd: 218.2.0.0/16
# UNICOM-JL (CN)
sshd: 222.160.0.0/14

> Quand elles aboutissent chez des gens sérieux perchant dans des pays
> sérieux, l'effet
> 
> rafraîchissant est garanti. Je reçois plein de pourriels de chez OVH en ce
> moment, et je
> 
> sais qu'en les dénonçant, ils vont cesser leur petit jeu débile.
> 
> Les mecs ont déjà usé 3 IP pour me faire ch… et je suppose qu'ils en ont
> d'autres. Si je

J'ai déjà blacklisté plus de 500 adresses IP de chez OVH (toutes
provenant de sous-réseaux propageant le même modèle de spam: quand
j'en vois un, je me dis que ça vient de chez OVH, et effectivement).

> pouvais leur faire suspendre leur abonnement, ça me ferait bien plaisir :-).

Ce n'est pas ça qui va gêner les spammeurs. Tant qu'il n'y a pas de
grosse conséquence financière...

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/20150216131856.ga17...@xvii.vinc17.org



Re: [HS][up!] fail2ban

2015-02-15 Par sujet Philippe Gras


Le 15 févr. 15 à 12:08, BERTRAND Joël a écrit :


Philippe Gras a écrit :


Le 14 févr. 15 à 20:50, BERTRAND Joël a écrit :


Philippe Gras a écrit :

OKAAAYY !

Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :


Philippe Gras a écrit :

Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas
très bien
compris la façon dont ça se passe et pourquoi ça décourage
l'attaquant.


Parce que lorsque tu fais un DROP, l'attaquant ne sait pas  
si le
port est ouvert (et saturé) ou fermé, ou s'il y a même une  
machine sur
cette adresse. Il réessaye jusqu'à ce que quelqu'un lui  
réponde. Avec

un REJECT, tu dis immédiatement merdre à l'attaquant et il passe à
autre chose.

Cela fonctionne pour l'instant parce que les réseaux zombie
veulent passer inaperçus. Donc si une machine est un peu  
protégée, ils

passent à une autre.


Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu…  
repasseras

;-)


La boîte noire n'est jamais une solution quand on parle de  
sécurité.


La boîte noire ? Que veux-tu dire par-là ?


	Que faire croire qu'il n'y a aucune machine qui répond sur cette  
adresse IP n'est pas la solution. Rejeter le paquet signifie "j'ai  
bien vu ta tentative et je t'emmerde".


Oui, tu as 1.000.000 fois raison ! Il y a un module pour envoyer des  
réclamations abuse


dans fail2ban. J'aimerais bien l'activer aussi, mais je n'ai pas  
trouvé comment faire.


Quand elles aboutissent chez des gens sérieux perchant dans des pays  
sérieux, l'effet


rafraîchissant est garanti. Je reçois plein de pourriels de chez OVH  
en ce moment, et je


sais qu'en les dénonçant, ils vont cesser leur petit jeu débile.

Les mecs ont déjà usé 3 IP pour me faire ch… et je suppose qu'ils en  
ont d'autres. Si je


pouvais leur faire suspendre leur abonnement, ça me ferait bien  
plaisir :-).




JKB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet  
"unsubscribe"

vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/54e07e23.70...@systella.fr



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
https://lists.debian.org/711da1f0-3ce1-4e7e-8044-b6eaeec88...@worldonline.fr



Re: [HS][up!] fail2ban

2015-02-15 Par sujet BERTRAND Joël

Philippe Gras a écrit :


Le 14 févr. 15 à 20:50, BERTRAND Joël a écrit :


Philippe Gras a écrit :

OKAAAYY !

Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :


Philippe Gras a écrit :

Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas
très bien
compris la façon dont ça se passe et pourquoi ça décourage
l'attaquant.


Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si le
port est ouvert (et saturé) ou fermé, ou s'il y a même une machine sur
cette adresse. Il réessaye jusqu'à ce que quelqu'un lui réponde. Avec
un REJECT, tu dis immédiatement merdre à l'attaquant et il passe à
autre chose.

Cela fonctionne pour l'instant parce que les réseaux zombie
veulent passer inaperçus. Donc si une machine est un peu protégée, ils
passent à une autre.


Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu… repasseras
;-)


La boîte noire n'est jamais une solution quand on parle de sécurité.


La boîte noire ? Que veux-tu dire par-là ?


	Que faire croire qu'il n'y a aucune machine qui répond sur cette 
adresse IP n'est pas la solution. Rejeter le paquet signifie "j'ai bien 
vu ta tentative et je t'emmerde".


JKB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/54e07e23.70...@systella.fr



Re: [HS][up!] fail2ban

2015-02-14 Par sujet Philippe Gras


Le 14 févr. 15 à 20:50, BERTRAND Joël a écrit :


Philippe Gras a écrit :

OKAAAYY !

Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :


Philippe Gras a écrit :

Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas
très bien
compris la façon dont ça se passe et pourquoi ça décourage  
l'attaquant.


Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si le
port est ouvert (et saturé) ou fermé, ou s'il y a même une  
machine sur
cette adresse. Il réessaye jusqu'à ce que quelqu'un lui réponde.  
Avec

un REJECT, tu dis immédiatement merdre à l'attaquant et il passe à
autre chose.

Cela fonctionne pour l'instant parce que les réseaux zombie
veulent passer inaperçus. Donc si une machine est un peu  
protégée, ils

passent à une autre.


Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu…  
repasseras

;-)


La boîte noire n'est jamais une solution quand on parle de sécurité.


La boîte noire ? Que veux-tu dire par-là ?


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet  
"unsubscribe"

vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/54dfa6ec.6060...@systella.fr



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
https://lists.debian.org/f17e761f-424d-4132-8b8c-384d32542...@worldonline.fr



Re: [HS][up!] fail2ban

2015-02-14 Par sujet BERTRAND Joël

Philippe Gras a écrit :

OKAAAYY !

Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :


Philippe Gras a écrit :

Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas
très bien
compris la façon dont ça se passe et pourquoi ça décourage l'attaquant.


Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si le
port est ouvert (et saturé) ou fermé, ou s'il y a même une machine sur
cette adresse. Il réessaye jusqu'à ce que quelqu'un lui réponde. Avec
un REJECT, tu dis immédiatement merdre à l'attaquant et il passe à
autre chose.

Cela fonctionne pour l'instant parce que les réseaux zombie
veulent passer inaperçus. Donc si une machine est un peu protégée, ils
passent à une autre.


Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu… repasseras
;-)


La boîte noire n'est jamais une solution quand on parle de sécurité.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/54dfa6ec.6060...@systella.fr



Re: [HS][up!] fail2ban

2015-02-14 Par sujet Philippe Gras

OKAAAYY !

Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :


Philippe Gras a écrit :
Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas  
très bien
compris la façon dont ça se passe et pourquoi ça décourage  
l'attaquant.


	Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si le  
port est ouvert (et saturé) ou fermé, ou s'il y a même une machine  
sur cette adresse. Il réessaye jusqu'à ce que quelqu'un lui  
réponde. Avec un REJECT, tu dis immédiatement merdre à l'attaquant  
et il passe à autre chose.


	Cela fonctionne pour l'instant parce que les réseaux zombie  
veulent passer inaperçus. Donc si une machine est un peu protégée,  
ils passent à une autre.


Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu…  
repasseras ;-)


Cordialement,

JKB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet  
"unsubscribe"

vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/54df9c4f.5040...@systella.fr



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
https://lists.debian.org/b151b725-78bb-46f3-a579-2332bf78c...@worldonline.fr



Re: [HS][up!] fail2ban

2015-02-14 Par sujet BERTRAND Joël

Philippe Gras a écrit :

Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas très bien
compris la façon dont ça se passe et pourquoi ça décourage l'attaquant.


	Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si le port 
est ouvert (et saturé) ou fermé, ou s'il y a même une machine sur cette 
adresse. Il réessaye jusqu'à ce que quelqu'un lui réponde. Avec un 
REJECT, tu dis immédiatement merdre à l'attaquant et il passe à autre chose.


	Cela fonctionne pour l'instant parce que les réseaux zombie veulent 
passer inaperçus. Donc si une machine est un peu protégée, ils passent à 
une autre.


Cordialement,

JKB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/54df9c4f.5040...@systella.fr



Re: [HS][up!] fail2ban

2015-02-14 Par sujet Philippe Gras


Le 2 févr. 15 à 15:48, BERTRAND Joël a écrit :


Philippe Gras a écrit :

Pardon de remonter ce sujet.

As-tu réussi à stopper ces attaques avec fail2ban, finalement ?


	Oui, ça s'est calmé, mais il y a eu une quinzaine de jours assez  
folkloriques.



Je rencontre un problème sur les tentatives d'exploits (casser un
mot de passe en testant des milliers de combinaisons possibles).

Chez moi, fail2ban bannit bien les IP, mais l'attaque continue…


	Chez moi aussi, ça fait ça, mais comme les attaquants sont  
décorrélés, pas de problème. J'ai eu des queues de bannis de plus  
de 50 machines et la cible récidive fonctionne parfaitement. En  
revanche, je ferme autoritairement la connexion avec un ICMP bien  
senti, je n'attends pas que la connexion se ferme d'elle même en  
DROPant le paquet. Ça aide un peu...


Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas  
très bien

compris la façon dont ça se passe et pourquoi ça décourage l'attaquant.

Ph. Gras


Cordialement,

JKB


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
https://lists.debian.org/44671fd3-4714-40d3-a00c-d4b378c03...@worldonline.fr



Re: [HS][up!] fail2ban

2015-02-03 Par sujet Laurent Lesage
La dernière version que j'ai installée (0.8.14) utilise le REJECT. J'ai 
des sites en 0.8.4 où c'était encore DROP.

Donc, l'évolution va dans le sens de ce post.

On 03/02/15 12:01, Philippe Gras wrote:


Le 3 févr. 15 à 08:37, BERTRAND Joël a écrit :


Philippe Gras a écrit :

as-tu aussi un fichier iptables-blocktype.conf dans action.d ?

https://github.com/sergejmueller/fail2ban/blob/master/action.d/iptables-blocktype.conf 



Non. Mon fail2ban est un fail2ban d'origine contrôlée patché pour 
qu'il surveille aussi IPv6. Je n'ai pas cherché à le modifier.


JKB


Il existe un système analogue dans la version que j'ai téléchargée à 
Noël, mais qui fait un

DROP au lieu du REJECT.

C'est sur ce fichier :
https://github.com/sergejmueller/fail2ban/blob/master/action.d/iptables-xt_recent-echo.conf 



On voit bien le  sur ce fichier du dépôt Github.

Dans l'un et l'autre cas, il suffit de mettre banaction = 
iptables-xt_recent-echo dans jail.local,

sur tel ou tel filtre.

Comme ce REJECT m'a bien plu, j'ai copié iptables-blocktype.conf et 
j'ai créé un clone avec

iptables-xt_recent-echo.local, qui reprend le blocktype.

J'ai rechargé fail2ban et ça a l'air de bien se passer. Mais je ne 
peux pas encore le confirmer,

n'ayant pas subi d'exploit hier.

J'ai vu aussi qu'il existait un système pour formuler une réclamation 
au registrar :
https://github.com/sergejmueller/fail2ban/blob/master/action.d/complain.conf 



Le fichier existe aussi dans ma version de fail2ban. Si quelqu'un 
connaît la procédure pour le

faire fonctionner…



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/54d07ad5.6080...@systella.fr





--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/54d11bb1.6060...@2lconsult.be



Re: [HS][up!] fail2ban

2015-02-03 Par sujet Philippe Gras


Le 3 févr. 15 à 08:37, BERTRAND Joël a écrit :


Philippe Gras a écrit :

as-tu aussi un fichier iptables-blocktype.conf dans action.d ?

https://github.com/sergejmueller/fail2ban/blob/master/action.d/ 
iptables-blocktype.conf


	Non. Mon fail2ban est un fail2ban d'origine contrôlée patché pour  
qu'il surveille aussi IPv6. Je n'ai pas cherché à le modifier.


JKB


Il existe un système analogue dans la version que j'ai téléchargée à  
Noël, mais qui fait un

DROP au lieu du REJECT.

C'est sur ce fichier :
https://github.com/sergejmueller/fail2ban/blob/master/action.d/ 
iptables-xt_recent-echo.conf


On voit bien le  sur ce fichier du dépôt Github.

Dans l'un et l'autre cas, il suffit de mettre banaction = iptables- 
xt_recent-echo dans jail.local,

sur tel ou tel filtre.

Comme ce REJECT m'a bien plu, j'ai copié iptables-blocktype.conf et  
j'ai créé un clone avec

iptables-xt_recent-echo.local, qui reprend le blocktype.

J'ai rechargé fail2ban et ça a l'air de bien se passer. Mais je ne  
peux pas encore le confirmer,

n'ayant pas subi d'exploit hier.

J'ai vu aussi qu'il existait un système pour formuler une réclamation  
au registrar :
https://github.com/sergejmueller/fail2ban/blob/master/action.d/ 
complain.conf


Le fichier existe aussi dans ma version de fail2ban. Si quelqu'un  
connaît la procédure pour le

faire fonctionner…



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet  
"unsubscribe"

vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/54d07ad5.6080...@systella.fr



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
https://lists.debian.org/cdd238bc-41be-464a-80f6-ca67ef0d0...@worldonline.fr



Re: [HS][up!] fail2ban

2015-02-02 Par sujet BERTRAND Joël

Philippe Gras a écrit :

as-tu aussi un fichier iptables-blocktype.conf dans action.d ?

https://github.com/sergejmueller/fail2ban/blob/master/action.d/iptables-blocktype.conf


	Non. Mon fail2ban est un fail2ban d'origine contrôlée patché pour qu'il 
surveille aussi IPv6. Je n'ai pas cherché à le modifier.


JKB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/54d07ad5.6080...@systella.fr



Re: [HS][up!] fail2ban

2015-02-02 Par sujet Philippe Gras

as-tu aussi un fichier iptables-blocktype.conf dans action.d ?

https://github.com/sergejmueller/fail2ban/blob/master/action.d/ 
iptables-blocktype.conf


Le 2 févr. 15 à 17:43, BERTRAND Joël a écrit :


Philippe Gras a écrit :


Le 2 févr. 15 à 16:47, BERTRAND Joël a écrit :


Philippe Gras a écrit :


Le 2 févr. 15 à 16:21, BERTRAND Joël a écrit :


Philippe Gras a écrit :


Je rencontre un problème sur les tentatives d'exploits  
(casser un
mot de passe en testant des milliers de combinaisons  
possibles).


Chez moi, fail2ban bannit bien les IP, mais l'attaque continue…


Chez moi aussi, ça fait ça, mais comme les attaquants sont
décorrélés, pas de problème. J'ai eu des queues de bannis de  
plus de

50 machines et la cible récidive fonctionne parfaitement. En
revanche,
je ferme autoritairement la connexion avec un ICMP bien  
senti, je
n'attends pas que la connexion se ferme d'elle même en  
DROPant le

paquet. Ça aide un peu...


Ah, OK ! Peux-tu expliquer comment tu "fermes autoritairement la
connexion avec un ICMP bien senti" ?


Au lieu de garder la configuration par défaut (d'il y a très
longtemps, je n'ai pas vérifié si cette configuration avait changé
récemment) qui installe un DROP, mes règles installent un REJET  
avec

--reject-with icmp-port-unreachable


Tu veux parler de la configuration de fail2ban, c'est ça ?


Oui.


Ça t'ennuierait de communiquer ta conf. perso, que je la recopie  
chez moi ?


(… et d'autres sur la liste éventuellement aussi, parce que ça a  
l'air

trop cool)


Si tu le dis... Elle n'a rien d'extraordinaire.
Dans jail.conf, j'ai un :

banaction = iptables46-multiport <- ipv4 _et_ ipv6

et dans action.d/iptables-common.conf un :

blocktype = REJECT --reject-with icmp-port-unreachable

	Le reste ressemble assez à une configuration par défaut. Encore  
une fois, je n'ai pas suivi les évolutions de la configuration par  
défaut et je ne sais pas comment est configuré un fail2ban récent  
out of the box.


JKB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet  
"unsubscribe"

vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/54cfa91c.70...@systella.fr



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
https://lists.debian.org/e1ffb3ed-8021-44ac-aea2-3bc10ea35...@worldonline.fr



Re: [HS][up!] fail2ban

2015-02-02 Par sujet Philippe Gras


Le 2 févr. 15 à 17:43, BERTRAND Joël a écrit :


Philippe Gras a écrit :


Le 2 févr. 15 à 16:47, BERTRAND Joël a écrit :


Philippe Gras a écrit :


Le 2 févr. 15 à 16:21, BERTRAND Joël a écrit :


Philippe Gras a écrit :


Je rencontre un problème sur les tentatives d'exploits  
(casser un
mot de passe en testant des milliers de combinaisons  
possibles).


Chez moi, fail2ban bannit bien les IP, mais l'attaque continue…


Chez moi aussi, ça fait ça, mais comme les attaquants sont
décorrélés, pas de problème. J'ai eu des queues de bannis de  
plus de

50 machines et la cible récidive fonctionne parfaitement. En
revanche,
je ferme autoritairement la connexion avec un ICMP bien  
senti, je
n'attends pas que la connexion se ferme d'elle même en  
DROPant le

paquet. Ça aide un peu...


Ah, OK ! Peux-tu expliquer comment tu "fermes autoritairement la
connexion avec un ICMP bien senti" ?


Au lieu de garder la configuration par défaut (d'il y a très
longtemps, je n'ai pas vérifié si cette configuration avait changé
récemment) qui installe un DROP, mes règles installent un REJET  
avec

--reject-with icmp-port-unreachable


Tu veux parler de la configuration de fail2ban, c'est ça ?


Oui.


Ça t'ennuierait de communiquer ta conf. perso, que je la recopie  
chez moi ?


(… et d'autres sur la liste éventuellement aussi, parce que ça a  
l'air

trop cool)


Si tu le dis... Elle n'a rien d'extraordinaire.
Dans jail.conf, j'ai un :

banaction = iptables46-multiport <- ipv4 _et_ ipv6

et dans action.d/iptables-common.conf un :

blocktype = REJECT --reject-with icmp-port-unreachable


Merci :-) C'est en effet cette ligne qui m'intéresse tout  
particulièrement.


	Le reste ressemble assez à une configuration par défaut. Encore  
une fois, je n'ai pas suivi les évolutions de la configuration par  
défaut et je ne sais pas comment est configuré un fail2ban récent  
out of the box.



De toute façon, ma configuration non plus n'a plus grand-chose à voir
avec celle d'origine. Même si mes paquets datent du 25 décembre de
l'année dernière… Vu que je tourne avec NginX, j'ai dû créer plein de
filtres et une partie de mes sites transitent par Cloudflare, ce qui  
a des

conséquences aussi sur le traitement des actions.


JKB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet  
"unsubscribe"

vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/54cfa91c.70...@systella.fr





Re: [HS][up!] fail2ban

2015-02-02 Par sujet BERTRAND Joël

Philippe Gras a écrit :


Le 2 févr. 15 à 16:47, BERTRAND Joël a écrit :


Philippe Gras a écrit :


Le 2 févr. 15 à 16:21, BERTRAND Joël a écrit :


Philippe Gras a écrit :



Je rencontre un problème sur les tentatives d'exploits (casser un
mot de passe en testant des milliers de combinaisons possibles).

Chez moi, fail2ban bannit bien les IP, mais l'attaque continue…


Chez moi aussi, ça fait ça, mais comme les attaquants sont
décorrélés, pas de problème. J'ai eu des queues de bannis de plus de
50 machines et la cible récidive fonctionne parfaitement. En
revanche,
je ferme autoritairement la connexion avec un ICMP bien senti, je
n'attends pas que la connexion se ferme d'elle même en DROPant le
paquet. Ça aide un peu...


Ah, OK ! Peux-tu expliquer comment tu "fermes autoritairement la
connexion avec un ICMP bien senti" ?


Au lieu de garder la configuration par défaut (d'il y a très
longtemps, je n'ai pas vérifié si cette configuration avait changé
récemment) qui installe un DROP, mes règles installent un REJET avec
--reject-with icmp-port-unreachable


Tu veux parler de la configuration de fail2ban, c'est ça ?


Oui.


Ça t'ennuierait de communiquer ta conf. perso, que je la recopie chez moi ?

(… et d'autres sur la liste éventuellement aussi, parce que ça a l'air
trop cool)


Si tu le dis... Elle n'a rien d'extraordinaire.
Dans jail.conf, j'ai un :

banaction = iptables46-multiport <- ipv4 _et_ ipv6

et dans action.d/iptables-common.conf un :

blocktype = REJECT --reject-with icmp-port-unreachable

	Le reste ressemble assez à une configuration par défaut. Encore une 
fois, je n'ai pas suivi les évolutions de la configuration par défaut et 
je ne sais pas comment est configuré un fail2ban récent out of the box.


JKB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/54cfa91c.70...@systella.fr



Re: [HS][up!] fail2ban

2015-02-02 Par sujet Philippe Gras


Le 2 févr. 15 à 16:47, BERTRAND Joël a écrit :


Philippe Gras a écrit :


Le 2 févr. 15 à 16:21, BERTRAND Joël a écrit :


Philippe Gras a écrit :



Je rencontre un problème sur les tentatives d'exploits (casser un
mot de passe en testant des milliers de combinaisons possibles).

Chez moi, fail2ban bannit bien les IP, mais l'attaque continue…


Chez moi aussi, ça fait ça, mais comme les attaquants sont
décorrélés, pas de problème. J'ai eu des queues de bannis de  
plus de
50 machines et la cible récidive fonctionne parfaitement. En  
revanche,

je ferme autoritairement la connexion avec un ICMP bien senti, je
n'attends pas que la connexion se ferme d'elle même en DROPant le
paquet. Ça aide un peu...


Ah, OK ! Peux-tu expliquer comment tu "fermes autoritairement la
connexion avec un ICMP bien senti" ?


Au lieu de garder la configuration par défaut (d'il y a très
longtemps, je n'ai pas vérifié si cette configuration avait changé
récemment) qui installe un DROP, mes règles installent un REJET avec
--reject-with icmp-port-unreachable


Tu veux parler de la configuration de fail2ban, c'est ça ?


Oui.


Ça t'ennuierait de communiquer ta conf. perso, que je la recopie chez  
moi ?


(… et d'autres sur la liste éventuellement aussi, parce que ça a  
l'air trop cool)






Si je comprends bien, tu aurais le même problème que moi si tu  
attendais

que la connexion se fermât


Oui j'ai eu ce genre de problème par le passé. En plus,  
lorsqu'on
parle au zombie, il passe à autre chose plus vite, c'est tout  
bénef :-P


Que veux-tu dire par-là ? Casser la connexion avec un DROP ou un  
REJECT,

ce n'est pas la même chose finalement ?


	Non, ce n'est pas la même chose. DROP, le paquet de l'émetteur  
tombe dans un trou noir et la connexion tombe par un timeout côté  
émetteur. Avec un REJECT, j'informe explicitement l'émetteur que le  
port est fermé en coupant la communication de mon côté. Si  
l'émetteur n'est pas trop idiot, il passe à autre chose.


Dans ma petite tête, je pensais que les mecs lançaient leur logiciel  
avant d'aller


faire la bringue en fumant des joints, avec leurs copains de la mafia  
russe…


J'ai des requêtes en forbidden qui commencent le soir et se terminent  
vers 7h00


le lendemain matin, j'ai pas l'impression que ça les formalise plus  
que ça !


JKB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet  
"unsubscribe"

vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/54cf9c1d.7040...@systella.fr



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
https://lists.debian.org/a25736b2-0eaf-4c6f-b018-4bb511e56...@worldonline.fr



Re: [HS][up!] fail2ban

2015-02-02 Par sujet BERTRAND Joël

Philippe Gras a écrit :


Le 2 févr. 15 à 16:21, BERTRAND Joël a écrit :


Philippe Gras a écrit :



Je rencontre un problème sur les tentatives d'exploits (casser un
mot de passe en testant des milliers de combinaisons possibles).

Chez moi, fail2ban bannit bien les IP, mais l'attaque continue…


Chez moi aussi, ça fait ça, mais comme les attaquants sont
décorrélés, pas de problème. J'ai eu des queues de bannis de plus de
50 machines et la cible récidive fonctionne parfaitement. En revanche,
je ferme autoritairement la connexion avec un ICMP bien senti, je
n'attends pas que la connexion se ferme d'elle même en DROPant le
paquet. Ça aide un peu...


Ah, OK ! Peux-tu expliquer comment tu "fermes autoritairement la
connexion avec un ICMP bien senti" ?


Au lieu de garder la configuration par défaut (d'il y a très
longtemps, je n'ai pas vérifié si cette configuration avait changé
récemment) qui installe un DROP, mes règles installent un REJET avec
--reject-with icmp-port-unreachable


Tu veux parler de la configuration de fail2ban, c'est ça ?


Oui.




Si je comprends bien, tu aurais le même problème que moi si tu attendais
que la connexion se fermât


Oui j'ai eu ce genre de problème par le passé. En plus, lorsqu'on
parle au zombie, il passe à autre chose plus vite, c'est tout bénef :-P


Que veux-tu dire par-là ? Casser la connexion avec un DROP ou un REJECT,
ce n'est pas la même chose finalement ?


	Non, ce n'est pas la même chose. DROP, le paquet de l'émetteur tombe 
dans un trou noir et la connexion tombe par un timeout côté émetteur. 
Avec un REJECT, j'informe explicitement l'émetteur que le port est fermé 
en coupant la communication de mon côté. Si l'émetteur n'est pas trop 
idiot, il passe à autre chose.


JKB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/54cf9c1d.7040...@systella.fr



Re: [HS][up!] fail2ban

2015-02-02 Par sujet Philippe Gras


Le 2 févr. 15 à 16:21, BERTRAND Joël a écrit :


Philippe Gras a écrit :



Je rencontre un problème sur les tentatives d'exploits (casser un
mot de passe en testant des milliers de combinaisons possibles).

Chez moi, fail2ban bannit bien les IP, mais l'attaque continue…


Chez moi aussi, ça fait ça, mais comme les attaquants sont
décorrélés, pas de problème. J'ai eu des queues de bannis de plus de
50 machines et la cible récidive fonctionne parfaitement. En  
revanche,

je ferme autoritairement la connexion avec un ICMP bien senti, je
n'attends pas que la connexion se ferme d'elle même en DROPant le
paquet. Ça aide un peu...


Ah, OK ! Peux-tu expliquer comment tu "fermes autoritairement la
connexion avec un ICMP bien senti" ?


	Au lieu de garder la configuration par défaut (d'il y a très  
longtemps, je n'ai pas vérifié si cette configuration avait changé  
récemment) qui installe un DROP, mes règles installent un REJET  
avec --reject-with icmp-port-unreachable


Tu veux parler de la configuration de fail2ban, c'est ça ?



Si je comprends bien, tu aurais le même problème que moi si tu  
attendais

que la connexion se fermât


	Oui j'ai eu ce genre de problème par le passé. En plus, lorsqu'on  
parle au zombie, il passe à autre chose plus vite, c'est tout  
bénef :-P


Que veux-tu dire par-là ? Casser la connexion avec un DROP ou un  
REJECT, ce n'est pas la même chose finalement ?




JKB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet  
"unsubscribe"

vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/54cf9615.3030...@systella.fr



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
https://lists.debian.org/15dad622-f74d-44b4-9acd-d42772c69...@worldonline.fr



Re: [HS][up!] fail2ban

2015-02-02 Par sujet BERTRAND Joël

Philippe Gras a écrit :



Je rencontre un problème sur les tentatives d'exploits (casser un
mot de passe en testant des milliers de combinaisons possibles).

Chez moi, fail2ban bannit bien les IP, mais l'attaque continue…


Chez moi aussi, ça fait ça, mais comme les attaquants sont
décorrélés, pas de problème. J'ai eu des queues de bannis de plus de
50 machines et la cible récidive fonctionne parfaitement. En revanche,
je ferme autoritairement la connexion avec un ICMP bien senti, je
n'attends pas que la connexion se ferme d'elle même en DROPant le
paquet. Ça aide un peu...


Ah, OK ! Peux-tu expliquer comment tu "fermes autoritairement la
connexion avec un ICMP bien senti" ?


	Au lieu de garder la configuration par défaut (d'il y a très longtemps, 
je n'ai pas vérifié si cette configuration avait changé récemment) qui 
installe un DROP, mes règles installent un REJET avec --reject-with 
icmp-port-unreachable



Si je comprends bien, tu aurais le même problème que moi si tu attendais
que la connexion se fermât


	Oui j'ai eu ce genre de problème par le passé. En plus, lorsqu'on parle 
au zombie, il passe à autre chose plus vite, c'est tout bénef :-P


JKB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/54cf9615.3030...@systella.fr



Re: [HS][up!] fail2ban

2015-02-02 Par sujet Philippe Gras



Je rencontre un problème sur les tentatives d'exploits (casser un
mot de passe en testant des milliers de combinaisons possibles).

Chez moi, fail2ban bannit bien les IP, mais l'attaque continue…


	Chez moi aussi, ça fait ça, mais comme les attaquants sont  
décorrélés, pas de problème. J'ai eu des queues de bannis de plus  
de 50 machines et la cible récidive fonctionne parfaitement. En  
revanche, je ferme autoritairement la connexion avec un ICMP bien  
senti, je n'attends pas que la connexion se ferme d'elle même en  
DROPant le paquet. Ça aide un peu...


Ah, OK ! Peux-tu expliquer comment tu "fermes autoritairement la  
connexion avec un ICMP bien senti" ?


Si je comprends bien, tu aurais le même problème que moi si tu  
attendais que la connexion se fermât

naturellement, à moins qu'il ne s'agisse pas du même type d'attaques…


Cordialement,

JKB


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
https://lists.debian.org/79c86362-0bb9-41e9-884d-d9253edd7...@worldonline.fr



Re: [HS][up!] fail2ban

2015-02-02 Par sujet BERTRAND Joël

Philippe Gras a écrit :

Pardon de remonter ce sujet.

As-tu réussi à stopper ces attaques avec fail2ban, finalement ?


	Oui, ça s'est calmé, mais il y a eu une quinzaine de jours assez 
folkloriques.



Je rencontre un problème sur les tentatives d'exploits (casser un
mot de passe en testant des milliers de combinaisons possibles).

Chez moi, fail2ban bannit bien les IP, mais l'attaque continue…


	Chez moi aussi, ça fait ça, mais comme les attaquants sont décorrélés, 
pas de problème. J'ai eu des queues de bannis de plus de 50 machines et 
la cible récidive fonctionne parfaitement. En revanche, je ferme 
autoritairement la connexion avec un ICMP bien senti, je n'attends pas 
que la connexion se ferme d'elle même en DROPant le paquet. Ça aide un 
peu...


Cordialement,

JKB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/54cf8e2a.5050...@systella.fr



Re: [HS][up!] fail2ban

2015-02-02 Par sujet Philippe Gras

Pardon de remonter ce sujet.

As-tu réussi à stopper ces attaques avec fail2ban, finalement ?

Je rencontre un problème sur les tentatives d'exploits (casser un
mot de passe en testant des milliers de combinaisons possibles).

Chez moi, fail2ban bannit bien les IP, mais l'attaque continue…

Le 14 janv. 15 à 22:50, BERTRAND Joël a écrit :


Bonsoir à tous,

	J'observe un comportement étrange sans savoir si ce comportement  
est provoqué par le patch IPv6 (mais il n'a rien de complexe) ou si  
c'est dû à l'augmentation ces derniers jours des attaques. En  
effet, j'ai un /29 et je subis actuellement en IPv4 des attaques  
sur toutes les IP à un rythme soutenu.


[…]


JKB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet  
"unsubscribe"

vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/54b6e498.4050...@systella.fr



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
https://lists.debian.org/cc8dc30a-a4a0-419c-a44a-ff2c1749a...@worldonline.fr