Re: [FRsAG] : réputation des IP pour filtrage Web
Le 30/06/2013 23:37, Christophe a écrit : Bonsoir à tous, Désolé d'upper le thread, mais le sujet m’intéresse bigrement ! Au final, quelle liste croire ? projecthoneypot me semble particulièrement concise. Un mix des différentes autres aussi ? J'ai lu un article de blog qui avait une approche un peu différente : le principe était de placer un honeypot et de capturer les adresses IP qui tentent des connexions sur différents ports reconnus (RDP/SSH/SQL Server, etc) : Windows / linux peu importe, et de faire en sorte de les transmettre et de les bloquer par le firewall qui héberge la prod . Qu'en pensez vous ? Bonjour, J'ai essayé les listes d'IP de projecthoneypot en comparant les IP qui tentaient des attaques sur mes serveurs et celles présentes dans projecthoneypot. Je te confirme que projecthoneypot est de loin la plus à jour par rapport aux autres mes la correspondance n'est systematique loin de là. Pour ma part, je ne m'en sert pas en Prod. De plus, il me semble que cela rassemble plus les serveurs hackés (trojan, ...) que des serveurs qui mènent des attaques sur d'autres serveurs. Même si l'un ne va pas sans l'autre, la liste de projecthoneypot n'est pas suffisamment fiable. Je viens de mettre en place un WAF avec Naxsi, les attaques de type XSS et injections SQL sont bien répérées et bloquées. Cela me permet via un minuscule bout de conf à ajouter à Fail2ban de me faire mes propres règles de blackliste. de plus, dans un environnement mutualisé, il suffit qu'un hébergement se fasse attaqué pour bloquer l'IP et protéger ainsi tous les autres. Le point interessant est que tu maitrise tout de bout en bout. Si tu est sûr de toi, tu blacklistes les IP pendant 8/24/36/48h sinon tu blackistes sur des plus petites durées. en cas de faux positifs ça fait moins mal :-) ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] CVE-2013-2224 Vulnérabilité Kernel 2.6.32
Y'a encore de la prod en 2.6.32 ? /troll Plus sérieusement, des nouvelles d'un patch upstream ? je repousse depuis lundi mais j'ai pas trouvé en y regardant en diagonale. Pendant qu'on va de ce côté, des news d'une viabilité de lxc en mainstream à l'horizon ? On 07/02/13 22:05, Leslie-Alexandre DENIS - DCforDATA wrote: Bonsoir à tous, Pour ceux qui l'aurait loupé, une faille dans le Kernel branch 2.6.32 permet à minima de DoS la machine hôte et à maxima d'un gain de privilèges/exec de code. Red Hat est dessus, informations dans leur bugzilla. Tout est là, www.osvdb.org/show/osvdb/94706 Bon audit, A tte ___ Liste de diffusion du FRsAG http://www.frsag.org/ signature.asc Description: OpenPGP digital signature ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] CVE-2013-2224 Vulnérabilité Kernel 2.6.32
Le Tue, Jul 02, 2013 at 10:16:07PM +0200, Pierre Jaury a écrit: Y'a encore de la prod en 2.6.32 ? Les Debian Squeze, par exemple. Elles ne sont deprecated que depuis deux mois, et le passage de certains logiciels, par exemple php 5.3-5.4 ou mysql 5.1-5.5 ne sont pas triviaux. Donc oui, encore des (très) gros paquets de 2.6.32 en prod un peu partout. Arnaud. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] CVE-2013-2224 Vulnérabilité Kernel 2.6.32
Reste à surveiller les dev d'exploits pour voir s'il y a un 0day bientôt. Ça pourrait faire mal ... Le 2 juillet 2013 23:09, Arnaud Launay a...@launay.org a écrit : Le Tue, Jul 02, 2013 at 10:16:07PM +0200, Pierre Jaury a écrit: Y'a encore de la prod en 2.6.32 ? Les Debian Squeze, par exemple. Elles ne sont deprecated que depuis deux mois, et le passage de certains logiciels, par exemple php 5.3-5.4 ou mysql 5.1-5.5 ne sont pas triviaux. Donc oui, encore des (très) gros paquets de 2.6.32 en prod un peu partout. Arnaud. ___ Liste de diffusion du FRsAG http://www.frsag.org/ -- *** This message and any attachments are confidential and intended for the named addressee(s) only. If you have received this message in error, please notify immediately the sender, then delete the message. Any unauthorized modification, edition, use or dissemination is prohibited. The sender shall not be liable for this message if it has been modified, altered, falsified, infected by a virus or even edited or disseminated without authorization. *** ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] CVE-2013-2224 Vulnérabilité Kernel 2.6.32
On 02/07/2013 23:13, Sébastien Mureau wrote: Reste à surveiller les dev d'exploits pour voir s'il y a un 0day bientôt. Ça pourrait faire mal ... Il me semble qu'il y a déjà le code d'un exploit là : https://www.rack911.com/poc/hemlock.c (il y a le lien sur osvdb). Je suppose qu'il suffit de changer la ligne 35 pour l'utiliser a distance.. (pas testé, ni en local d'ailleurs) Aymeric signature.asc Description: OpenPGP digital signature ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] CVE-2013-2224 Vulnérabilité Kernel 2.6.32
Bonsoir, Plus d'informations à cette adresse : http://www.openwall.com/lists/oss-security/2013/07/02/4 This issue does not affect upstream. C'est probablement spécifique à Red Hat avec leur habitude d'ajouter des triggers et d'autres choses. Bonne soirée Florent smime.p7s Description: Signature cryptographique S/MIME ___ Liste de diffusion du FRsAG http://www.frsag.org/