fail2ban
Par jeanseb le samedi, mai 12 2007, 20:36 - General - Lien permanent
En étudiant les logs du serveur suite à une variation anormale de la RAM utilisée, je viens de m'apercevoir que le serveur subissait des attaques par force brute.
Petit exemple:
May 12 07:31:01 nsXXXX sshd[30255]: Illegal user bnc from 66.XXXXXX
May 12 07:31:01 nsXXXX sshd[30255]: Address 66.XXXXXX maps to mail.XXX.com, but this does not map back to the address - POSSIBLE BREAKIN AT
TEMPT!
May 12 07:31:01 nsXXXX sshd[30255]: error: Could not get shadow information for NOUSER
May 12 07:31:01 nsXXXX sshd[30255]: Failed password for illegal user bnc from 66.XXXXXX port 41663 ssh2
Premier réflexe: bannir l'adresse IP, iptables est notre ami!
iptables -A INPUT -s 66.XXX-j DROP
Après une étude plus attentive, je me suis aperçu que ce n'était pas la première fois et pas uniquement sur cette IP. Je me suis souvenu d'un petit programme qui surveillait les logs d'authentification et procédait à un ban temporaire de l'adresse IP le cas échéant: fail2ban.
aptitude install fail2ban
J'ai aussi configuré la surveillance sur Apache, proftpd.
Commentaires
Avoir une ip fixe dans ces cas là et filtrer uniquement sur celle-ci est un avantage certain !