X-Space

Aller au contenu | Aller au menu | Aller à la recherche

fail2ban

En étudiant les logs du serveur suite à une variation anormale de la RAM utilisée, je viens de m'apercevoir que le serveur subissait des attaques par force brute.

Petit exemple:

May 12 07:31:01 nsXXXX sshd[30255]: Illegal user bnc from 66.XXXXXX
May 12 07:31:01 nsXXXX sshd[30255]: Address 66.XXXXXX maps to mail.XXX.com, but this does not map back to the address - POSSIBLE BREAKIN AT TEMPT!
May 12 07:31:01 nsXXXX sshd[30255]: error: Could not get shadow information for NOUSER
May 12 07:31:01 nsXXXX sshd[30255]: Failed password for illegal user bnc from 66.XXXXXX port 41663 ssh2

Premier réflexe: bannir l'adresse IP, iptables est notre ami!

iptables -A INPUT -s 66.XXX-j DROP

Après une étude plus attentive, je me suis aperçu que ce n'était pas la première fois et pas uniquement sur cette IP. Je me suis souvenu d'un petit programme qui surveillait les logs d'authentification et procédait à un ban temporaire de l'adresse IP le cas échéant: fail2ban.

aptitude install fail2ban

J'ai aussi configuré la surveillance sur Apache, proftpd.

Lien Externe

Fail2ban contre l'attaque par brute force

Commentaires

1. Le dimanche, mai 13 2007, 20:56 par TitaX

Avoir une ip fixe dans ces cas là et filtrer uniquement sur celle-ci est un avantage certain !

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.

Fil des commentaires de ce billet