Bonjour,

J'ai récemment acquis un serveur dédié sur OVH (EG CORE2DUO) avec Fedora core 2 installé dessus.

Après quelques jours de mise en service, et à tout hasard j'ai été checker les logs apache et ssh entre autre.

Et, des robots (je pense) scannent mon serveur pour y trouver phpmyadmin :




Il y'a aussi des tentatives de connections en ssh:



J'ai entendu parler de fail2ban mais je ne parvient pas à l'installer, je ne pense pas qu'il fonctionne sous ma distribution linux.

Pour fail2ban, si je fait yum install fail2ban il ne le trouve pas.
Après j'ai télécharger le rpm sur le site officiel et rpm me dit qu'il manque deux dépendances, et j'ai l'impression que c'est en plus pour fedora core 6 donc bon...

Auriez-vous une aide à m'apporter pour mettre fin à ces tentatives qui m'inquiètent un peu même si à priori elles ne devraient pas se solder par une réussite.

P.S : Je connais linux par debian, c'est la première fois que je passe sous fedora donc j'ose pas non plus tenter des installations que je ne maitriserait pas, c'est pour cela que j'appelle à votre bonne aide.

Merci d'avance.

Hello,

question subsidiaire : puisque tu connais Debian, pourquoi ne pas virer cette distribution qui date de Mathusalem ?

Pour ce qui est de SSH, et histoire de se rassurer un peu : tu peux limiter les accès SSH à seulement quelques utilisateurs (voir un seul) via l'option "AllowUsers" dans la config de SSH (/etc/ssh/sshd_config sous Debian) ; et tu peux également forcer l'utilisation d'une clé SSH au lieu d'un mot de passe. Pour le coup tout "brute force" sera quasiment impossible de ce coté.
Et si les messages dans les logs te gènent, tu peux toujours changer le port d'écoute de SSH : ces scripts ne scannent que le port par défaut.

Pour phpMyAdmin, la solution serait de ne pas le faire tourner sur le VirtualHost par défaut ; mais c'est déjà probablement le cas non ?

Tout d'abord merci pour ta réponse.

Concernant la distrib, je t'avouerai que j'ai pas les connaissances suffisante pour reinstaller la machine et surtout peur de ne pas y arriver et que plus rien de fonctionne (et on a des clients qui sont hébérgés chez nous ).

Concernant SSH, j'ai modifié le port et depuis plus aucun problème.
Pour le phpmyadmin, il n'est bien entendu pas installer donc il ne sera pas découvert, pour l'instant je banni juste les IP quand je regarde les logs, et y'a de moins en moins d'essais, donc ca s'arrange bien.

Enfin j'ai une dernière question, sur le serveur smtp. En vérifiant /home/log/secure, je vois :



Quand je fais des "whois ip" je trouve des correspondances en hollande, en thaliande etc...
Est ce que c'est du spam ou bien juste des essais d'envoie d'email qui sont refusés ?
Et si c'est du spam, que puis-je faire pour contrer cela ?

Voilà, après ca je pense que tout et assez bien sécurisé

Merci !

re,

pour ces logs d'email, ce sont surement des tentatives de spam oui ; après pour savoir si elles réussissent ou non il faudrait commencer par regarder les logs du serveur de mail (/var/log/mail.log généralement ; sauf avec Plesk...).

Sinon il y a des outils qui vérifient qu'un serveur soit en "Open Relay" : demande à Google

Merci pour ton lien, d'après les tests effectués, tous se terminent par : 553 sorry, that domain isn't in my list of allowed rcpthosts.
Sauf le dernier à chaque fois, et comme conclusion j'obtiens ;



Donc j'ai l'impression que les mails sont quand même bloqués ?

Et comme tu le soulignes j'utilise Plesk, y'a t'il un moyen d'activer le fichier /var/log/maillog ?

Merci pour ton aide !