Jump to content

Scan et bruteforce sur mon dédié


Bridou
 Share

Recommended Posts

Bonjour,

J'ai récemment acquis un serveur dédié sur OVH (EG CORE2DUO) avec Fedora core 2 installé dessus.

Après quelques jours de mise en service, et à tout hasard j'ai été checker les logs apache et ssh entre autre.

Et, des robots (je pense) scannent mon serveur pour y trouver phpmyadmin :

[Wed Feb 13 14:29:47 2008] [error] [client 80.237.172.244] File does not exist: /home/httpd/vhosts/default/htdocs/phpMyAdmin-2.8.0.2

[Wed Feb 13 14:29:47 2008] [error] [client 80.237.172.244] File does not exist: /home/httpd/vhosts/default/htdocs/phpMyAdmin-2.8.0.3

[Wed Feb 13 14:29:47 2008] [error] [client 80.237.172.244] File does not exist: /home/httpd/vhosts/default/htdocs/phpMyAdmin-2.8.0.4

[Wed Feb 13 14:29:47 2008] [error] [client 80.237.172.244] File does not exist: /home/httpd/vhosts/default/htdocs/phpMyAdmin-2.8.1-rc1

[Wed Feb 13 14:29:47 2008] [error] [client 80.237.172.244] File does not exist: /home/httpd/vhosts/default/htdocs/phpMyAdmin-2.8.1

[Wed Feb 13 14:29:47 2008] [error] [client 80.237.172.244] File does not exist: /home/httpd/vhosts/default/htdocs/phpMyAdmin-2.8.2

[Wed Feb 13 14:53:08 2008] [error] [client 85.114.132.157] File does not exist: /home/httpd/vhosts/default/htdocs/phpmyadmin

Il y'a aussi des tentatives de connections en ssh:

Feb 12 12:41:07 monserveur sshd[5030]: Illegal user bettina from 221.232.131.50

Feb 12 12:41:09 monserveur sshd[5030]: Failed password for illegal user bettina from 221.232.131.50 port 55080 ssh2

Feb 12 12:41:14 monserveur sshd[5049]: Illegal user bianka from 221.232.131.50

Feb 12 12:41:16 monserveur sshd[5049]: Failed password for illegal user bianka from 221.232.131.50 port 55706 ssh2

Feb 12 12:41:21 monserveur sshd[5051]: Illegal user birgit from 221.232.131.50

Feb 12 12:41:23 monserveur sshd[5051]: Failed password for illegal user birgit from 221.232.131.50 port 56308 ssh2

Feb 12 12:41:28 monserveur sshd[5053]: Illegal user brigitte from 221.232.131.50

Feb 12 12:41:31 monserveur sshd[5053]: Failed password for illegal user brigitte f

J'ai entendu parler de fail2ban mais je ne parvient pas à l'installer, je ne pense pas qu'il fonctionne sous ma distribution linux.

Pour fail2ban, si je fait yum install fail2ban il ne le trouve pas.

Après j'ai télécharger le rpm sur le site officiel et rpm me dit qu'il manque deux dépendances, et j'ai l'impression que c'est en plus pour fedora core 6 donc bon...

Auriez-vous une aide à m'apporter pour mettre fin à ces tentatives qui m'inquiètent un peu même si à priori elles ne devraient pas se solder par une réussite.

P.S : Je connais linux par debian, c'est la première fois que je passe sous fedora donc j'ose pas non plus tenter des installations que je ne maitriserait pas, c'est pour cela que j'appelle à votre bonne aide.

Merci d'avance.

Link to comment
Share on other sites

Hello,

question subsidiaire : puisque tu connais Debian, pourquoi ne pas virer cette distribution qui date de Mathusalem ? :whistling:

Pour ce qui est de SSH, et histoire de se rassurer un peu : tu peux limiter les accès SSH à seulement quelques utilisateurs (voir un seul) via l'option "AllowUsers" dans la config de SSH (/etc/ssh/sshd_config sous Debian) ; et tu peux également forcer l'utilisation d'une clé SSH au lieu d'un mot de passe. Pour le coup tout "brute force" sera quasiment impossible de ce coté.

Et si les messages dans les logs te gènent, tu peux toujours changer le port d'écoute de SSH : ces scripts ne scannent que le port par défaut.

Pour phpMyAdmin, la solution serait de ne pas le faire tourner sur le VirtualHost par défaut ; mais c'est déjà probablement le cas non ?

Link to comment
Share on other sites

Tout d'abord merci pour ta réponse.

Concernant la distrib, je t'avouerai que j'ai pas les connaissances suffisante pour reinstaller la machine et surtout peur de ne pas y arriver et que plus rien de fonctionne (et on a des clients qui sont hébérgés chez nous ;)).

Concernant SSH, j'ai modifié le port et depuis plus aucun problème.

Pour le phpmyadmin, il n'est bien entendu pas installer donc il ne sera pas découvert, pour l'instant je banni juste les IP quand je regarde les logs, et y'a de moins en moins d'essais, donc ca s'arrange bien.

Enfin j'ai une dernière question, sur le serveur smtp. En vérifiant /home/log/secure, je vois :

Feb 17 13:09:25 monserveur xinetd[21248]: START: smtp pid=27426 from=81.137.6.132

Feb 17 13:09:57 monserveur xinetd[21248]: START: smtp pid=27431 from=213.140.2.64

Feb 17 13:24:55 monserveur xinetd[21248]: START: smtp pid=28182 from=81.137.6.132

Feb 17 13:30:57 monserveur xinetd[21248]: START: ftp pid=28565 from=85.25.145.17

Feb 17 13:40:25 monserveur xinetd[21248]: START: smtp pid=29035 from=213.140.2.63

Feb 17 13:40:25 monserveur xinetd[21248]: START: smtp pid=29036 from=81.137.6.132

Feb 17 13:42:04 monserveur xinetd[21248]: START: smtp pid=29087 from=213.140.2.63

Feb 17 13:53:02 monserveur xinetd[21248]: START: smtp pid=29628 from=213.140.2.64

Feb 17 13:54:05 monserveur xinetd[21248]: START: smtp pid=29662 from=79.202.16.104

Quand je fais des "whois ip" je trouve des correspondances en hollande, en thaliande etc...

Est ce que c'est du spam ou bien juste des essais d'envoie d'email qui sont refusés ?

Et si c'est du spam, que puis-je faire pour contrer cela ?

Voilà, après ca je pense que tout et assez bien sécurisé :)

Merci !

Edited by Bridou
Link to comment
Share on other sites

re,

pour ces logs d'email, ce sont surement des tentatives de spam oui ; après pour savoir si elles réussissent ou non il faudrait commencer par regarder les logs du serveur de mail (/var/log/mail.log généralement ; sauf avec Plesk...).

Sinon il y a des outils qui vérifient qu'un serveur soit en "Open Relay" : demande à Google ;)

Edited by Kioob
Link to comment
Share on other sites

Merci pour ton lien, d'après les tests effectués, tous se terminent par : 553 sorry, that domain isn't in my list of allowed rcpthosts.

Sauf le dernier à chaque fois, et comme conclusion j'obtiens ;

Relay test result

Ops!!! Host appeared to accept a message relay, but it may or not may a positive open relay. I need procced a complete test, sending a test message to probe it. This anonymous user test did not send a test message.

Donc j'ai l'impression que les mails sont quand même bloqués ?

Et comme tu le soulignes j'utilise Plesk, y'a t'il un moyen d'activer le fichier /var/log/maillog ?

Merci pour ton aide !

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

×
×
  • Create New...