Problème dans mes logs
Problème dans mes logs - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 24-09-2005 à 19:41:03
Ca veut dire que quelqu un utilise ton serveur comme serveur POP3 (et au passage ton adresse est en claire dans le deuxieme log). C'est un log d'IPTable/netfilter le firewall de linux.
Enfin, c'est peut etre pas du POP3, c'est sur le port 110 quoi 
Message édité par l0ky le 24-09-2005 à 19:46:10
Marsh Posté le 24-09-2005 à 19:41:55
C'est iptables qui envoie cette infos. Elle veut dire que tu as des connections sur ton serveur pop (port 110). Ce qui est normal si tu utilise un serveur pop. 
burned
Message édité par sebchap le 24-09-2005 à 19:42:46
Marsh Posté le 24-09-2005 à 20:47:34
Oki merci, je me demandais juste pourquoi il y en avait autant, logcheck ne me faisant pas part de ça avant 
Marsh Posté le 24-09-2005 à 20:48:44
PAr contre j'ai eu une attaque SSH hier (un robot qui essayai tout plein de combinaison de login) y a quelque chose à faire contre ça ?
Marsh Posté le 24-09-2005 à 20:53:54
Bah je ne sais pas comment sont foutues tes règles IPTables mais rien qu'a voir ces deux logs je penses pas qu'elles soient top...
A mon avis ces deux logs sont générés pas les deux premiers paquets d'une même connexion à ton service POP3 (le SYN du client, normal si tu veux voir tous les clients qui se logs; et le SYN/ACK de ton serveur vers le clients : La je vois pas du tout l'intéret de logguer un tel paquet...). J'espere que tu ne loggue pas TOUS les paquets de cette manière sinon tu m'étonne que tes logs en soient remplis...
Tu risques même de voir ta partition où se trouvent /var/log totalement remplie et des problemes en perspectives.
Un conseil: revoit ta politique pour logguer...
Marsh Posté le 24-09-2005 à 20:55:31
| stef57 a écrit : PAr contre j'ai eu une attaque SSH hier (un robot qui essayai tout plein de combinaison de login) y a quelque chose à faire contre ça ? |
Il existe plusieurs techniques : au niveau de SSH tu peux augmenter le temps à attendre avant de se logguer lorsqu'il y a eut plusieurs mauvais logging.
au niveau iptables tu peux utiliser le match recent, et sinon tu as le script de tomate (je l'ai vut en premiere page il n'y a pas lontemps
edit: et une bonne politique pour des mots de passes non trouvable par attaque du dictionnaire
Message édité par l0ky le 24-09-2005 à 20:56:23
Marsh Posté le 24-09-2005 à 21:11:50
Bon pour faire rapide, mon script iptables est celui d'Alexis De Lattre:
http://people.via.ecp.fr/~alexis/f [...] bles-start
J'ai désactivé d'icmp et le multicast et j'ai ouvert les ports dont j'avais besoin...
Je vais voir si j'arrive à augmenter le temps d'attente entre plusieurs logins Normalement les mots de passes tiennent la route
Marsh Posté le 24-09-2005 à 21:17:45
Ok je viens de trouver le script de tomate
http://forum.hardware.fr/hardwaref [...] 8574-1.htm
Marsh Posté le 24-09-2005 à 21:19:40
Pour les logs IPTables il doit y avoir autre chose, le script de delattre ne génère pas de log. logcheck doit générer ses propers rules.
Sujets relatifs:
- [debian]probleme d'affichage
- Problème instal Mandriva 2005 : Plantage contrôleur sata hostraid
- Problème d'installation de JAVA
- Serieux problème de perfs avec un mmap
- Jai un probleme avec internet et linux.
- j'ai un probleme avec ma carte tv usb
- [Résolu] Probleme d'imprimante : epson color 480 SXU
- Problème install webmin ( FQDN et Debian )
- Problème avec les logs iptables
- [squid] probleme logs
Marsh Posté le 24-09-2005 à 19:37:22
Hello tout le monde,
J'ai un petit problème dans les logs du serveur de mon ecole, j'ai ceci qui reviens sans cesse:
Avec xxx.xxx.xxx.xxx l'adresse de mon serveur...enfin bon ça infeste mes logs...ça veut dire quoi ?
Message édité par stef57 le 24-09-2005 à 20:20:34