[Debian] Comment bloquer un scan

Comment bloquer un scan [Debian] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 30-07-2006 à 23:44:31    

Bonjour à tous,
 
Voici ce que j'ai depuis ce matin dans mes logs  
 

Code :
  1. Jul 30 23:34:03 ***** postfix/smtpd[32326]: connect from anakin.proxad.net[212.27.39.196]
  2. Jul 30 23:34:03 ***** postfix/smtpd[32326]: disconnect from anakin.proxad.net[212.27.39.196]
  3. Jul 30 23:40:52 ***** proftpd[28576]: domaine.fr (anakin.proxad.net[212.27.39.196]) - FTP session opened.
  4. Jul 30 23:40:52 ***** proftpd[28576]: domaine.fr (anakin.proxad.net[212.27.39.196]) - FTP session closed.


 
J'ai pourtant bani l'ip avec une règle iptables, mais les logs apparaissent toujours. Savez vous ce que l'individu tente de faire ? En face c'est un serveur Linux apparement.
 
Merci d'avance.


Message édité par kartnico le 31-07-2006 à 02:06:16
Reply

Marsh Posté le 30-07-2006 à 23:44:31   

Reply

Marsh Posté le 30-07-2006 à 23:54:13    

perso , je dirai un scan de ta machine

Reply

Marsh Posté le 31-07-2006 à 00:01:26    

Sais tu comment bloquer cela ?
 
Il lui permet de faire quoi le scan ?

Reply

Marsh Posté le 31-07-2006 à 00:46:19    

un scan pour connaitre tes  ports/services , ou la recherche d'un service particulier
la , il sait qu'il y a un serveur mail et ftp sur ta machine
 
normalement une regle iptables suffit.

Reply

Marsh Posté le 31-07-2006 à 01:05:48    

j'ai fais un :

Code :
  1. iptables -A INPUT -s 212.27.39.196 -j DROP


Ensuite j'ai effectué un iptables-save.
 
Mais il continue toujours !


Message édité par kartnico le 31-07-2006 à 01:06:27
Reply

Marsh Posté le 31-07-2006 à 02:54:12    

C'est tout de même bizarre que le firewall laisse passer des scans depuis cette ip si par défaut la règle demande de l'ignorer ; je ne vois pas trop comment c'est possible, à moins peut-être que tu as définies certaines règles dans le mauvais ordre...
 
Tu as essayé avec une seule règle iptables plus radicale pour voir si les scans passaient toujours ? Par exemple essayes juste de tout mettre en "drop" :

iptables -P INPUT DROP


 
Si les scans passent toujours, il y a un sacré problème alors ; vérifie l'état de ton firewall, peut-être qu'il n'est pas actif ou que la définition des règles n'aboutie pas. Pour vérifier son statut et les règles actives fait un :

iptables -L -v


 
Tiens-nous au courant  :hello:


---------------
THRAK (def.) : 1) A sudden and precise impact moving from intention, direction and commitment, in service of an aim. 2) 117 guitars almost striking the same chord simultaneously.
Reply

Marsh Posté le 31-07-2006 à 05:11:30    

question con,mais même si on voit un serveur mail ou autre qu'est ce que ça peut faire?
les risques sont limités quand même non avec une machine à jour et un mdp autre que toto?!

Reply

Marsh Posté le 31-07-2006 à 08:04:51    

Salut,
 
Essaies plutôt :
 
iptables -I INPUT -s 212.27.39.196 -j DROP, ça permet d'insérer ta règle en premier dans la chaine INPUT :) car si tu fais un -A ça la rajoute à la fin et ça ne la prend pas en compte puisque tu as une autre règle en amont qui autorise. Je sais pas si c'est clair ce que je raconte :heink: En gros, comme disait THRAK, c'est un problème d'ordre dans les règles.
 
Ensuite pour bloquer automatiquement tu peux faire un script cronné qui check les logs et ajoute les règles iptables qui vont bien :hello:


Message édité par Cruchot le 31-07-2006 à 08:14:23
Reply

Marsh Posté le 31-07-2006 à 10:09:21    

paprika a écrit :

question con,mais même si on voit un serveur mail ou autre qu'est ce que ça peut faire?
les risques sont limités quand même non avec une machine à jour et un mdp autre que toto?!


 
Justement c'était ma question :s  Je ne sais pas du tout. Mais si un gars le fait...
En plus je suis abattu, car mon mot de passe c'est "toto" :'(    :lol:
 

THRAK a écrit :

C'est tout de même bizarre que le firewall laisse passer des scans depuis cette ip si par défaut la règle demande de l'ignorer ; je ne vois pas trop comment c'est possible, à moins peut-être que tu as définies certaines règles dans le mauvais ordre...
 
Tu as essayé avec une seule règle iptables plus radicale pour voir si les scans passaient toujours ? Par exemple essayes juste de tout mettre en "drop" :

iptables -P INPUT DROP


 
Si les scans passent toujours, il y a un sacré problème alors ; vérifie l'état de ton firewall, peut-être qu'il n'est pas actif ou que la définition des règles n'aboutie pas. Pour vérifier son statut et les règles actives fait un :

iptables -L -v


 
Tiens-nous au courant  :hello:


 
Je fais régulièrement un "iptables -v -L , mais comme expliqué par deux personnes, j'ai peut être un problème d'ordre dans mes règles. Ce soir je vous édite mon fichier.
 
A ce soir :D (encore merci à vous tous)


Message édité par kartnico le 31-07-2006 à 10:11:05
Reply

Marsh Posté le 31-07-2006 à 16:09:47    

Juste comme ça : anakin.proxad.net , c'est le serveur de monitoring de dedibox.
 
Si ta machine est une dedibox, c'est normal que anakin essaie de s'y connecter régulièrement: ça veut juste dire que t'as activé le monitoring de ton serveur smtp et de ton serveur ftp. C'est un service rendu par dédibox que de verifier que ton serveur fonctionne, et t'envoyer un mail si il est HS.
 
Pour qu'il arrête , il te suffit de désactiver le monitoring sur le site http://console.Dedibox.fr .


Message édité par leto le 31-07-2006 à 16:11:18

---------------
--
Reply

Marsh Posté le 31-07-2006 à 16:09:47   

Reply

Marsh Posté le 31-07-2006 à 16:16:52    

D'ailleurs (cf dernière newsletter dedibox), le serveur de monitoring va bientôt changer, il aura pour IP : 88.191.254.17 , et pour Reverse monitoring.dedibox.fr , ce qui est plus clair .


---------------
--
Reply

Marsh Posté le 31-07-2006 à 17:04:21    

louer une dedibox avec pour pass "toto"  [:pamplelune]

Reply

Marsh Posté le 31-07-2006 à 17:14:42    

Si c'est le pass smtp , et que l'utilisateur c'est zdekVkdu , ça va :D


---------------
--
Reply

Marsh Posté le 31-07-2006 à 21:18:09    

Merci leto3... J'aurai pu chercher pendant longtemps :D
 
Petite question... Pourquoi vous me parlez d'authentification smtp ?
 
Enfin mon mot de passe c'est pas toto mais ****   :p
 
Merci à tous :D

Reply

Marsh Posté le 01-08-2006 à 10:24:36    

Je parlais d'auth smtp car je pensais que tu disais que ton mot de passe smtp était "toto".
Mais ça n'a rien à voir avec la discussion actuelle concernant le monitoring dédibox.


---------------
--
Reply

Marsh Posté le 01-08-2006 à 20:11:42    

Petite question à part.
 
J'utilise pop-before-smtp pour "simuler" l'authentification smtp
 
Qu'en pensez vous ?

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed