Comment bloquer un scan [Debian] - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 31-07-2006 à 00:01:26
Sais tu comment bloquer cela ?
Il lui permet de faire quoi le scan ?
Marsh Posté le 31-07-2006 à 00:46:19
un scan pour connaitre tes ports/services , ou la recherche d'un service particulier
la , il sait qu'il y a un serveur mail et ftp sur ta machine
normalement une regle iptables suffit.
Marsh Posté le 31-07-2006 à 01:05:48
j'ai fais un :
Code :
|
Ensuite j'ai effectué un iptables-save.
Mais il continue toujours !
Marsh Posté le 31-07-2006 à 02:54:12
C'est tout de même bizarre que le firewall laisse passer des scans depuis cette ip si par défaut la règle demande de l'ignorer ; je ne vois pas trop comment c'est possible, à moins peut-être que tu as définies certaines règles dans le mauvais ordre...
Tu as essayé avec une seule règle iptables plus radicale pour voir si les scans passaient toujours ? Par exemple essayes juste de tout mettre en "drop" :
iptables -P INPUT DROP |
Si les scans passent toujours, il y a un sacré problème alors ; vérifie l'état de ton firewall, peut-être qu'il n'est pas actif ou que la définition des règles n'aboutie pas. Pour vérifier son statut et les règles actives fait un :
iptables -L -v |
Tiens-nous au courant
Marsh Posté le 31-07-2006 à 05:11:30
question con,mais même si on voit un serveur mail ou autre qu'est ce que ça peut faire?
les risques sont limités quand même non avec une machine à jour et un mdp autre que toto?!
Marsh Posté le 31-07-2006 à 08:04:51
Salut,
Essaies plutôt :
iptables -I INPUT -s 212.27.39.196 -j DROP, ça permet d'insérer ta règle en premier dans la chaine INPUT car si tu fais un -A ça la rajoute à la fin et ça ne la prend pas en compte puisque tu as une autre règle en amont qui autorise. Je sais pas si c'est clair ce que je raconte En gros, comme disait THRAK, c'est un problème d'ordre dans les règles.
Ensuite pour bloquer automatiquement tu peux faire un script cronné qui check les logs et ajoute les règles iptables qui vont bien
Marsh Posté le 31-07-2006 à 10:09:21
paprika a écrit : question con,mais même si on voit un serveur mail ou autre qu'est ce que ça peut faire? |
Justement c'était ma question :s Je ne sais pas du tout. Mais si un gars le fait...
En plus je suis abattu, car mon mot de passe c'est "toto"
THRAK a écrit : C'est tout de même bizarre que le firewall laisse passer des scans depuis cette ip si par défaut la règle demande de l'ignorer ; je ne vois pas trop comment c'est possible, à moins peut-être que tu as définies certaines règles dans le mauvais ordre...
|
Je fais régulièrement un "iptables -v -L , mais comme expliqué par deux personnes, j'ai peut être un problème d'ordre dans mes règles. Ce soir je vous édite mon fichier.
A ce soir (encore merci à vous tous)
Marsh Posté le 31-07-2006 à 16:09:47
Juste comme ça : anakin.proxad.net , c'est le serveur de monitoring de dedibox.
Si ta machine est une dedibox, c'est normal que anakin essaie de s'y connecter régulièrement: ça veut juste dire que t'as activé le monitoring de ton serveur smtp et de ton serveur ftp. C'est un service rendu par dédibox que de verifier que ton serveur fonctionne, et t'envoyer un mail si il est HS.
Pour qu'il arrête , il te suffit de désactiver le monitoring sur le site http://console.Dedibox.fr .
Marsh Posté le 31-07-2006 à 16:16:52
D'ailleurs (cf dernière newsletter dedibox), le serveur de monitoring va bientôt changer, il aura pour IP : 88.191.254.17 , et pour Reverse monitoring.dedibox.fr , ce qui est plus clair .
Marsh Posté le 31-07-2006 à 17:14:42
Si c'est le pass smtp , et que l'utilisateur c'est zdekVkdu , ça va
Marsh Posté le 31-07-2006 à 21:18:09
Merci leto3... J'aurai pu chercher pendant longtemps
Petite question... Pourquoi vous me parlez d'authentification smtp ?
Enfin mon mot de passe c'est pas toto mais ****
Merci à tous
Marsh Posté le 01-08-2006 à 10:24:36
Je parlais d'auth smtp car je pensais que tu disais que ton mot de passe smtp était "toto".
Mais ça n'a rien à voir avec la discussion actuelle concernant le monitoring dédibox.
Marsh Posté le 01-08-2006 à 20:11:42
Petite question à part.
J'utilise pop-before-smtp pour "simuler" l'authentification smtp
Qu'en pensez vous ?
Marsh Posté le 30-07-2006 à 23:44:31
Bonjour à tous,
Voici ce que j'ai depuis ce matin dans mes logs
J'ai pourtant bani l'ip avec une règle iptables, mais les logs apparaissent toujours. Savez vous ce que l'individu tente de faire ? En face c'est un serveur Linux apparement.
Merci d'avance.
Message édité par kartnico le 31-07-2006 à 02:06:16