OVH Community, votre nouvel espace communautaire.

Activité suspecte !!


doc_denis
24/04/2014, 19h04
bonjour
évidement, comme conseillé plus haut : fail2ban est indispensable !

tu peux aussi bloquer à la main une adresse IP qui te cause problème avec iptable
ou
ajoute l'ip dans le /etc/host.deny et hop l'adresse est interdite de séjour.
en gros, c'est le même boulot que celui de fail2ban ...mais à la main.

Pour moi, je suis en "mode parano" dans les réglages fail2ban.
je ban 1 mois mini : 2592000 secondes
maxretry = 3 pour tout au max j'en ai en 2 et même en 1

@+

marl
24/04/2014, 18h34
merci Nowwhat !!

Oui, j'ai bien compris que fail2ban était incontournable !! Je l'ai installé hier. J'y fais des réglages encore ...

Cet aprèm, j'ai dû rebooter ma VM, le serveur était bloqué (même plus d'accès console ssh), forte activité cpu/mem !! Attaque DOS ?
J'ai trouvé encore des centaines de lignes dovecot, existe t-il une causalité?

Par défaut j'avais laissé la config fail2ban avec dovecot false ... j'ai rectifié. J'espère que cela va bloquer définitivement ces tentatives.

Nowwhat
24/04/2014, 09h09
Bonjour,

Fail12ban, une fois installé, va uniquement travailler sur la porte '22' (SSH).
Normalement™ tu ne risques rien, car le filtre "protection SSH" teste les tentatives d'accès par mot de passe (authentification par clavier), or, l'admin un peu plus que sérieux (toi) travaille depuis le début avec une authentification clé privé/publique. Ainsi, fail2ban ne va jamais te bloquer toi. Tout couillon qui se présente avec une tentative 'utilisateur + mot de passe => BAN !!)

Je ne travaille pas avec dovocot, mais, t'as fourni un morceau de log de ton serveur, ce qui est bien !
J'ai dans ma installation fial2ban le filtre "dovecot", donc ..... je peut te faire un démo.

J'ai copie ton extrait de log dans /root/log-test.log
Puis:
Code:
fail2ban-regex  /root/log-test.log /etc/fail2ban/filter.d/dovecot.conf
qui me donne:
Running tests
=============
Use regex file : /etc/fail2ban/filter.d/dovecot.conf
Use log file : log-test.log

Results
=======
Failregex
|- Regular expressions:
| [1] .*(?op3-login|imap-login):.*(?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed).*rip=(?P\S*),.*
|
`- Number of matches:
[1] 21 match(es)

Ignoreregex
|- Regular expressions:
|
`- Number of matches:

Summary
=======

Addresses found:
[1]
46.29.255.29 (Wed Apr 23 11:23:53 2014)
46.29.255.29 (Wed Apr 23 11:23:54 2014)
46.29.255.29 (Wed Apr 23 11:23:55 2014)
46.29.255.29 (Wed Apr 23 11:24:03 2014)
46.29.255.29 (Wed Apr 23 11:24:04 2014)
46.29.255.29 (Wed Apr 23 11:24:05 2014)
46.29.255.29 (Wed Apr 23 11:24:14 2014)
46.29.255.29 (Wed Apr 23 11:24:14 2014)
46.29.255.29 (Wed Apr 23 11:24:16 2014)
46.29.255.29 (Wed Apr 23 11:24:24 2014)
46.29.255.29 (Wed Apr 23 11:24:25 2014)
46.29.255.29 (Wed Apr 23 11:24:26 2014)
46.29.255.29 (Wed Apr 23 11:24:34 2014)
46.29.255.29 (Wed Apr 23 11:24:35 2014)
46.29.255.29 (Wed Apr 23 11:24:37 2014)
46.29.255.29 (Wed Apr 23 11:24:45 2014)
46.29.255.29 (Wed Apr 23 11:24:46 2014)
46.29.255.29 (Wed Apr 23 11:24:47 2014)
46.29.255.29 (Wed Apr 23 11:24:55 2014)
46.29.255.29 (Wed Apr 23 11:24:56 2014)
46.29.255.29 (Wed Apr 23 11:24:58 2014)

Date template hits:
48 hit(s): MONTH Day Hour:Minute:Second

Success, the total number of match is 21
However, look at the above section 'Running tests' which could contain important information.
Résultat: l'IP "46.29.255.29" a validé le test 21 fois.
Ce qui indique que fail2ban aurait pu bloquer cet IP rapidement (après x tentatives pour Y temps)

A savoir:
On filtre pas que la porte SSH (22) et la porte 110. Il y a aussi des règles pour FTP, smtp smtp-ssl, imap, imap-ssl, http (80), submission (587), etc etc etc.
Suivant besoin on les paramètre tous.

fail2ban n'existe pas que pour ajouter un peu plus de sécurité, il limite le nombre de tentatives de login possible, mais la fonctionnement va aussi limiter la taille des tes fichiers log. Il n'est pas rare de trouver des logs comme /var/log/auth.log avec une taille de plusieurs dizaines des mega octets le matin car la moitié de la Chine a décidé la nuit passé de tenter un accès SSH avec le dictionnaire 'Petit Rober' comme source. Le disque de ton serveur va se remplir rapidement et le serveur crash à la fin.
D'où la raison de vérifier les logs principaux de ton serveur chaque jour - sans exception, jusq'au jour ou tu sais que fail2ban va intervenir correctement sur toutes les portes de ton serveur. Plus tard, ce genre d’outil (Munin qui montre les stats de fail2ban) peuvent t'aider aussi.

Autrement dit: installer fail2ban n'est pas une 'option' mais une 'obligation'.
De même va pour un outil nommé logrotate.

Nico94
23/04/2014, 22h32
Oui. Elles sont débloquées dès lors que fail2ban est relancé (donc a fortiori avec un reboot, elles le sont).

Du reste, fail2ban obéit aux règles qu'on lui donne et fait très exactement ce qu'on lui dit de faire. Il n'est donc pas "risqué" de s'en servir ... dès lors qu'on sait ce qu'on fait. Il reste donc à lire la doc et à potasser ses expressions régulières.

gaboul49
23/04/2014, 14h14
Il me semble les IP bloquées par fail2ban sont débloquées après un reboot.

@NouveauEnVille : Tu confirmes ?

NouveauEnVille
23/04/2014, 13h50
Citation Envoyé par marl
Depuis mon poste d'administrateur, je n'ai pas d'IP fixe (simple client Orange), je ne peux donc pas la mettre en exception, est-ce risqué ?
Si tu te trompes trop souvent en te connectant, oui.

marl
23/04/2014, 13h38
Merci de ta réponse,

J'avais pensé à fail2ban ... ça marche bien ? Pas de faux-positifs ?
Depuis mon poste d'administrateur, je n'ai pas d'IP fixe (simple client Orange), je ne peux donc pas la mettre en exception, est-ce risqué ?

Nico94
23/04/2014, 12h31
Installe fail2ban, il est justement fait pour ça.

marl
23/04/2014, 11h36
serveur lent,

Voici un aperçu das logs mails.
(je n'ai pas laissé apparaître l'IP de mon serveur)

J'ai des centaines de lignes comme celles-ci :

Code:
Apr 23 11:23:53 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=, method=PLAIN, rip=46.29.255.29, lip=IP_de_mon_VPS
Apr 23 11:23:54 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=, method=PLAIN, rip=46.29.255.29, lip=IP_de_mon_VPS
Apr 23 11:23:55 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=, method=PLAIN, rip=46.29.255.29, lip=IP_de_mon_VPS
Apr 23 11:24:03 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=, method=PLAIN, rip=46.29.255.29, lip=IP_de_mon_VPS
Apr 23 11:24:04 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=, method=PLAIN, rip=46.29.255.29, lip=IP_de_mon_VPS
Apr 23 11:24:05 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=, method=PLAIN, rip=46.29.255.29, lip=IP_de_mon_VPS
Apr 23 11:24:14 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=, method=PLAIN, rip=46.29.255.29, lip=IP_de_mon_VPS
Apr 23 11:24:14 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=, method=PLAIN, rip=46.29.255.29, lip=IP_de_mon_VPS
Apr 23 11:24:16 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=, method=PLAIN, rip=46.29.255.29, lip=IP_de_mon_VPS
Apr 23 11:24:24 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=, method=PLAIN, rip=46.29.255.29, lip=IP_de_mon_VPS
Apr 23 11:24:25 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=, method=PLAIN, rip=46.29.255.29, lip=
Apr 23 11:24:26 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=, method=PLAIN, rip=46.29.255.29, lip=IP_de_mon_VPS
Apr 23 11:24:34 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=, method=PLAIN, rip=46.29.255.29, lip=IP_de_mon_VPS
Apr 23 11:24:35 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=, method=PLAIN, rip=46.29.255.29, lip=IP_de_mon_VPS
Apr 23 11:24:37 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=, method=PLAIN, rip=46.29.255.29, lip=IP_de_mon_VPS
Apr 23 11:24:45 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=, method=PLAIN, rip=46.29.255.29, lip=IP_de_mon_VPS
Apr 23 11:24:46 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=, method=PLAIN, rip=46.29.255.29, lip=IP_de_mon_VPS
Apr 23 11:24:47 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=, method=PLAIN, rip=46.29.255.29, lip=IP_de_mon_VPS
Apr 23 11:24:55 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=, method=PLAIN, rip=46.29.255.29, lip=IP_de_mon_VPS
Apr 23 11:24:56 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=, method=PLAIN, rip=46.29.255.29, lip=IP_de_mon_VPS
Apr 23 11:24:58 server1 dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=, method=PLAIN, rip=46.29.255.29, lip=IP_de_mon_VPS
Apr 23 11:25:02 server1 dovecot: pop3-login: Disconnected (no auth attempts): rip=::1, lip=::1, secured
Apr 23 11:25:02 server1 dovecot: imap-login: Disconnected (no auth attempts): rip=::1, lip=::1, secured
Apr 23 11:25:02 server1 postfix/smtpd[3416]: warning: hostname localhost does not resolve to address ::1: No address associated with hostname
Apr 23 11:25:02 server1 postfix/smtpd[3416]: connect from unknown[::1]
Apr 23 11:25:02 server1 postfix/smtpd[3416]: lost connection after CONNECT from unknown[::1]
Apr 23 11:25:02 server1 postfix/smtpd[3416]: disconnect from unknown[::1]
Que puis-je faire pour arrêter cela ?
Merci de votre aide.

Gilles