Spoofing d'ip sur mon VPS.

Discussion dans 'Administration d'un site Web' créé par ortolojf, 12 Septembre 2018.

  1. ortolojf
    ortolojf WRInaute accro
    Inscrit:
    14 Août 2002
    Messages:
    3 061
    J'aime reçus:
    12
    Bonjour

    Il semblerait que des hackers s'amusent à essayer de faire des essais très rapides et nombreux de connexions ssh sur mon site, et de plus aussi à partir de ma propre ip, vu que après une seule connexion réussie faite par mes soins en ssh, et déconnexion, le fail2ban théoriquement, m'interdit la connexion.

    Le nombre d'ip filtrées par fail2ban augmente rapidement quand je suis connecté, hier soir ma connexion ssh s'est même interrompue sans crier gare.

    J'ai fait une demande sur OVH, et puis je pourrais mettre une clé et peut-être que celà résoudrait le problème, mais que faire ?

    Rien d'anormal dans /var/log/auth.log mais celà ne prouve rien.

    Merci beaucoup de vos réponses.

    Amicalement.
     
  2. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    9 029
    J'aime reçus:
    291
    Perso je change le port par défaut (22) par un autre, et j'ai bcp moins de tentatives.
     
  3. mickou51
    mickou51 WRInaute discret
    Inscrit:
    8 Janvier 2016
    Messages:
    114
    J'aime reçus:
    9
    @ortolojf : ça serait mieux oui de jouer avec le petit fichier .ppk (créé par puttygen) et la clé SSH mais c'est surement chiant à installer, le mieux c'est de l'installé au tout début avec l'OS c'est plus facile.
    Ensuite oui je changerai de port aussi par un autre et il faut mettre un firewall comme csf + fail2ban ?!
    Et aussi mettre webmin pour administrer csf facilement.
     
  4. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    9 029
    J'aime reçus:
    291
    J'utilise ufw comme firewall (surcouche à iptables), je n'ai rien trouvé de plus simple.
     
  5. ortolojf
    ortolojf WRInaute accro
    Inscrit:
    14 Août 2002
    Messages:
    3 061
    J'aime reçus:
    12
    En fait...

    Le fichier /var/log/auth.log se remplit normalement ( lentement ), mais c'est fail2ban-client qui me bannit des ip en veux-tu en voilà plus d'une par seconde.

    Ce soir je ne peux pas me connecter, fail2ban ne tient pas compte que mon ip est exclue du filtrage.

    Serveur hacké, à reinstaller ?

    Amicalement.
     
  6. ortolojf
    ortolojf WRInaute accro
    Inscrit:
    14 Août 2002
    Messages:
    3 061
    J'aime reçus:
    12
    Bonjour

    Voici les règles que je souhaite mettre dans mon iptables :

    Code:
    
    #
    # Iptables.txt
    #
    # Regle log ssh drop :
    iptables -N SSH_DROP
    iptables -A SSH_DROP -m limit --limit 1/s -j LOG --log-prefix '[fw drop -> Attack ssh] : '
    iptables -A SSH_DROP -j DROP
    # Regles anti-brute force :
    iptables -A INPUT -d ${IP_EXT} -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --name SSH -j SSH_DROP
    iptables -A INPUT -d ${IP_EXT} -p tcp --dport 22 -m recent --set --name SSH
    iptables -A INPUT -d ${IP_EXT} -p tcp --dport 22 -m state --state NEW -j ACCEPT
    
    

    La 1ère ligne donne une erreur.

    Comment faire ?

    Merci beaucoup.
     
  7. ortolojf
    ortolojf WRInaute accro
    Inscrit:
    14 Août 2002
    Messages:
    3 061
    J'aime reçus:
    12
    La honte...

    Le problème venait seulement du fait que Fail2ban restaurait allégrément les ban au reload.

    Finalement site pas hacké.

    Je veux installer un firewall maison ( firewall et firewall6 ), scripts au point mais il faudrait le déclencher après le montage du réseau, et en mode systemd.

    Voici le squelette d'un fichier LSB.

    Où dois-je le mettre, et comment le configurer ?

    Merci beaucoup.


    Code:
    
    #! /bin/sh
    ### BEGIN INIT INFO
    # Provides:          #NAME#
    # Required-Start:    $remote_fs $syslog
    # Required-Stop:     $remote_fs $syslog
    # Default-Start:     2 3 4 5
    # Default-Stop:      0 1 6
    # Short-Description: #DESC#
    ### END INIT INFO
    # Autogenerated from systemd service file
    # Do NOT "set -e"
    # PATH should only include /usr/* if it runs after the mountnfs.sh script
    PATH=/sbin:/usr/sbin:/bin:/usr/bin
    DESC="#DESC#"
    NAME=#NAME#
    DAEMON=#DAEMON#
    DAEMON_ARGS="#DAEMON_ARGS#"
    PIDFILE=#PIDFILE#
    SCRIPTNAME=/etc/init.d/$NAME
    # Exit if the package is not installed
    [ -x "$DAEMON" ] || exit 0
    #ENVIRONMENT#
    # Read configuration variable file if it is present
    [ -r $ENVIRONMENTFILE ] && . $ENVIRONMENTFILE
    # Load the VERBOSE setting and other rcS variables
    . /lib/init/vars.sh
    # Define LSB log_* functions.
    # Depend on lsb-base (>= 3.2-14) to ensure that this file is present
    # and status_of_proc is working.
    . /lib/lsb/init-functions
    #
    # Function that starts the daemon/service
    #
    do_start()
    {
        #STARTPRE#
        # Return
        #   0 if daemon has been started
        #   1 if daemon was already running
        #   2 if daemon could not be started
        start-stop-daemon --start --quiet --pidfile $PIDFILE --exec $DAEMON --test > /dev/null \
            || return 1
        start-stop-daemon --start --quiet --pidfile $PIDFILE --exec $DAEMON -- \
            $DAEMON_ARGS \
            || return 2
        # Add code here, if necessary, that waits for the process to be ready
        # to handle requests from services started subsequently which depend
        # on this one.  As a last resort, sleep for some time.
        #STARTPOST#
    }
    #
    # Function that stops the daemon/service
    #
    do_stop()
    {
        #STOPPRE#
        if #CUSTOM_STOP#; then
            #STOP_COMMAND# #STOP_ARGS#
            RETVAL="$?"
        else
        # Return
        #   0 if daemon has been stopped
        #   1 if daemon was already stopped
        #   2 if daemon could not be stopped
        #   other if a failure occurred
            start-stop-daemon --stop --quiet --retry=TERM/30/KILL/5 --pidfile $PIDFILE --name $NAME
            RETVAL="$?"
            [ "$RETVAL" = 2 ] && return 2
        fi
        # Wait for children to finish too if this is a daemon that forks
        # and if the daemon is only ever run from this initscript.
        # If the above conditions are not satisfied then add some other code
        # that waits for the process to drop all resources that could be
        # needed by services started subsequently.  A last resort is to
        # sleep for some time.
        start-stop-daemon --stop --quiet --oknodo --retry=0/30/KILL/5 --exec $DAEMON
        [ "$?" = 2 ] && return 2
        # Many daemons don't delete their pidfiles when they exit.
        rm -f $PIDFILE
        #STOPPOST#
        return "$RETVAL"
    }
    #
    # Function that sends a SIGHUP to the daemon/service
    #
    do_reload() {
        #
        # If the daemon can reload its configuration without
        # restarting (for example, when it is sent a SIGHUP),
        # then implement that here.
        #
        if #CUSTOM_RELOAD#; then
            #RELOAD_COMMAND# #RELOAD_ARGS#
        else
            start-stop-daemon --stop --signal #RELOAD_SIGNAL# --quiet --pidfile $PIDFILE --name $NAME
        fi
        return 0
    }
    case "$1" in
      start)
        [ "$VERBOSE" != no ] && log_daemon_msg "Starting $DESC" "$NAME"
        do_start
        case "$?" in
            0|1) [ "$VERBOSE" != no ] && log_end_msg 0 ;;
            2) [ "$VERBOSE" != no ] && log_end_msg 1 ;;
        esac
        ;;
      stop)
        [ "$VERBOSE" != no ] && log_daemon_msg "Stopping $DESC" "$NAME"
        do_stop
        case "$?" in
            0|1) [ "$VERBOSE" != no ] && log_end_msg 0 ;;
            2) [ "$VERBOSE" != no ] && log_end_msg 1 ;;
        esac
        ;;
      status)
        status_of_proc "$DAEMON" "$NAME" && exit 0 || exit $?
        ;;
      #CASE_RELOAD#)
        log_daemon_msg "Reloading $DESC" "$NAME"
        do_reload
        log_end_msg $?
        ;;
      #CASE_RESTART#)
        log_daemon_msg "Restarting $DESC" "$NAME"
        do_stop
        case "$?" in
          0|1)
            do_start
            case "$?" in
                0) log_end_msg 0 ;;
                1) log_end_msg 1 ;; # Old process is still running
                *) log_end_msg 1 ;; # Failed to start
            esac
            ;;
          *)
            # Failed to stop
            log_end_msg 1
            ;;
        esac
        ;;
      *)
        echo "$SCRIPTNAME #USAGE#" >&2
        exit 3
        ;;
    esac
    :
    
    
     
Chargement...
Similar Threads - Spoofing VPS Forum Date
Quels ports accepter/refuser - serveur VPS. Administration d'un site Web 28 Août 2019
CDN ou VPS Développement d'un site Web ou d'une appli mobile 14 Juillet 2019
2 petits VPS ou 1 gros VPS ? Administration d'un site Web 13 Juin 2019
Quels liens => sécurisation d'un serveur vps ? Administration d'un site Web 17 Avril 2019
Attaque de type DDOS UDP sur un serveur VPS Administration d'un site Web 27 Novembre 2018
VPS Linux gratuit Administration d'un site Web 25 Mai 2018
VPS en allemagne, joueurs au brésil... Administration d'un site Web 15 Février 2018
Config IPV6 serveur VPS OVH Debian Administration d'un site Web 16 Octobre 2016
Copier le SSL d'un mutualisé OVH sur un VPS Administration d'un site Web 10 Août 2016
Caractéristiques VPS cloud ovh Administration d'un site Web 19 Février 2016
  1. Ce site utilise des cookies. En continuant à utiliser ce site, vous acceptez l'utilisation des cookies.
    Rejeter la notice