Surveiller l'activité FTP d'un vieux serveur SME

[Quadrax]

Bonjour,

Etant toujours débutant par manque de temps (métro-boulot-pas trop dodo...), je me permets de solliciter votre aide pour orienter mes recherches sur le sujet de ce fil.

Je souhaiterais connaître l'activité FTP sur mon serveur privé et plus particulièrement :

- Noms des utilisateurs connectés
- Authentification OK ou échouées (tentatives de connexions intempestives)
- Fichiers en cours d'accès DL / UL
- Bande passante consommée
- Davantage si possibilité.

Je suppose qu'un "batch" sur un log approprié pourrait m'aider dans cette tâche mais, là, ça dépasse mes compétences du moment.


Un grand Merci pour votre aide et le temps que vous aurez pu m'accorder.

Cordialement,
Quadrax

[Quadrax]

Bon, je cherche sans trop savoir par où commencer et voilà ce que j'ai trouvé pour démarrer une indigestion et les insomnies habituelles :
- http://www.linuxhomenetworking.com/wiki ... rver_Setup
- http://www.queret.net/wiki/index.php/Li ... de_Proftpd

Cela me paraît prometteur mais je n'y comprends pas grand chose ni ne sait où aller fouiller.
Pour info, mon serveur est en 5.6 et trop souvent visité alors qu'il ne sert qu'à mes essais de pages web ou les photos de famille... et que, pour l'instant, les visites sont rares. :-/

Idéalement, une interface Web comme PhpMyAdmin serait la bien venue mais, un script / batch pourrait être un bon début pour faire l'interface moi-même (déjà bricolé un système de log de l'état de ma connexion Internet consultable sur une page Web...)

[Quadrax]

Bonjour,
Il semblerait que je me sois trompé de forum.

En attendant de découvrir un éventuel piratage très regrettable sur mon système, je vais donc tenter des recherches sur le Forum Généraliste.

Par contre, s'il existe une spécificité propre à SME que le novice que je suis encore risque de ne pas prendre en considération, ce serait fort aimable de votre part de me mettre au courant, même brièvement.

Bon, je parts à la chasse de ProFTPd et ce qui gravite autour.
Merci quand même de m'avoir lu.

Cordialement,
Quadrax

[jdh]

Voilà le type même de recherche qui ne peut aboutir ...


Comment je m'y prendrais :

- serveur : SME -> serveur ftp : ProFTPd -> site de référence : http://www.proftpd.org/
- analyse de log : site -> docs : docs index -> "log analysis scripts" : GAGNE !
- analyse au vol : rien sur "site > docs" : est ce vraiment utile ?

Maintenant, j'ai trouvé 2 scripts pour analyser les logs.

Je recherche si ces 2 scripts fonctionne ou existe sur SME / Centos. Dans le cas contraire, comment les installer ? comment ne pas me planter dans les templates ?

Après avoir parcouru les sites des 2 scripts, j'en choisi un, je le teste, et ... je m'y tiens !


Autant, analyser le log est aisé (et simple), autant connaitre en temps réel qui se connecte est illusoire (et une perte de temps).

Avant de chercher, il FAUT définir son besoin (et ne pas tromper : quelle perte de temps en recherche d'un truc inutile et finalement inintéressant et/ou inopérant !).

[Quadrax]

Bonsoir JDH,
Merci de m'avoir lu et répondu.

Pour ce qui est de ma démarche de recherche, c'est plus ou moins ce qui a été fait pour la première ligne d'exposition de ta démarche (malheureusement, je dois faire plusieurs choses en même temps donc, ça n'aide pas trop).

Par contre, tu m'expliqueras comment un novice lambda va faire naturellement le lien entre : 'Analyse de Log' et 'Site' (d'ailleurs, qu'entends-tu par 'Site' ? "Site FTP" ?? )

Bon, je reprendrais tout ça un peu plus tard, là j'ai les yeux pleins de sang avec tout ce que j'ai lu/parcouru...

Bonne soirée.
Quadrax

[Quadrax]

P.S.
L'utilité du Log des utilisateurs connecté en "temps réel" (plutôt au moment où je veux savoir qui est présent sur le serveur) ?

C'est parce que je cherche à savoir qui fait travailler autant le HDD de mon serveur à certaines heures de la journée (je l'entends, il est à mes pieds...) alors qu'a priori, tous les utilisateurs potentiels ne viennent pas se connecter à ces mêmes heures d'activité intense.

Une coupure ADSL assez longue et hop, plus de trafic bizarre...

[sibsib]

Hello,

Mais es-tu sûr que ton activité provient de ftp ?

Sur mon serveur SME que je viens de remplacer, les disques travaillaient quasi en permanence une fois connecté au net uniquement a cause des connexions SMTP (dont 98 % partent à la poubelle, évidemment).

Pour calmer les disques d'une SME connectée à Internet (outre la solution de couper SMTP, ce qui ne me convient pas), il n'y a guère qu'une bonne série de rbl list ... et un système velu en mémoire ! SpamAssassin est effectivement un assassin, sur les petites configs )

A+,
Pascal

[Quadrax]

Hi SibSib / Pascal,

Je ne crois pas avoir de souci avec les emails car je n'ai jamais configuré le service de messagerie (faudrait déjà que je remette la main sur les paramètres SMTP, POP3, etc... communiqués par mon FAI (...)) oups!

RBL List? Connais pas encore mais on va garder ça au chaud pour plus tard...

Au sujet de ma configuration, j'ai bricolé un petit truc ce "soir" : http://quadrax.free.fr/dell_pe2200/conf ... teriel.php sinon, 98%... IDLE pour moi en temps normal (merci à la commande top -d1)

Bonne nuit !
Quadrax

[jibe]

Salut,

Je ne crois pas avoir de souci avec les emails car je n'ai jamais configuré le service de messagerie (faudrait déjà que je remette la main sur les paramètres SMTP, POP3, etc... communiqués par mon FAI (...)) oups!

Quel rapport ? Ca, c'est pour ta BAL chez ton FAI, rien à voir avec ta SME...

Sauf manip spéciale de ta part, ton serveur SMTP est actif et donc susceptible de recevoir du spam. Suffit qu'un spammeur ait pu trouver ton nom de domaine, il ne va pas se priver de spammer admin@tondomaine.tld, info@tondomaine.tld, welcome@tondomaine.tld etc. Pour peu qu'il ait pris le temps de vérifier qu'une ou deux adresses soient bonnes, il a aussi pu les revendre à d'autres spammeurs...

Vérifie les logs du serveur de messagerie et consulte les BAL de ta SME avant de dire que ce n'est pas un problème de mails

Attention : on ne résoud pas un problème avec des "je ne crois pas", des "je suis sûr que" et autres à-priori, mais avec une analyse précise et systématique.

Au besoin, utilise un quelconque sniffer de réseau (tcpdump est installé sur SME) pour voir quel est ce traffic qui t'inquiète

[Quadrax]

Bonsoir Jibe,

Vérifie les logs du serveur de messagerie et consulte les BAL de ta SME avant de dire que ce n'est pas un problème de mails

J'ai jeté un coup d'oeil dans /var/log avec dir puis ll puis pico maillog.200080622011209 mais c'est vide. Pareil pour les autres. Idem pour le "lien"(ce doit être ça en couleur cyan) maillog -> maillog.20080701.. . Le seul Log du genre de rempli c'est "messages -> messages.20080...".
(Question à deux balles : où trouve-t-on la légende des couleurs de l'affichage obtenu avec ll ? Rien obtenu avec Man ll.)

Attention : on ne résoud pas un problème avec des "je ne crois pas", des "je suis sûr que" et autres à-priori, mais avec une analyse précise et systématique.

Effectivement, je suis tout à ait d'accord sur l'aspect de la certitude avec les équipements informatiques ou électroniques. Et dire que dans mon boulot je le disais moi-même à mes clients...

En fait, connaissant(?) très mal SME, du fait que le système de messagerie n'a jamais vraiment été configuré et compte tenu de ce qu'est le paramétrage par défaut actuel, je ne crois pas que SMTP et POP(3?) soient vraiment opérationnels avec l'extérieur. En interne, jamais utilisé encore, mais ce serait sympa de le faire fonctionner (maintenant que je connais le lien d'accès au WebMail...)

Je ne crois pas avoir de souci avec les emails car je n'ai jamais configuré le service de messagerie (faudrait déjà que je remette la main sur les paramètres SMTP, POP3, etc... communiqués par mon FAI (...)) oups!

Quel rapport ? Ca, c'est pour ta BAL chez ton FAI, rien à voir avec ta SME...

Et bien, là, je me suis souvenu avoir tenté quelque chose en vain il y a très longtemps mais, j'avais laissé tomber car à cette époque c'était la grande mode sur les Forums que de voir fleurir des discussions au sujet de ports, etc.. SMTP bloqués par les FAIs français, dont Tele2. (qui se permet de bloquer certains UpLoads FTP privés entre deux serveurs. Si on ne peut plus copier une image iso de backup d'un CD acheté comme il se doit par ce que le CD est resté à l'autre de la France... )
A ce sujet de ports bloqués par les FAIs, je ne sais pas si ce sera le cas chez Neuf_Tel mais, au cas où, j'imagine qu'il y a d'autres ports qui peuvent servir. Maintenant, reste à savoir lesquels et comment opérer la manip... :-/

Bon, je viens de jeter un oeil à TCPdump (Man TCPdump) il y a de quoi lire et cogiter avant de l'exploiter. Je l'ai lancé sans aucun commutateur, juste pour voir, ça défile non stop !
Bon, c'est au moins une piste à creuser. Un jour on m'a montré un tas de commandes en lignes très utiles pour extraire des morceaux de textes issus d'un fichier et d'autres permettant de contrôler le défilement de ce genre de Logs mais, c'est si lointain...
Bon, I must RTFM and learn it "by heart"... J'imagine...

Côté sécurité, je pense que mon SME 5.6 ne doit pas être une merveille, vu l'âge, et nécessite pas mal de mises à jour. Non ?

Bon, bon, bon !
J'ai beaucoup de pain sur la planche si je veux arriver à faire, ne serait-ce, qu'un copié-collé de fichiers ou déplacer des dossiers par lots (c'était d'ailleurs ma seule motivation pour utiliser l'interface graphique de Windows 3.11, le reste du temps j'étais sous MS-DOS avec QBASIC et cie... lol

A suivre, donc !
Merci bien et A++
Bonne nuit la compagnie!
Quadrax

[jibe]

Salut,

compte tenu de ce qu'est le paramétrage par défaut actuel, je ne crois pas que SMTP et POP(3?) soient vraiment opérationnels avec l'extérieur.

Sauf manip spéciale de ta part, ton serveur SMTP est actif et donc susceptible de recevoir du spam.

Cela dit, il faut encore que le serveur SMTP soit accessible. Je ne sais pas si c'est le cas, et ne peux pas dire si oui ou non tu reçois du spam. Je dis simplement qu'il ne faut pas partir du principe que ce n'est pas ça, mais le vérifier.

Cela dit, je n'ai pas très bien compris où tu veux en venir avec ton histoire de ports bloqués... C'est une mesure antispam rendue nécessaire pas les innombrables postes Windows infectés et connectés en permanence qui servent de relais de spam. C'est donc une bonne mesure, qui entraine inévitablement quelques contraintes. Le jour où (on peut rêver !) les gens comprendront que seule leur négligence voire leur obstination à ne tenir aucun compte des nombreux avertissement sur certains dangers et inconvénients de solutions savamment présentées comme indispensables ou incontournables pour des raisons commerciales (à commencer par un certain OS à fenêtres), ce genre de mesure ne sera plus utile...

Je l'ai lancé sans aucun commutateur, juste pour voir, ça défile non stop !

Il faut que tu n'observes que l'interface côté internet. Mais même là, oui, ça défile sans arrêt ! Il y a une activité intense de ce côté ! Il faut surtout voir ce qui passe, histoire de confirmer ou infirmer tes suppositions : traffic FTP ou autre ? Pas besoin de choses sophistiquées : tu observes ce qui passe, au besoin en bloquant simplement le défilement de temps en temps, le temps de voir s'il y a une activité récurrente. Mais tu peux aussi analyser à partir des logs, c'est souvent plus simple.

Côté sécurité, je pense que mon SME 5.6 ne doit pas être une merveille, vu l'âge, et nécessite pas mal de mises à jour. Non ?

Oui, c'est plus que conseillé. Mais comme c'est une version qui n'est plus maintenue, tu n'as pas d'autres alternative que soit recompiler les modules à mettre à jour après les avoir patchés, soit passer à la version actuelle.