botnet ??

[ccnet]

Ce fil est au moins intéressant à un titre. Il montre que la sécurité d'un système ne peut se réduire à assembler des éléments sensés être sûr.
Postfix est un serveur de mail réputé fiable et sûr. Linux et iptables ont la même réputation, ainsi que Ipcop. La machine Postfix à son propre firewall dans cette exemple. Un firewall ipcop a été mis en place. Seuls les utilisateurs du domaine ont le droit d'envoyer du courrier via la serveur Postfix nous dit on.

Finalement beaucoup de mécanismes de sécurité sont mis en oeuvre. Et pourtant tout cela prend l'eau. Pas à cause de deux semaines de vacances bien sûr. Plutôt par maladresse. Manifestement le problème a été pris à l'envers. En gros on a choisi des logiciels, croyant faire de la sécurité. Analyse de risque, architecture un minimum conforme à quelques règles de bases en matière de sécurité logique ? Ren de tout cela n' a été fait.

Le propos n'est pas de jeter la pierre à Guidorange. Si il est bien responsable de ce qui lui arrive j'espère que l'aventure lui servira de leçon et en ce moment je n'aimerait pas être à sa place dans son entreprise.

Quels sont les leçons à tirer ?
1. La sécurité n'est pas un sujet simple et faire appel à des spécialiste n'est pas forcément une mauvaise idée. Cela coûte de l'argent, mais combien à déjà coûter cette mésaventure et combien va t elle encore coûter ?
2. Un système peut devenir sûr (pour autant qu'il puisse en exister) du moins assez sûr pour parer les principales menaces et diminuer les risques de façon suffisante. Pour cela il est nécessaire que la conception en elle même de l'ensemble soit robuste. Il y a pour cela quelques lignes directrices. Citons une séparation strictes des flux dans les différentes zones, un contrôle de tous les trafics (entrant comme sortant), une réduction à minima des services sur le firewall. C'est une liste non exhaustive et abrégée.
3. C'est seulement lorsque ce travail est fait que l'on commence à choisir des logiciels.
4. On vérifiera de façon précise et recoupée que les logiciels en questions fonctionnent conformément à ce qui est nécessaire.

Selon le conseil de Franck78, il est clair que les mêmes causes produiront les mêmes effets si rien n'est analysé et si l'ensemble n'est pas remis à plat.

[S0l0]

un botnet qui ferait un brute force sur un serveur ssh. Pas commun. c'est quoi les machines du botnet?

Si ,si c'est commun depuis un peu plus de deux ans c'est a la mode , il y a avait un topic ici meme sur le sujet quelqu'un qui se faisait brute forcer son serveur SSH alors qu'il avait Fail2Ban (topic qui doit avoir un an de memoire ) , d'ailleurs c'est le but de ces botnets bypasser ces restrictions qu'impose les Fail2Ban et autres anti-bruteforceur.

Pour guidorange il devrait rechercher coredump et regardez ses logs reseaux et dmseg faire la correlation .

Connaissez vous des logiciels pour traquer des malwares ou botnets ? qui m'aiderai a cibler la source du problème ?

n'existe pas vraiment sous linux du moins ca n'a rien avoir avec les tools qu'on trouve dans le monde de windows ou il suffit de cliquer et attendre le resultat.

Au lieu d'installer des trucs qui sert pas a grand chose utilise un syteme qui permets de logger par process et appel a certains socket mais faut scripter
http://sourceware.org/systemtap/index.html

ou interdire tout port qui sert a rien et protocol dont tu n'utilise pas , mais c'est moins drole

[Franck78]

Connaissez vous des logiciels pour traquer des malwares ou botnets ? qui m'aiderai a cibler la source du problème ?

n'existe pas vraiment sous linux du moins ca n'a rien avoir avec les tools qu'on trouve dans le monde de windows ou /

rkhunter ? chlrootkit?