Bonjour,
Je n'y comprends plus rien... J'ai mis en place des règles sur le pare-feu IPTABLES (je suis hébergé chez OVH sur un serveur dédié - Superplan).
Pendant 10 jours ça marche nickel. Cet après-midi encore, depuis le bureau j'ai accédé à mes sites hébergés sur le dédié sans problème.
De retour à la maison... je vérifie : le site n'est plus joignable, j'ai une erreur DNS, le site n'existe plus ;-( Ce matin il était bien joignable depuis la maison !!!
Je n'ai STRICTEMENT rien modifié à mes règles !!!
Je lance PUTTY, histoire de voir si j'ai bien la main sur le serveur : c'est bon.
Pour être certain que le problème vient bien du fire-wall (j'en ai déjà eu un de ce genre), je le désactive : et la ça MARCHE de nouveau !!!!
Qu'est ce qui fait que d'un coup le fire-wall plante et ne veut plus rien laisser passer ???????????????
Grrrrrrrrrrrrrrrrr.
Merci pour votre aide.
André
nb : pour rendre mes sites de nouveaux accessibles, j'ai fait un iptable -F
____________________________
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dptop3
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:10000
ACCEPT icmp -- proxy.ovh.net anywhere
ACCEPT icmp -- ping.ovh.net anywhere
DROP all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@ns33756 iptables-1.2.9]#
Fire-Wall IPTABLE = un coup c'est bon, un coup c'est down !!
Modérateur: modos Ixus
11 messages
• Page 1 sur 1
Fire-Wall IPTABLE = un coup c'est bon, un coup c'est down !!
par lovepieds » 16 Août 2004 20:55
-
lovepieds - Quartier Maître
- Messages: 14
- Inscrit le: 20 Jan 2004 01:00
- Localisation: PARIS
par Franck78 » 16 Août 2004 21:15
Il tourne ou ce script ? Sur le serveur ?
Sur ton PC client de la maison ?
Je dirais de laisser passer le 'domain' aussi en UDP, mais quelle utilité sur un serveur de OVH.
Et sur ton client, plein de site devraient être inaccessible.
Donc bizarre ce pb et pas assez d'infos pour déteminer l'origine du pb !
Sur ton PC client de la maison ?
Je dirais de laisser passer le 'domain' aussi en UDP, mais quelle utilité sur un serveur de OVH.
Et sur ton client, plein de site devraient être inaccessible.
Donc bizarre ce pb et pas assez d'infos pour déteminer l'origine du pb !
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
Merci !
par lovepieds » 16 Août 2004 22:09
Merci pour ta réponse.
Le script est installé sur le serveur dédié, hébergé chez OVH.
Pour être honnête, je n'y connais pas grand chose en supervision. Je viens de regarder mes logs (c'est la première fois que je le fais)...
Au premier regard, j'ai un peu peur... J'ai l'impression que quelqu'un a essayé de me hacker...
Pouvez vous me dire si mes logs vous parlent ? les lignes vertes et rouges ?
Merciiii,
André
---------------->
Aug 15 04:02:07 ns30375 syslogd 1.4.1: restart.
Aug 15 04:02:08 ns30375 syslogd 1.4.1: restart.
[b]Aug 15 07:37:22 ns30375 named[11769]: lame server resolving 'mx2.infolex.gr' (in 'infolex.gr'?): 152.xxx.xxx.xxx#53
Aug 15 13:11:37 ns30375 named[11769]: lame server resolving '239.xxx.xxx.xxx.in-addr.arpa' (in '143.109.217.in-addr.arpa'?): 194.2.0.2#53
Aug 15 13:11:37 ns30375 named[11769]: lame server resolving '239.xxx.xxx.xxx.in-addr.arpa' (in '143.109.217.in-addr.arpa'?): 194.250.249.14#53
Aug 15 21:53:39 ns30375 sshd[14753]: Illegal user test from 212.xxx.xxx.xxx
Aug 15 21:53:40 ns30375 named[11769]: lame server resolving 'pandy-02-epit-moby-dick.crt.warszawa.supermedia.pl.ovh.net' (in 'ovh.net'?): 213.xxx.xxx.xxx#53
Aug 15 21:53:40 ns30375 sshd[14753]: reverse mapping checking getaddrinfo for pandy-02-epit-moby-dick.crt.warszawa.supermedia.pl failed - POSSIBLE BREAKIN ATTEMPT!
Aug 15 21:53:40 ns30375 sshd[14753]: Failed password for illegal user test from 212.xxx.xxx.xxx port 1407 ssh2
Aug 15 21:53:41 ns30375 sshd[4080]: Illegal user guest from 212.xxx.xxx.xxx
Aug 15 21:53:41 ns30375 sshd[4080]: reverse mapping checking getaddrinfo for pandy-02-epit-moby-dick.crt.warszawa.supermedia.pl failed - POSSIBLE BREAKIN ATTEMPT!
Aug 15 21:53:41 ns30375 sshd[4080]: Failed password for illegal user guest from 212.xxx.xxx.xxx port 1460 ssh2
Aug 15 22:47:52 ns30375 sshd[30734]: Illegal user test from 208.xxx.xxx.xxx
Aug 15 22:47:52 ns30375 sshd[30734]: reverse mapping checking getaddrinfo for 149-153-179-208.tierzero.net failed - POSSIBLE BREAKIN ATTEMPT!
Aug 15 22:47:52 ns30375 sshd[30734]: Failed password for illegal user test from 208.xxx.xxx.xxx port 53479 ssh2
Aug 15 22:47:54 ns30375 sshd[27748]: Illegal user guest from 208.xxx.xxx.xxx
Aug 15 22:47:54 ns30375 sshd[27748]: reverse mapping checking getaddrinfo for xxx-xxx-xxx-xxx.tierzero.net failed - POSSIBLE BREAKIN ATTEMPT!
Aug 15 22:47:54 ns30375 sshd[27748]: Failed password for illegal user guest from 208.xxx.xxx.xxx port 53542 ssh2
Aug 16 04:02:02 ns30375 syslogd 1.4.1: restart.
Aug 16 08:34:46 ns30375 sshd[7569]: Illegal user test from 68.xxx.xxx.xxx
Aug 16 08:34:47 ns30375 sshd[7569]: Failed password for illegal user test from 68.xxx.xxx.xxx port 4574 ssh2
Aug 16 08:34:48 ns30375 sshd[11382]: Illegal user guest from 68.xxx.xxx.xxx
Aug 16 08:34:48 ns30375 sshd[11382]: Failed password for illegal user guest from 68.xxx.xxx.xxx port 4636 ssh2
Aug 16 08:34:49 ns30375 sshd[5944]: Illegal user admin from 68.xxx.xxx.xxx
Aug 16 08:34:49 ns30375 sshd[5944]: Failed password for illegal user admin from 68.xxx.xxx.xxx port 4671 ssh2
Aug 16 08:34:50 ns30375 sshd[15079]: Illegal user admin from 68.xxx.xxx.xxx
Aug 16 08:34:50 ns30375 sshd[15079]: Failed password for illegal user admin from 68.xxx.xxx.xxx port 4698 ssh2
Aug 16 08:34:51 ns30375 sshd[15665]: Illegal user user from 68.xxx.xxx.xxx
Aug 16 08:34:51 ns30375 sshd[15665]: Failed password for illegal user user from 68.xxx.xxx.xxx port 4734 ssh2
Aug 16 08:34:53 ns30375 sshd[4633]: Failed password for root from 68.xxx.xxx.xxx port 4764 ssh2
Aug 16 08:34:54 ns30375 sshd[11412]: Failed password for root from 68.xxx.xxx.xxx port 4794 ssh2
Aug 16 08:34:55 ns30375 sshd[408]: Failed password for root from 68.xxx.xxx.xxx port 4821 ssh2
Aug 16 08:34:56 ns30375 sshd[17724]: Illegal user test from 68.xxx.xxx.xxx
Aug 16 08:34:56 ns30375 sshd[17724]: Failed password for illegal user test from 68.xxx.xxx.xxx port 4854 ssh2
Aug 16 14:03:20 ns30375 sshd[2583]: Illegal user test from 140.xxx.xxx.xxx
Aug 16 14:03:22 ns30375 named[11769]: lame server resolving '252.xxx.xxx.xxx.in-addr.arpa' (in '94.130.140.in-addr.arpa'?): 163.xxx.xxx.xxx#53
Aug 16 14:03:22 ns30375 named[11769]: lame server resolving '252.xxx.xxx.xxx.in-addr.arpa' (in '94.130.140.in-addr.arpa'?): 140.xxx.xxx.xxx#53
Aug 16 14:03:23 ns30375 sshd[2583]: reverse mapping checking getaddrinfo for 094252.fps.ncyu.edu.tw failed - POSSIBLE BREAKIN ATTEMPT!
Aug 16 14:03:23 ns30375 sshd[2583]: Failed password for illegal user test from 140.xxx.xxx.xxx port 2302 ssh2
Aug 16 14:03:26 ns30375 sshd[17871]: Illegal user guest from 140.xxx.xxx.xxx
Aug 16 14:03:26 ns30375 sshd[17871]: reverse mapping checking getaddrinfo for 094252.fps.ncyu.edu.tw failed - POSSIBLE BREAKIN ATTEMPT!
Aug 16 14:03:26 ns30375 sshd[17871]: Failed password for illegal user guest from 140.xxx.xxx.xxx port 2476 ssh2
Aug 16 14:03:29 ns30375 sshd[23154]: Illegal user admin from 140.xxx.xxx.xxx
Aug 16 14:03:29 ns30375 sshd[23154]: reverse mapping checking getaddrinfo for 094252.fps.ncyu.edu.tw failed - POSSIBLE BREAKIN ATTEMPT!
Aug 16 14:03:29 ns30375 sshd[23154]: Failed password for illegal user admin from 140.xxx.xxx.xxx port 2571 ssh2
Aug 16 14:03:31 ns30375 sshd[14325]: Illegal user admin from 140.xxx.xxx.xxx
Aug 16 14:03:31 ns30375 sshd[14325]: reverse mapping checking getaddrinfo for 094252.fps.ncyu.edu.tw failed - POSSIBLE BREAKIN ATTEMPT!
Aug 16 14:03:31 ns30375 sshd[14325]: Failed password for illegal user admin from 140.xxx.xxx.xxx port 2654 ssh2
Aug 16 14:03:34 ns30375 sshd[9832]: Illegal user user from 140.xxx.xxx.xxx
Aug 16 14:03:34 ns30375 sshd[9832]: reverse mapping checking getaddrinfo for 094252.fps.ncyu.edu.tw failed - POSSIBLE BREAKIN ATTEMPT!
Aug 16 14:03:34 ns30375 sshd[9832]: Failed password for illegal user user from 140.xxx.xxx.xxx port 2743 ssh2
Aug 16 14:03:37 ns30375 sshd[23572]: reverse mapping checking getaddrinfo for 094252.fps.ncyu.edu.tw failed - POSSIBLE BREAKIN ATTEMPT!
Aug 16 14:03:37 ns30375 sshd[23572]: Failed password for root from 140.xxx.xxx.xxx port 2831 ssh2
Aug 16 14:03:40 ns30375 sshd[21857]: reverse mapping checking getaddrinfo for 094252.fps.ncyu.edu.tw failed - POSSIBLE BREAKIN ATTEMPT!
Aug 16 14:03:40 ns30375 sshd[21857]: Failed password for root from 140.xxx.xxx.xxx port 2914 ssh2
Aug 16 14:03:43 ns30375 sshd[15348]: reverse mapping checking getaddrinfo for 094252.fps.ncyu.edu.tw failed - POSSIBLE BREAKIN ATTEMPT!
Aug 16 14:03:43 ns30375 sshd[15348]: Failed password for root from 140.xxx.xxx.xxx port 3002 ssh2
Aug 16 14:03:46 ns30375 sshd[29397]: Illegal user test from 140.xxx.xxx.xxx
Aug 16 14:03:46 ns30375 sshd[29397]: reverse mapping checking getaddrinfo for 094252.fps.ncyu.edu.tw failed - POSSIBLE BREAKIN ATTEMPT!
Aug 16 14:03:46 ns30375 sshd[29397]: Failed password for illegal user test from 140.xxx.xxx.xxx port 3090 ssh2[/b]
Aug 16 17:46:18 ns30375 sshd[13873]: Illegal user [6~ from 82.120.61.163
Aug 16 17:46:18 ns30375 sshd[13873]: Failed none for illegal user [6~ from 82.xxx.xxx.xxx port 3108 ssh2
Aug 16 17:46:18 ns30375 sshd(pam_unix)[12671]: bad username [[6~]
Aug 16 17:46:18 ns30375 sshd[13873]: error: PAM: Authentication failure
Aug 16 17:46:18 ns30375 sshd[13873]: Failed none for illegal user [6~ from 82.xxx.xxx.xxx port 3108 ssh2
Aug 16 17:46:24 ns30375 sshd[13873]: Failed password for illegal user [6~ from 82.xxx.xxx.xxx port 3108 ssh2
Aug 16 17:46:24 ns30375 sshd(pam_unix)[19784]: bad username [[6~]
Aug 16 17:46:24 ns30375 sshd[13873]: error: PAM: Authentication failure
Aug 16 17:46:24 ns30375 sshd[13873]: Failed password for illegal user [6~ from 82.xxx.xxx.xxx port 3108 ssh2
Aug 16 17:47:04 ns30375 sshd(pam_unix)[12340]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=aputeaux-151-2-3-163.w82-120.abo.wanadoo.fr user=root
Aug 16 17:47:06 ns30375 sshd[21960]: error: PAM: Authentication failure
Aug 16 17:47:29 ns30375 sshd[21960]: Failed password for root from 82.xxx.xxx.xxx port 3120 ssh2
Aug 16 17:47:59 ns30375 sshd[13390]: Accepted keyboard-interactive/pam for root from 82.120.61.163 port 3123 ssh2
Aug 16 17:47:59 ns30375 sshd(pam_unix)[11924]: session opened for user root by root(uid=0)
Aug 16 17:55:21 ns30375 named[11769]: client 212.xxx.xxx.xxx#42252: transfer of 'maman-online.com/IN': AXFR started
Aug 16 18:14:44 ns30375 named[11769]: client 212.xxx.xxx.xxx#44364: transfer of 'guidedesrencontres.info/IN': AXFR started
Aug 16 18:19:52 ns30375 named[11769]: client 212.xxx.xxx.xxx#51930: transfer of 'rapidolien.com/IN': AXFR started
Aug 16 18:45:32 ns30375 named[11769]: client 212.xxx.xxx.xxx#45104: transfer of 'contactmoi.com/IN': AXFR started
Aug 16 18:53:58 ns30375 named[11769]: lame server resolving '52.xxx.xxx.xxx.in-addr.arpa' (in '100.245.213.in-addr.arpa'?): 193.0.0.193#53
Aug 16 19:30:16 ns30375 named[11769]: client 212.xxx.xxx.xxx#34853: transfer of 'plusdemonde.com/IN': AXFR started
Aug 16 21:37:25 ns30375 kernel: grsec: From 82.xxx.xxx.xxx: signal 11 sent to /usr/libexec/webmin/miniserv.pl[miniserv.pl:27931] uid/euid:0/0 gid/egid:0/0, parent /usr/libexec/webmin/miniserv.pl[miniserv.pl:5847] uid/euid:0/0 gid/egid:0/0
Aug 16 21:39:00 ns30375 named[11769]: lame server resolving 'opensource.ovh.net' (in 'ovh.net'?): 213.186.50.98#53
Aug 16 21:39:04 ns30375 kernel: grsec: From 82.xxx.xxx.xxx: signal 11 sent to /usr/libexec/webmin/miniserv.pl[miniserv.pl:23825] uid/euid:0/0 gid/egid:0/0, parent /usr/libexec/webmin/miniserv.pl[miniserv.pl:5847] uid/euid:0/0 gid/egid:0/0
Le script est installé sur le serveur dédié, hébergé chez OVH.
Pour être honnête, je n'y connais pas grand chose en supervision. Je viens de regarder mes logs (c'est la première fois que je le fais)...
Au premier regard, j'ai un peu peur... J'ai l'impression que quelqu'un a essayé de me hacker...
Pouvez vous me dire si mes logs vous parlent ? les lignes vertes et rouges ?
Merciiii,
André
---------------->
Aug 15 04:02:07 ns30375 syslogd 1.4.1: restart.
Aug 15 04:02:08 ns30375 syslogd 1.4.1: restart.
[b]Aug 15 07:37:22 ns30375 named[11769]: lame server resolving 'mx2.infolex.gr' (in 'infolex.gr'?): 152.xxx.xxx.xxx#53
Aug 15 13:11:37 ns30375 named[11769]: lame server resolving '239.xxx.xxx.xxx.in-addr.arpa' (in '143.109.217.in-addr.arpa'?): 194.2.0.2#53
Aug 15 13:11:37 ns30375 named[11769]: lame server resolving '239.xxx.xxx.xxx.in-addr.arpa' (in '143.109.217.in-addr.arpa'?): 194.250.249.14#53
Aug 15 21:53:39 ns30375 sshd[14753]: Illegal user test from 212.xxx.xxx.xxx
Aug 15 21:53:40 ns30375 named[11769]: lame server resolving 'pandy-02-epit-moby-dick.crt.warszawa.supermedia.pl.ovh.net' (in 'ovh.net'?): 213.xxx.xxx.xxx#53
Aug 15 21:53:40 ns30375 sshd[14753]: reverse mapping checking getaddrinfo for pandy-02-epit-moby-dick.crt.warszawa.supermedia.pl failed - POSSIBLE BREAKIN ATTEMPT!
Aug 15 21:53:40 ns30375 sshd[14753]: Failed password for illegal user test from 212.xxx.xxx.xxx port 1407 ssh2
Aug 15 21:53:41 ns30375 sshd[4080]: Illegal user guest from 212.xxx.xxx.xxx
Aug 15 21:53:41 ns30375 sshd[4080]: reverse mapping checking getaddrinfo for pandy-02-epit-moby-dick.crt.warszawa.supermedia.pl failed - POSSIBLE BREAKIN ATTEMPT!
Aug 15 21:53:41 ns30375 sshd[4080]: Failed password for illegal user guest from 212.xxx.xxx.xxx port 1460 ssh2
Aug 15 22:47:52 ns30375 sshd[30734]: Illegal user test from 208.xxx.xxx.xxx
Aug 15 22:47:52 ns30375 sshd[30734]: reverse mapping checking getaddrinfo for 149-153-179-208.tierzero.net failed - POSSIBLE BREAKIN ATTEMPT!
Aug 15 22:47:52 ns30375 sshd[30734]: Failed password for illegal user test from 208.xxx.xxx.xxx port 53479 ssh2
Aug 15 22:47:54 ns30375 sshd[27748]: Illegal user guest from 208.xxx.xxx.xxx
Aug 15 22:47:54 ns30375 sshd[27748]: reverse mapping checking getaddrinfo for xxx-xxx-xxx-xxx.tierzero.net failed - POSSIBLE BREAKIN ATTEMPT!
Aug 15 22:47:54 ns30375 sshd[27748]: Failed password for illegal user guest from 208.xxx.xxx.xxx port 53542 ssh2
Aug 16 04:02:02 ns30375 syslogd 1.4.1: restart.
Aug 16 08:34:46 ns30375 sshd[7569]: Illegal user test from 68.xxx.xxx.xxx
Aug 16 08:34:47 ns30375 sshd[7569]: Failed password for illegal user test from 68.xxx.xxx.xxx port 4574 ssh2
Aug 16 08:34:48 ns30375 sshd[11382]: Illegal user guest from 68.xxx.xxx.xxx
Aug 16 08:34:48 ns30375 sshd[11382]: Failed password for illegal user guest from 68.xxx.xxx.xxx port 4636 ssh2
Aug 16 08:34:49 ns30375 sshd[5944]: Illegal user admin from 68.xxx.xxx.xxx
Aug 16 08:34:49 ns30375 sshd[5944]: Failed password for illegal user admin from 68.xxx.xxx.xxx port 4671 ssh2
Aug 16 08:34:50 ns30375 sshd[15079]: Illegal user admin from 68.xxx.xxx.xxx
Aug 16 08:34:50 ns30375 sshd[15079]: Failed password for illegal user admin from 68.xxx.xxx.xxx port 4698 ssh2
Aug 16 08:34:51 ns30375 sshd[15665]: Illegal user user from 68.xxx.xxx.xxx
Aug 16 08:34:51 ns30375 sshd[15665]: Failed password for illegal user user from 68.xxx.xxx.xxx port 4734 ssh2
Aug 16 08:34:53 ns30375 sshd[4633]: Failed password for root from 68.xxx.xxx.xxx port 4764 ssh2
Aug 16 08:34:54 ns30375 sshd[11412]: Failed password for root from 68.xxx.xxx.xxx port 4794 ssh2
Aug 16 08:34:55 ns30375 sshd[408]: Failed password for root from 68.xxx.xxx.xxx port 4821 ssh2
Aug 16 08:34:56 ns30375 sshd[17724]: Illegal user test from 68.xxx.xxx.xxx
Aug 16 08:34:56 ns30375 sshd[17724]: Failed password for illegal user test from 68.xxx.xxx.xxx port 4854 ssh2
Aug 16 14:03:20 ns30375 sshd[2583]: Illegal user test from 140.xxx.xxx.xxx
Aug 16 14:03:22 ns30375 named[11769]: lame server resolving '252.xxx.xxx.xxx.in-addr.arpa' (in '94.130.140.in-addr.arpa'?): 163.xxx.xxx.xxx#53
Aug 16 14:03:22 ns30375 named[11769]: lame server resolving '252.xxx.xxx.xxx.in-addr.arpa' (in '94.130.140.in-addr.arpa'?): 140.xxx.xxx.xxx#53
Aug 16 14:03:23 ns30375 sshd[2583]: reverse mapping checking getaddrinfo for 094252.fps.ncyu.edu.tw failed - POSSIBLE BREAKIN ATTEMPT!
Aug 16 14:03:23 ns30375 sshd[2583]: Failed password for illegal user test from 140.xxx.xxx.xxx port 2302 ssh2
Aug 16 14:03:26 ns30375 sshd[17871]: Illegal user guest from 140.xxx.xxx.xxx
Aug 16 14:03:26 ns30375 sshd[17871]: reverse mapping checking getaddrinfo for 094252.fps.ncyu.edu.tw failed - POSSIBLE BREAKIN ATTEMPT!
Aug 16 14:03:26 ns30375 sshd[17871]: Failed password for illegal user guest from 140.xxx.xxx.xxx port 2476 ssh2
Aug 16 14:03:29 ns30375 sshd[23154]: Illegal user admin from 140.xxx.xxx.xxx
Aug 16 14:03:29 ns30375 sshd[23154]: reverse mapping checking getaddrinfo for 094252.fps.ncyu.edu.tw failed - POSSIBLE BREAKIN ATTEMPT!
Aug 16 14:03:29 ns30375 sshd[23154]: Failed password for illegal user admin from 140.xxx.xxx.xxx port 2571 ssh2
Aug 16 14:03:31 ns30375 sshd[14325]: Illegal user admin from 140.xxx.xxx.xxx
Aug 16 14:03:31 ns30375 sshd[14325]: reverse mapping checking getaddrinfo for 094252.fps.ncyu.edu.tw failed - POSSIBLE BREAKIN ATTEMPT!
Aug 16 14:03:31 ns30375 sshd[14325]: Failed password for illegal user admin from 140.xxx.xxx.xxx port 2654 ssh2
Aug 16 14:03:34 ns30375 sshd[9832]: Illegal user user from 140.xxx.xxx.xxx
Aug 16 14:03:34 ns30375 sshd[9832]: reverse mapping checking getaddrinfo for 094252.fps.ncyu.edu.tw failed - POSSIBLE BREAKIN ATTEMPT!
Aug 16 14:03:34 ns30375 sshd[9832]: Failed password for illegal user user from 140.xxx.xxx.xxx port 2743 ssh2
Aug 16 14:03:37 ns30375 sshd[23572]: reverse mapping checking getaddrinfo for 094252.fps.ncyu.edu.tw failed - POSSIBLE BREAKIN ATTEMPT!
Aug 16 14:03:37 ns30375 sshd[23572]: Failed password for root from 140.xxx.xxx.xxx port 2831 ssh2
Aug 16 14:03:40 ns30375 sshd[21857]: reverse mapping checking getaddrinfo for 094252.fps.ncyu.edu.tw failed - POSSIBLE BREAKIN ATTEMPT!
Aug 16 14:03:40 ns30375 sshd[21857]: Failed password for root from 140.xxx.xxx.xxx port 2914 ssh2
Aug 16 14:03:43 ns30375 sshd[15348]: reverse mapping checking getaddrinfo for 094252.fps.ncyu.edu.tw failed - POSSIBLE BREAKIN ATTEMPT!
Aug 16 14:03:43 ns30375 sshd[15348]: Failed password for root from 140.xxx.xxx.xxx port 3002 ssh2
Aug 16 14:03:46 ns30375 sshd[29397]: Illegal user test from 140.xxx.xxx.xxx
Aug 16 14:03:46 ns30375 sshd[29397]: reverse mapping checking getaddrinfo for 094252.fps.ncyu.edu.tw failed - POSSIBLE BREAKIN ATTEMPT!
Aug 16 14:03:46 ns30375 sshd[29397]: Failed password for illegal user test from 140.xxx.xxx.xxx port 3090 ssh2[/b]
Aug 16 17:46:18 ns30375 sshd[13873]: Illegal user [6~ from 82.120.61.163
Aug 16 17:46:18 ns30375 sshd[13873]: Failed none for illegal user [6~ from 82.xxx.xxx.xxx port 3108 ssh2
Aug 16 17:46:18 ns30375 sshd(pam_unix)[12671]: bad username [[6~]
Aug 16 17:46:18 ns30375 sshd[13873]: error: PAM: Authentication failure
Aug 16 17:46:18 ns30375 sshd[13873]: Failed none for illegal user [6~ from 82.xxx.xxx.xxx port 3108 ssh2
Aug 16 17:46:24 ns30375 sshd[13873]: Failed password for illegal user [6~ from 82.xxx.xxx.xxx port 3108 ssh2
Aug 16 17:46:24 ns30375 sshd(pam_unix)[19784]: bad username [[6~]
Aug 16 17:46:24 ns30375 sshd[13873]: error: PAM: Authentication failure
Aug 16 17:46:24 ns30375 sshd[13873]: Failed password for illegal user [6~ from 82.xxx.xxx.xxx port 3108 ssh2
Aug 16 17:47:04 ns30375 sshd(pam_unix)[12340]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=aputeaux-151-2-3-163.w82-120.abo.wanadoo.fr user=root
Aug 16 17:47:06 ns30375 sshd[21960]: error: PAM: Authentication failure
Aug 16 17:47:29 ns30375 sshd[21960]: Failed password for root from 82.xxx.xxx.xxx port 3120 ssh2
Aug 16 17:47:59 ns30375 sshd[13390]: Accepted keyboard-interactive/pam for root from 82.120.61.163 port 3123 ssh2
Aug 16 17:47:59 ns30375 sshd(pam_unix)[11924]: session opened for user root by root(uid=0)
Aug 16 17:55:21 ns30375 named[11769]: client 212.xxx.xxx.xxx#42252: transfer of 'maman-online.com/IN': AXFR started
Aug 16 18:14:44 ns30375 named[11769]: client 212.xxx.xxx.xxx#44364: transfer of 'guidedesrencontres.info/IN': AXFR started
Aug 16 18:19:52 ns30375 named[11769]: client 212.xxx.xxx.xxx#51930: transfer of 'rapidolien.com/IN': AXFR started
Aug 16 18:45:32 ns30375 named[11769]: client 212.xxx.xxx.xxx#45104: transfer of 'contactmoi.com/IN': AXFR started
Aug 16 18:53:58 ns30375 named[11769]: lame server resolving '52.xxx.xxx.xxx.in-addr.arpa' (in '100.245.213.in-addr.arpa'?): 193.0.0.193#53
Aug 16 19:30:16 ns30375 named[11769]: client 212.xxx.xxx.xxx#34853: transfer of 'plusdemonde.com/IN': AXFR started
Aug 16 21:37:25 ns30375 kernel: grsec: From 82.xxx.xxx.xxx: signal 11 sent to /usr/libexec/webmin/miniserv.pl[miniserv.pl:27931] uid/euid:0/0 gid/egid:0/0, parent /usr/libexec/webmin/miniserv.pl[miniserv.pl:5847] uid/euid:0/0 gid/egid:0/0
Aug 16 21:39:00 ns30375 named[11769]: lame server resolving 'opensource.ovh.net' (in 'ovh.net'?): 213.186.50.98#53
Aug 16 21:39:04 ns30375 kernel: grsec: From 82.xxx.xxx.xxx: signal 11 sent to /usr/libexec/webmin/miniserv.pl[miniserv.pl:23825] uid/euid:0/0 gid/egid:0/0, parent /usr/libexec/webmin/miniserv.pl[miniserv.pl:5847] uid/euid:0/0 gid/egid:0/0
-
lovepieds - Quartier Maître
- Messages: 14
- Inscrit le: 20 Jan 2004 01:00
- Localisation: PARIS
par Franck78 » 16 Août 2004 22:45
C'est clair qu'a 17h46 quelqu'un c'est loggué sous root dans la machine. Si c'est pas toi, tu as un problème.
A 14h03, tentative infructueuse depuis taiwan...
Les autres aussi.
Quand aux transfert de zones (AXFR) je ne peux pas dire grand chose. Que feraient ces domaines sur ton serveur ?
A 14h03, tentative infructueuse depuis taiwan...
Les autres aussi.
Quand aux transfert de zones (AXFR) je ne peux pas dire grand chose. Que feraient ces domaines sur ton serveur ?
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
par lovepieds » 16 Août 2004 23:29
A 17h46 c'est bien moi, ouf !
Les autres domaines en question sont bien à moi et installés sur le même dédié. Par contre, les transferts de zones (AXFR), je ne sais pas ce que c'est... (pas mes IP, je suis chez Wanadoo et pas chez Free).
De plus, je ne comprends pas cela non plus :
Aug 16 21:37:25 ns30375 kernel: grsec: From 82.120.XX.XXX: signal 11 sent to /usr/libexec/webmin/miniserv.pl[miniserv.pl:27931] uid/euid:0/0 gid/egid:0/0, parent /usr/libexec/webmin/miniserv.pl[miniserv.pl:5847] uid/euid:0/0 gid/egid:0/0
Aug 16 21:39:00 ns30375 named[11769]: lame server resolving 'opensource.ovh.net' (in 'ovh.net'?): 213.186.XX.XXX#53
Aug 16 21:39:04 ns30375 kernel: grsec: From 82.120.XX.XXX: signal 11 sent to /usr/libexec/webmin/miniserv.pl[miniserv.pl:23825] uid/euid:0/0 gid/egid:0/0, parent /usr/libexec/webmin/miniserv.pl[miniserv.pl:5847] uid/euid:0/0 gid/egid:0/0
l'IP 82.120.XX.XXX est bien la mienne par contre.
Merciiiii
Les autres domaines en question sont bien à moi et installés sur le même dédié. Par contre, les transferts de zones (AXFR), je ne sais pas ce que c'est... (pas mes IP, je suis chez Wanadoo et pas chez Free).
De plus, je ne comprends pas cela non plus :
Aug 16 21:37:25 ns30375 kernel: grsec: From 82.120.XX.XXX: signal 11 sent to /usr/libexec/webmin/miniserv.pl[miniserv.pl:27931] uid/euid:0/0 gid/egid:0/0, parent /usr/libexec/webmin/miniserv.pl[miniserv.pl:5847] uid/euid:0/0 gid/egid:0/0
Aug 16 21:39:00 ns30375 named[11769]: lame server resolving 'opensource.ovh.net' (in 'ovh.net'?): 213.186.XX.XXX#53
Aug 16 21:39:04 ns30375 kernel: grsec: From 82.120.XX.XXX: signal 11 sent to /usr/libexec/webmin/miniserv.pl[miniserv.pl:23825] uid/euid:0/0 gid/egid:0/0, parent /usr/libexec/webmin/miniserv.pl[miniserv.pl:5847] uid/euid:0/0 gid/egid:0/0
l'IP 82.120.XX.XXX est bien la mienne par contre.
Merciiiii
-
lovepieds - Quartier Maître
- Messages: 14
- Inscrit le: 20 Jan 2004 01:00
- Localisation: PARIS
par Franck78 » 17 Août 2004 02:04
Ben tu autorises webmin (10000) pour administrer ton serveur. Question sécurité je ne sais pas si c'est vraiment top. Tu devrais seulement allez en ssh sur ton serveur. Ajoutes midnightCommander (mc) pour faire l'admin courante en mode texte.
Tu devrais aussi te loguer en ssh avec un compte basic puis passer sous 'root' avec su.
Tu devrais aussi te loguer en ssh avec un compte basic puis passer sous 'root' avec su.
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
par guiguid » 17 Août 2004 07:52
- Code: Tout sélectionner
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dptop3
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:10000
ACCEPT icmp -- proxy.ovh.net anywhere
ACCEPT icmp -- ping.ovh.net anywhere
DROP all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Je resume tu autorises : pas mal de choses, en a tu fraiement besion ?
ACCEPT tcp -- anywhere anywhere tcp dpt:domain <-- UDP aussi non ?
Webmin sur le port 10000 ? (doublon avec ssh et cela affaibit considérablement la securite)
tu devrais logger le premier packet de chaque connexxions
--state=NEW -J LOG_ACCEPT
tu devrais passer les politiques par defaut à DROP !!! (c'est la base: on ferme tout, puis on ouvre ensuite !)
Chain FORWARD (policy DROP)
Chain OUTPUT (policy DROP)
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:domain
dans INPUT il te manque UDP pour les DNS !
tu devrais limiter le nombre de packet SYN /secondes
tu devrais dans les permeires regles DROPPER tous les packets INVALID, NEW NOT SYN, NULL ,XMAX.......
Installer snort avecsuivit : ftp, http, smtp ......
Etre plus restrictif pour l'acces ssh ( 80.0.0.0/8)
je vais essayer de te recuperer un exemple : http://guiguid.free.fr/ipcop/firewall.rc
A+
Guillaume
-
guiguid - Vice-Amiral
- Messages: 636
- Inscrit le: 10 Avr 2003 00:00
- Localisation: 66
par frost » 17 Août 2004 08:16
Sa m'interesse pas mal sa !!!!
Une question d'un débutant sous linux,
comment à distance peut-on se logguer root alors que l'on ne peut pas accéder au bash/shell, sa viendrait de webmin ?
Une question d'un débutant sous linux,
comment à distance peut-on se logguer root alors que l'on ne peut pas accéder au bash/shell, sa viendrait de webmin ?
Frost
------------------------------
Ipcop Addict
------------------------------
------------------------------
Ipcop Addict
------------------------------
-
frost - Contre-Amiral
- Messages: 465
- Inscrit le: 28 Fév 2004 01:00
- Localisation: Arras
Merci !
par lovepieds » 17 Août 2004 08:39
Je vous remercie tous pour ces éléments de réponse.
Comme je suis un néophyte en la matière, je vais dans un premier temps remettre mes règles de base et décrypter vos messages afin de les comprendre avant de les implanter, histoire de monter en compétence
Revoici donc les premières modifs que je viens d'implémenter :
(qui tiennent compte de vos remarques)
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- cache.ovh.net anywhere tcp dpt:ssh
ACCEPT icmp -- proxy.ovh.net anywhere
ACCEPT icmp -- ping.ovh.net anywhere
DROP all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source
Merci encore à vous,
Et si vous avez encore des remarques, n'hésiter pas
Comme je suis un néophyte en la matière, je vais dans un premier temps remettre mes règles de base et décrypter vos messages afin de les comprendre avant de les implanter, histoire de monter en compétence
Revoici donc les premières modifs que je viens d'implémenter :
(qui tiennent compte de vos remarques)
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- cache.ovh.net anywhere tcp dpt:ssh
ACCEPT icmp -- proxy.ovh.net anywhere
ACCEPT icmp -- ping.ovh.net anywhere
DROP all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source
Merci encore à vous,
Et si vous avez encore des remarques, n'hésiter pas
-
lovepieds - Quartier Maître
- Messages: 14
- Inscrit le: 20 Jan 2004 01:00
- Localisation: PARIS
par guiguid » 17 Août 2004 10:32
pour approfondir :
http://www.netfilter.org/documentation/ ... HOWTO.html
et pour des exemples concret validés pas des experts:
http://securityfocus.org/infocus/unix?topic=fwrules
guillaume
http://www.netfilter.org/documentation/ ... HOWTO.html
et pour des exemples concret validés pas des experts:
http://securityfocus.org/infocus/unix?topic=fwrules
guillaume
-
guiguid - Vice-Amiral
- Messages: 636
- Inscrit le: 10 Avr 2003 00:00
- Localisation: 66
11 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité