Debian: nombreu scan de ma machine ??
Bonjoiir !
voila, je viens d'installer un IDS, je bloque les scanners de ports, seulement je ne pensais pas avoir a faire a autant d'ip bloquées...
j'ai installé ca ce matin, et la il doit y avoir une centaines d'ip bloquées... je ne m'était jamais rendu compte d'autant de scann, quelqu un saurait m'expliquer kesako?
quand je scanne a mon tour les ip, souvent il y a le port 25 ouvert, ca veut dire quoi? ce sont des robots de spam qui scanne leur possible cibles ?
ou est ce que je me fais attaquer du monde entier xD??
Merci d'avance à tous :) !!
voila, je viens d'installer un IDS, je bloque les scanners de ports, seulement je ne pensais pas avoir a faire a autant d'ip bloquées...
j'ai installé ca ce matin, et la il doit y avoir une centaines d'ip bloquées... je ne m'était jamais rendu compte d'autant de scann, quelqu un saurait m'expliquer kesako?
quand je scanne a mon tour les ip, souvent il y a le port 25 ouvert, ca veut dire quoi? ce sont des robots de spam qui scanne leur possible cibles ?
ou est ce que je me fais attaquer du monde entier xD??
Merci d'avance à tous :) !!
A voir également:
- Debian: nombreu scan de ma machine ??
- Fedora ou debian - Guide
- Miroir de l'archive debian corrompu - Forum Debian
- Debian passer en root - Forum Linux / Unix
- Debian en français ✓ - Forum Linux / Unix
- Debian live user password ✓ - Forum Debian
3 réponses
Si ta machine est directement exposée sur le Net (soit parce que tu utilises un modem, soit parce que tu es derrière un routeur qui redirige la plupart des ports vers ta machine) ça n'a rien de surprenant.
C'est pour ça qu'il est important :
- d'utiliser des mots de passe sûrs (si une authentification par mot de passe est possible)
- de limiter autant que possible qui peut se connecter à un port (par exemple, si tu as un serveur de base de données qui n'est accédé que par ta propre machine, ce serveur n'a pas de raison d'écouter le trafic réseau) (voir bind-address)
- de privilégier les authentifications par clé (dans le cas de ssh)
- de partir du principe que le premier compte qui sera attaqué c'est root (c'est pour ça qu'en ssh on peut d'ailleurs empêcher de se connecter en root en ssh)
- d'avoir un pare-feu (iptables, ufw, etc.) qui limite quelles ips publiques peuvent se connecter chez toi
- de n'installer que des programmes (qui écoutent sur le réseau) qui te servent. Par exemple si tu n'utilises jamais ssh, autant ne pas l'installer, ça évitera que des gens tentent de se connecter sur ta machine en ssh.
Bonne chance
C'est pour ça qu'il est important :
- d'utiliser des mots de passe sûrs (si une authentification par mot de passe est possible)
- de limiter autant que possible qui peut se connecter à un port (par exemple, si tu as un serveur de base de données qui n'est accédé que par ta propre machine, ce serveur n'a pas de raison d'écouter le trafic réseau) (voir bind-address)
- de privilégier les authentifications par clé (dans le cas de ssh)
- de partir du principe que le premier compte qui sera attaqué c'est root (c'est pour ça qu'en ssh on peut d'ailleurs empêcher de se connecter en root en ssh)
- d'avoir un pare-feu (iptables, ufw, etc.) qui limite quelles ips publiques peuvent se connecter chez toi
- de n'installer que des programmes (qui écoutent sur le réseau) qui te servent. Par exemple si tu n'utilises jamais ssh, autant ne pas l'installer, ça évitera que des gens tentent de se connecter sur ta machine en ssh.
Bonne chance
Merci pour ta réponse rapide :)
Le serveur est chez un hebergeur.
Ca me rassure, j'ai deja fait tout ce que tu dis, a part le bind-address que je ne connais donc je vais me renseigner.
Mais ca me rend quand même un peu parano, une centaine d'ip bloquées aujourd'hui... et de tout les pays c'est ca que je ne comprend pas... c'est la première fois que j'heberge a l'exterieur, mes serveurs on toujours été chez moi et je n'ai jamais remarqué ca...
Du coup je cherche un mex de securité donc si tas 2 3 tuyaux un peu poussés a me filer, je suis preneur !
Le serveur est chez un hebergeur.
Ca me rassure, j'ai deja fait tout ce que tu dis, a part le bind-address que je ne connais donc je vais me renseigner.
Mais ca me rend quand même un peu parano, une centaine d'ip bloquées aujourd'hui... et de tout les pays c'est ca que je ne comprend pas... c'est la première fois que j'heberge a l'exterieur, mes serveurs on toujours été chez moi et je n'ai jamais remarqué ca...
Du coup je cherche un mex de securité donc si tas 2 3 tuyaux un peu poussés a me filer, je suis preneur !
Pour l'histoire de bind-address (ou listen-address) c'est dans le fichier de configuration du serveur que tu considère, par exemple /etc/mysql/my.cnf si tu considères un serveur mysql ou /etc/ssh/sshd_config dans le cas de ssh.
Exemple : /etc/mysql/my.cnf
Exemple : /etc/ssh/sshd_config
Si cette valeur est égale à 127.0.0.1 cela signifie que seul le trafic à la machine est écoute. Si cette valeur est égale à une IP particulière (une interface de ta machine) par exemple 192.168.1.10, seul le trafic lié à cette interface est écouté. Si cette valeur vaut 0.0.0.0, le trafic peut provenir de n'importe où. Ça c'est pour IPv4 mais le principe reste le même avec IPv6, ce sont juste les notations qui changent (par exemple :: représente 0.0.0.0).
Cette valeur se retrouve quand tu lances la commande netstat :
Si cette bind-address n'est pas correcte, il suffit de la corriger dans le fichier de configuration en s'assurant que la directive correspondante est décommentée (non précédée d'un "#" par exemple) puis relancer le serveur.
Exemple : avec la vieille et la nouvelle syntaxe, en root ou avec sudo :
Bonne chance
Exemple : /etc/mysql/my.cnf
# Instead of skip-networking the default is now to listen only on # localhost which is more compatible and is not less secure. bind-address = 127.0.0.1
Exemple : /etc/ssh/sshd_config
[...] # Use these options to restrict which interfaces/protocols sshd will bind to #ListenAddress :: #ListenAddress 0.0.0.0 [...]
Si cette valeur est égale à 127.0.0.1 cela signifie que seul le trafic à la machine est écoute. Si cette valeur est égale à une IP particulière (une interface de ta machine) par exemple 192.168.1.10, seul le trafic lié à cette interface est écouté. Si cette valeur vaut 0.0.0.0, le trafic peut provenir de n'importe où. Ça c'est pour IPv4 mais le principe reste le même avec IPv6, ce sont juste les notations qui changent (par exemple :: représente 0.0.0.0).
Cette valeur se retrouve quand tu lances la commande netstat :
(root@silk) (~) # netstat -ntlp | grep ssh tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 2435/sshd tcp6 0 0 :::22 :::* LISTEN 2435/sshd
Si cette bind-address n'est pas correcte, il suffit de la corriger dans le fichier de configuration en s'assurant que la directive correspondante est décommentée (non précédée d'un "#" par exemple) puis relancer le serveur.
Exemple : avec la vieille et la nouvelle syntaxe, en root ou avec sudo :
/etc/init.d/ssh restart service ssh restart
Bonne chance