Avant toute chose merci de (re)prendre connaissance de la charte et de la respecter.
Pour résumer :
- Avant de poser une question, je cherche si la réponse existe
- Je suis poli, courtois et je respecte tout un chacun sur le forum
- Si un post m'agace : je m'en éloigne plutôt que de répondre d'une façon qui pourrait être mal interprétée


Il n'est jamais du luxe que de rappeler des choses simples :
Courtoisie, amabilité, politesse et bonne humeur sont les maîtres mots pour un forum sympathique, bienveillant et accueillant :)

Le groupe des Helpers est present pour vous aidez, n'hésitez pas à poser des questions ;)

Toute la communauté vous remercie

Tentative d'intrusion

Pour parler de tout, et surtout de rien !
Avatar de l’utilisateur
Patdec
Actif
Messages : 677
Inscription : 21 janv. 2015, 15:49
Localisation : Tournai

Tentative d'intrusion

Message par Patdec » 04 juin 2019, 16:03

Bonjour,

Je m'interroge sur ce type d'info trouvée dans /var/log/auth.log.
Y a t'il tentative d'intrusion où est ce une action cron automatique ?

Chez vous, est-ce similaire ?

Dans le bloc code ci-dessous, j'ai supprimé beaucoup de lignes identiques pour ne pas trop surcharger.

Code : Tout sélectionner

Jun  4 13:47:39 debian sudo: pam_unix(sudo:session): session closed for user root
Jun  4 13:47:41 debian sudo: www-data : TTY=unknown ; PWD=/var/www/html/core/ajax ; USER=root ; COMMAND=/bin/chmod 664 /var/www/html/core/class/../../log/http.error
Jun  4 13:47:41 debian sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Jun  4 13:47:41 debian sudo: pam_unix(sudo:session): session closed for user root
Jun  4 13:47:43 debian sudo: www-data : TTY=unknown ; PWD=/var/www/html/core/ajax ; USER=root ; COMMAND=/bin/chmod 664 /var/www/html/core/class/../../log/http.error
Jun  4 13:47:43 debian sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Jun  4 13:47:43 debian sudo: pam_unix(sudo:session): session closed for user root
Jun  4 13:47:43 debian sshd[16994]: Invalid user gitolite3 from 188.166.1.95 port 55235
Jun  4 13:47:43 debian sshd[16994]: input_userauth_request: invalid user gitolite3 [preauth]
Jun  4 13:47:43 debian sshd[16994]: pam_unix(sshd:auth): check pass; user unknown
Jun  4 13:47:43 debian sshd[16994]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=188.166.1.95
Jun  4 13:47:44 debian sshd[16994]: Failed password for invalid user gitolite3 from 188.166.1.95 port 55235 ssh2
Jun  4 13:47:44 debian sshd[16994]: Received disconnect from 188.166.1.95 port 55235:11: Bye Bye [preauth]
Jun  4 13:47:44 debian sshd[16994]: Disconnected from 188.166.1.95 port 55235 [preauth]
Jun  4 13:47:50 debian sudo: www-data : TTY=unknown ; PWD=/var/www/html/core/ajax ; USER=root ; COMMAND=/bin/chmod 664 /var/www/html/core/class/../../log/http.error
Jun  4 13:47:50 debian sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Jun  4 13:47:50 debian sudo: pam_unix(sudo:session): session closed for user root

Jun  4 13:50:06 debian sudo: pam_unix(sudo:session): session closed for user root
Jun  4 13:50:07 debian sudo: www-data : TTY=unknown ; PWD=/var/www/html/core/ajax ; USER=root ; COMMAND=/bin/chmod 664 /var/www/html/core/class/../../log/http.error
Jun  4 13:50:07 debian sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Jun  4 13:50:07 debian sudo: pam_unix(sudo:session): session closed for user root
Jun  4 13:50:09 debian sudo: www-data : TTY=unknown ; PWD=/var/www/html/core/ajax ; USER=root ; COMMAND=/bin/chmod 664 /var/www/html/core/class/../../log/http.error
Jun  4 13:50:09 debian sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Jun  4 13:50:09 debian sudo: pam_unix(sudo:session): session closed for user root
Jun  4 13:50:10 debian sudo: www-data : TTY=unknown ; PWD=/var/www/html/core/ajax ; USER=root ; COMMAND=/bin/chmod 664 /var/www/html/core/class/../../log/http.error
Jun  4 13:50:10 debian sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Jun  4 13:50:10 debian sudo: pam_unix(sudo:session): session closed for user root
Jun  4 13:50:11 debian sshd[18661]: Invalid user master from 188.166.1.95 port 38419
Jun  4 13:50:11 debian sshd[18661]: input_userauth_request: invalid user master [preauth]
Jun  4 13:50:11 debian sudo: www-data : TTY=unknown ; PWD=/var/www/html/core/ajax ; USER=root ; COMMAND=/bin/chmod 664 /var/www/html/core/class/../../log/http.error
Jun  4 13:50:11 debian sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Jun  4 13:50:11 debian sudo: pam_unix(sudo:session): session closed for user root
Jun  4 13:50:11 debian sshd[18661]: pam_unix(sshd:auth): check pass; user unknown
Jun  4 13:50:11 debian sshd[18661]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=188.166.1.95
Jun  4 13:50:12 debian sudo: www-data : TTY=unknown ; PWD=/var/www/html/core/ajax ; USER=root ; COMMAND=/bin/chmod 664 /var/www/html/core/class/../../log/http.error
Jun  4 13:51:02 debian sudo: www-data : TTY=unknown ; PWD=/var/www/html/core/ajax ; USER=root ; COMMAND=/bin/chmod 664 /var/www/html/core/class/../../log/http.error
Jun  4 13:51:02 debian sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Jun  4 13:51:02 debian sudo: pam_unix(sudo:session): session closed for user root
Jun  4 13:51:05 debian sudo: pam_unix(sudo:session): session closed for user root
Jun  4 13:51:05 debian sudo: www-data : TTY=unknown ; PWD=/var/www/html/core/ajax ; USER=root ; COMMAND=/bin/chmod 664 /var/www/html/core/class/../../log/http.error
Jun  4 13:51:05 debian sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Jun  4 13:51:05 debian sudo: pam_unix(sudo:session): session closed for user root
Jun  4 13:51:06 debian sudo: www-data : TTY=unknown ; PWD=/var/www/html/core/ajax ; USER=root ; COMMAND=/bin/chmod 664 /var/www/html/core/class/../../log/http.error
Jun  4 13:51:06 debian sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Jun  4 13:51:06 debian sudo: pam_unix(sudo:session): session closed for user root
Jun  4 13:51:06 debian sudo: www-data : TTY=unknown ; PWD=/var/www/html/core/ajax ; USER=root ; COMMAND=/bin/chmod 664 /var/www/html/core/class/../../log/http.error
Jun  4 13:51:06 debian sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Jun  4 13:51:06 debian sudo: pam_unix(sudo:session): session closed for user root
Jun  4 13:51:07 debian sshd[19520]: Invalid user felix from 167.99.222.202 port 60824
Jun  4 13:51:07 debian sshd[19520]: input_userauth_request: invalid user felix [preauth]
Jun  4 13:51:07 debian sshd[19520]: pam_unix(sshd:auth): check pass; user unknown
Jun  4 13:51:07 debian sshd[19520]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=167.99.222.202
Jun  4 13:51:07 debian sudo: www-data : TTY=unknown ; PWD=/var/www/html/core/ajax ; USER=root ; COMMAND=/bin/chmod 664 /var/www/html/core/class/../../log/http.error
Jun  4 13:51:07 debian sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Jun  4 13:51:07 debian sudo: pam_unix(sudo:session): session closed for user root
Jun  4 13:51:07 debian sudo: www-data : TTY=unknown ; PWD=/var/www/html/core/ajax ; USER=root ; COMMAND=/bin/chmod 664 /var/www/html/core/class/../../log/http.error
Jun  4 13:51:07 debian sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Jun  4 13:51:07 debian sudo: pam_unix(sudo:session): session closed for user root
Jun  4 13:51:08 debian sudo: www-data : TTY=unknown ; PWD=/var/www/html/core/ajax ; USER=root ; COMMAND=/bin/chmod 664 /var/www/html/core/class/../../log/http.error
Jun  4 13:51:08 debian sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Jun  4 13:51:08 debian sudo: pam_unix(sudo:session): session closed for user root
Jun  4 13:51:08 debian sudo: www-data : TTY=unknown ; PWD=/var/www/html/core/ajax ; USER=root ; COMMAND=/bin/chmod 664 /var/www/html/core/class/../../log/http.error
Jun  4 13:51:08 debian sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Jun  4 13:51:08 debian sudo: pam_unix(sudo:session): session closed for user root
Jun  4 13:51:09 debian sshd[19520]: Failed password for invalid user felix from 167.99.222.202 port 60824 ssh2
Jun  4 13:51:09 debian sshd[19520]: Received disconnect from 167.99.222.202 port 60824:11: Bye Bye [preauth]
Jun  4 13:51:09 debian sshd[19520]: Disconnected from 167.99.222.202 port 60824 [preauth]
Jun  4 13:51:09 debian sudo: www-data : TTY=unknown ; PWD=/var/www/html/core/ajax ; USER=root ; COMMAND=/bin/chmod 664 /var/www/html/core/class/../../log/http.error
Jun  4 13:51:09 debian sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Jun  4 13:51:09 debian sudo: pam_unix(sudo:session): session closed for user root
Jun  4 13:51:10 debian sudo: www-data : TTY=unknown ; PWD=/var/www/html/core/ajax ; USER=root ; COMMAND=/bin/chmod 664 /var/www/html/core/class/../../log/http.error
Jun  4 13:51:10 debian sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
En bleu j'ai extirpé les lignes qui me posent question.
D'où proviennent toutes des IP's ? avec des logins gitolite3, felix, rhost....

Jun 4 13:47:43 debian sshd[16994]: Invalid user gitolite3 from 188.166.1.95 port 55235
Jun 4 13:47:43 debian sshd[16994]: input_userauth_request: invalid user gitolite3 [preauth]
Jun 4 13:47:43 debian sshd[16994]: pam_unix(sshd:auth): check pass; user unknown
Jun 4 13:47:43 debian sshd[16994]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=188.166.1.95
Jun 4 13:47:44 debian sshd[16994]: Failed password for invalid user gitolite3 from 188.166.1.95 port 55235 ssh2
Jun 4 13:47:44 debian sshd[16994]: Received disconnect from 188.166.1.95 port 55235:11: Bye Bye [preauth]
Jun 4 13:47:44 debian sshd[16994]: Disconnected from 188.166.1.95 port 55235 [preauth]

Jun 4 13:51:07 debian sshd[19520]: Invalid user felix from 167.99.222.202 port 60824
Jun 4 13:51:07 debian sshd[19520]: input_userauth_request: invalid user felix [preauth]

Jun 4 13:50:11 debian sshd[18661]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=188.166.1.95

Jun 4 13:51:09 debian sshd[19520]: Failed password for invalid user felix from 167.99.222.202 port 60824 ssh2
Jun 4 13:51:09 debian sshd[19520]: Received disconnect from 167.99.222.202 port 60824:11: Bye Bye [preauth]
Jun 4 13:51:09 debian sshd[19520]: Disconnected from 167.99.222.202 port 60824 [preauth]



Ce qui est curieux également et qui m'a interrogé est que j'avais dans mon log http error des infos de type
[Mon Jun 03 00:09:15.537822 2019] [mpm_prefork:notice] [pid 465] AH00171: Graceful restart requested, doing restart.
Sans que je fasse rien le log s'est vidé !!! ????

Ce fichier auth.log fait actuellement 10406 Kb et grossit continuellement. Les dernières lignes

Code : Tout sélectionner

Jun  4 16:05:09 debian sudo: pam_unix(sudo:session): session closed for user root
Jun  4 16:05:11 debian sudo: www-data : TTY=unknown ; PWD=/var/www/html/core/ajax ; USER=root ; COMMAND=/bin/chmod 664 /var/www/html/core/class/../../log/cron_execution
Jun  4 16:05:11 debian sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Jun  4 16:05:11 debian sudo: pam_unix(sudo:session): session closed for user root
Jun  4 16:05:12 debian sudo: www-data : TTY=unknown ; PWD=/var/www/html/core/ajax ; USER=root ; COMMAND=/bin/chmod 664 /var/www/html/core/class/../../log/cron_execution
Jun  4 16:05:12 debian sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Jun  4 16:05:12 debian sudo: pam_unix(sudo:session): session closed for user root
Jun  4 16:05:13 debian sudo: www-data : TTY=unknown ; PWD=/var/www/html/core/ajax ; USER=root ; COMMAND=/bin/chmod 664 /var/www/html/core/class/../../log/cron_execution
Jun  4 16:05:13 debian sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Jun  4 16:05:13 debian sudo: pam_unix(sudo:session): session closed for user root
Jun  4 16:05:14 debian sudo: www-data : TTY=unknown ; PWD=/var/www/html/core/ajax ; USER=root ; COMMAND=/bin/chmod 664 /var/www/html/core/class/../../log/cron_execution
Jun  4 16:05:14 debian sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Jun  4 16:05:14 debian sudo: pam_unix(sudo:session): session closed for user root
Jun  4 16:05:15 debian sudo: www-data : TTY=unknown ; PWD=/var/www/html/core/ajax ; USER=root ; COMMAND=/bin/chmod 664 /var/www/html/core/class/../../log/cron_execution
Jun  4 16:05:15 debian sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Jun  4 16:05:15 debian sudo: pam_unix(sudo:session): session closed for user root
Jun  4 16:05:16 debian sudo: www-data : TTY=unknown ; PWD=/var/www/html/core/ajax ; USER=root ; COMMAND=/bin/chmod 664 /var/www/html/core/class/../../log/cron_execution
Jun  4 16:05:16 debian sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Jun  4 16:05:16 debian sudo: pam_unix(sudo:session): session closed for user root
Jun  4 16:05:17 debian sudo: www-data : TTY=unknown ; PWD=/var/www/html/core/ajax ; USER=root ; COMMAND=/bin/chmod 664 /var/www/html/core/class/../../log/cron_execution
Jun  4 16:05:17 debian sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Jun  4 16:05:17 debian sudo: pam_unix(sudo:session): session closed for user root
Edit: les ports entrant 80 et 443 sont bloqués au niveau FAI

Les derniers messages 3h plus tard.

Code : Tout sélectionner

Jun  4 19:00:50 debian sshd[28632]: Connection closed by 47.95.12.181 port 36960 [preauth]
Jun  4 19:00:57 debian sshd[28654]: Connection closed by 121.42.15.13 port 38486 [preauth]
Jun  4 19:01:01 debian CRON[28668]: pam_unix(cron:session): session opened for user www-data by (uid=0)
Jun  4 19:01:03 debian CRON[28668]: pam_unix(cron:session): session closed for user www-data
Jun  4 19:02:01 debian CRON[28912]: pam_unix(cron:session): session opened for user www-data by (uid=0)
Jun  4 19:02:03 debian CRON[28912]: pam_unix(cron:session): session closed for user www-data
Jun  4 19:03:01 debian CRON[29161]: pam_unix(cron:session): session opened for user www-data by (uid=0)
Jun  4 19:03:03 debian CRON[29161]: pam_unix(cron:session): session closed for user www-data
Jun  4 19:04:01 debian CRON[29413]: pam_unix(cron:session): session opened for user www-data by (uid=0)
Jun  4 19:04:03 debian CRON[29413]: pam_unix(cron:session): session closed for user www-data
Jun  4 19:04:42 debian sshd[29595]: Invalid user swearer from 43.241.234.126 port 60098
Jun  4 19:04:42 debian sshd[29595]: input_userauth_request: invalid user swearer [preauth]
Jun  4 19:04:42 debian sshd[29595]: pam_unix(sshd:auth): check pass; user unknown
Jun  4 19:04:42 debian sshd[29595]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.241.234.126
Jun  4 19:04:44 debian sshd[29595]: Failed password for invalid user swearer from 43.241.234.126 port 60098 ssh2
Jun  4 19:04:44 debian sshd[29595]: Received disconnect from 43.241.234.126 port 60098:11: Bye Bye [preauth]
Jun  4 19:04:44 debian sshd[29595]: Disconnected from 43.241.234.126 port 60098 [preauth]
Jun  4 19:05:01 debian CRON[29663]: pam_unix(cron:session): session opened for user www-data by (uid=0)
Jun  4 19:05:01 debian CRON[29662]: pam_unix(cron:session): session opened for user root by (uid=0)
Jun  4 19:05:01 debian CRON[29662]: pam_unix(cron:session): session closed for user root
Jun  4 19:05:03 debian sudo: www-data : TTY=unknown ; PWD=/var/www ; USER=root ; COMMAND=/bin/chmod 777 /dev/ttyACM0
Jun  4 19:05:03 debian sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Jun  4 19:05:03 debian sudo: pam_unix(sudo:session): session closed for user root
Jun  4 19:05:04 debian CRON[29663]: pam_unix(cron:session): session closed for user www-data
Jun  4 19:06:01 debian CRON[29990]: pam_unix(cron:session): session opened for user www-data by (uid=0)
Jun  4 19:06:03 debian CRON[29990]: pam_unix(cron:session): session closed for user www-data
Jun  4 19:07:01 debian CRON[30232]: pam_unix(cron:session): session opened for user www-data by (uid=0)
Jun  4 19:07:03 debian CRON[30232]: pam_unix(cron:session): session closed for user www-data
Jun  4 19:07:30 debian sshd[30371]: Invalid user ie from 43.241.234.126 port 52638
Jun  4 19:07:30 debian sshd[30371]: input_userauth_request: invalid user ie [preauth]
Jun  4 19:07:30 debian sshd[30371]: pam_unix(sshd:auth): check pass; user unknown
Jun  4 19:07:30 debian sshd[30371]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.241.234.126
Jun  4 19:07:32 debian sshd[30371]: Failed password for invalid user ie from 43.241.234.126 port 52638 ssh2
Jun  4 19:08:01 debian CRON[30484]: pam_unix(cron:session): session opened for user www-data by (uid=0)
Jun  4 19:08:03 debian CRON[30484]: pam_unix(cron:session): session closed for user www-data
Jun  4 19:09:01 debian CRON[30726]: pam_unix(cron:session): session opened for user www-data by (uid=0)
Jun  4 19:09:01 debian CRON[30725]: pam_unix(cron:session): session opened for user root by (uid=0)
Jun  4 19:09:01 debian CRON[30725]: pam_unix(cron:session): session closed for user root
Jun  4 19:09:03 debian CRON[30726]: pam_unix(cron:session): session closed for user www-data
Jun  4 19:10:02 debian CRON[31025]: pam_unix(cron:session): session opened for user root by (uid=0)
Jun  4 19:10:02 debian CRON[31026]: pam_unix(cron:session): session opened for user www-data by (uid=0)
Jun  4 19:10:02 debian CRON[31025]: pam_unix(cron:session): session closed for user root
Jun  4 19:10:04 debian sudo: www-data : TTY=unknown ; PWD=/var/www ; USER=root ; COMMAND=/bin/chmod 777 /dev/ttyACM0
Jun  4 19:10:04 debian sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Jun  4 19:10:04 debian sudo: pam_unix(sudo:session): session closed for user root
Jun  4 19:10:05 debian CRON[31026]: pam_unix(cron:session): session closed for user www-data
Jun  4 19:11:00 debian sshd[31323]: Accepted password for root from 192.168.1.38 port 1461 ssh2
Jun  4 19:11:00 debian sshd[31323]: pam_unix(sshd:session): session opened for user root by (uid=0)
Jun  4 19:11:00 debian systemd-logind[348]: New session 665 of user root.
Jun  4 19:11:00 debian systemd: pam_unix(systemd-user:session): session opened for user root by (uid=0)
Jun  4 19:11:01 debian CRON[31357]: pam_unix(cron:session): session opened for user www-data by (uid=0)
Jun  4 19:11:03 debian CRON[31357]: pam_unix(cron:session): session closed for user www-data
L'IP 192.168.1.61 est celle de mon LAN actuelle.
Les autres, je sais pas.
Débutant Jeedom.
VirtualBox 6.0.10 sur Tablette I Works 12 sous Win 10 - Debian 9.9
Jeedom 3.3.29 - Contrôleur Aeotec ZW 090 C
Modules Fibaro FGR-222

geronimoo0
Timide
Messages : 41
Inscription : 06 mai 2019, 15:17

Re: Tentative d'intrusion

Message par geronimoo0 » 05 juin 2019, 10:33

salut, se sont nos amis chinois qui bossent, c'est tout.
Tu peux mettre un fail2ban pour bloquer les ips au bout de x nombres de tests sur n'importe quel protocole pour palier à ce problème.

Avatar de l’utilisateur
Patdec
Actif
Messages : 677
Inscription : 21 janv. 2015, 15:49
Localisation : Tournai

Re: Tentative d'intrusion

Message par Patdec » 05 juin 2019, 15:42

geronimoo0 a écrit :
05 juin 2019, 10:33
salut, se sont nos amis chinois qui bossent, c'est tout.
Tu peux mettre un fail2ban pour bloquer les ips au bout de x nombres de tests sur n'importe quel protocole pour palier à ce problème.
Merci pour ta réponse-confirmation.
En effet j'ai ouvert les ports 80 et 443 sur mon FAI et j'obtiens dans mon log http error la liste des @#@^@ grrrrrr :evil: .

Code : Tout sélectionner

[Wed Jun 05 09:13:43.382110 2019] [:error] [pid 542] [client 27.254.206.166:42874] script '/var/www/html/yu.php' not found or unable to stat
[Wed Jun 05 09:13:43.859848 2019] [:error] [pid 542] [client 27.254.206.166:42874] script '/var/www/html/wuwu11.php' not found or unable to stat
[Wed Jun 05 09:13:44.101450 2019] [:error] [pid 542] [client 27.254.206.166:42874] script '/var/www/html/xw.php' not found or unable to stat
[Wed Jun 05 09:13:44.342452 2019] [:error] [pid 542] [client 27.254.206.166:42874] script '/var/www/html/xw1.php' not found or unable to stat
[Wed Jun 05 09:13:44.585075 2019] [:error] [pid 542] [client 27.254.206.166:42874] script '/var/www/html/9678.php' not found or unable to stat
[Wed Jun 05 09:13:44.827671 2019] [:error] [pid 542] [client 27.254.206.166:42874] script '/var/www/html/wc.php' not found or unable to stat
[Wed Jun 05 09:13:45.071793 2019] [:error] [pid 542] [client 27.254.206.166:42874] script '/var/www/html/xx.php' not found or unable to stat
[Wed Jun 05 09:13:45.313729 2019] [:error] [pid 542] [client 27.254.206.166:42874] script '/var/www/html/xx.php' not found or unable to stat
[Wed Jun 05 09:13:45.553196 2019] [:error] [pid 542] [client 27.254.206.166:42874] script '/var/www/html/s.php' not found or unable to stat
[Wed Jun 05 09:13:45.794087 2019] [:error] [pid 542] [client 27.254.206.166:42874] script '/var/www/html/w.php' not found or unable to stat
[Wed Jun 05 09:13:46.033812 2019] [:error] [pid 542] [client 27.254.206.166:42874] script '/var/www/html/sheep.php' not found or unable to stat
[Wed Jun 05 09:13:46.270112 2019] [:error] [pid 542] [client 27.254.206.166:42874] script '/var/www/html/qaq.php' not found or unable to stat
[Wed Jun 05 09:13:46.511809 2019] [:error] [pid 542] [client 27.254.206.166:42874] script '/var/www/html/my.php' not found or unable to stat
[Wed Jun 05 09:13:46.754297 2019] [:error] [pid 542] [client 27.254.206.166:42874] script '/var/www/html/qq.php' not found or unable to stat
[Wed Jun 05 09:13:46.996388 2019] [:error] [pid 542] [client 27.254.206.166:42874] script '/var/www/html/aaa.php' not found or unable to stat
[Wed Jun 05 09:13:47.239068 2019] [:error] [pid 542] [client 27.254.206.166:42874] script '/var/www/html/hhh.php' not found or unable to stat
[Wed Jun 05 09:13:47.484427 2019] [:error] [pid 542] [client 27.254.206.166:42874] script '/var/www/html/jjj.php' not found or unable to stat
[Wed Jun 05 09:13:47.725802 2019] [:error] [pid 542] [client 27.254.206.166:42874] script '/var/www/html/vvv.php' not found or unable to stat
[Wed Jun 05 09:13:47.967278 2019] [:error] [pid 542] [client 27.254.206.166:42874] script '/var/www/html/www.php' not found or unable to stat
[Wed Jun 05 09:13:48.209533 2019] [:error] [pid 542] [client 27.254.206.166:42874] script '/var/www/html/ffr.php' not found or unable to stat
[Wed Jun 05 09:13:48.467269 2019] [:error] [pid 542] [client 27.254.206.166:42874] script '/var/www/html/411.php' not found or unable to stat
[Wed Jun 05 09:13:48.709556 2019] [:error] [pid 542] [client 27.254.206.166:42874] script '/var/www/html/415.php' not found or unable to stat
Je vais regarder comment installer fail2ban mais comme je pars demain matin en vacances, je ne sais pas si j'aurais le temps de trouver.
Débutant Jeedom.
VirtualBox 6.0.10 sur Tablette I Works 12 sous Win 10 - Debian 9.9
Jeedom 3.3.29 - Contrôleur Aeotec ZW 090 C
Modules Fibaro FGR-222

geronimoo0
Timide
Messages : 41
Inscription : 06 mai 2019, 15:17

Re: Tentative d'intrusion

Message par geronimoo0 » 05 juin 2019, 15:53

c'est très simple à mettre en place. Un conseil fait le en interne au départ pour pouvoir te de-ban, car c'est assez puissant. si tu te bloques et que tu as paramétré un ban 'ad vitam eternam'...bah tu pleures :)

Naboleo
Actif
Messages : 683
Inscription : 20 janv. 2017, 09:57

Re: Tentative d'intrusion

Message par Naboleo » 05 juin 2019, 16:33

geronimoo0 a écrit :
05 juin 2019, 15:53
c'est très simple à mettre en place. Un conseil fait le en interne au départ pour pouvoir te de-ban, car c'est assez puissant. si tu te bloques et que tu as paramétré un ban 'ad vitam eternam'...bah tu pleures :)
Autant mettre dès le départ la liste des ips à ne pas bannir (par exemple)

Code : Tout sélectionner

ignoreip = 127.0.0.1/8 192.168.1.0/24
Pi3 +SSD 32Go (Wifi et bluetooth actifs) + Clé USB Z-Wave Everspring + rfxcom (RTS) + Google Home
7 Danfoss LC-13
2 velux module DIO
7 volets RTS
3 Sonoff
IFTTT
Capteur porte, de présence, et prise intelligente...

Avatar de l’utilisateur
Patdec
Actif
Messages : 677
Inscription : 21 janv. 2015, 15:49
Localisation : Tournai

Re: Tentative d'intrusion

Message par Patdec » 05 juin 2019, 17:48

Naboleo a écrit :
05 juin 2019, 16:33
geronimoo0 a écrit :
05 juin 2019, 15:53
c'est très simple à mettre en place. Un conseil fait le en interne au départ pour pouvoir te de-ban, car c'est assez puissant. si tu te bloques et que tu as paramétré un ban 'ad vitam eternam'...bah tu pleures :)
Autant mettre dès le départ la liste des ips à ne pas bannir (par exemple)

Code : Tout sélectionner

ignoreip = 127.0.0.1/8 192.168.1.0/24
Merci à vous 2 pour les infos.

Très simple quand on sait.
Sinon il faut lire, se documenter, savoir où écrire les fichiers et quoi mettre dedans.
Déjà Naboleo indique une restriction d''Ip.
Pourquoi le /8, le /24 ? représentent -ils des ports ?
Chez moi, j'ai accès à mon routeur avec 192.168.1.1 qui est différent de 192.168.0.1

Vous voyez mon niveau réseau !!!! ;)

Je suis occupé ici https://zb2oby.fr/fail2ban, si vous avez mieux, je suis preneur.
Débutant Jeedom.
VirtualBox 6.0.10 sur Tablette I Works 12 sous Win 10 - Debian 9.9
Jeedom 3.3.29 - Contrôleur Aeotec ZW 090 C
Modules Fibaro FGR-222

madcow
Timide
Messages : 236
Inscription : 06 févr. 2019, 21:41

Re: Tentative d'intrusion

Message par madcow » 05 juin 2019, 18:45

Patdec a écrit :
Naboleo a écrit :
05 juin 2019, 16:33
geronimoo0 a écrit :
05 juin 2019, 15:53
c'est très simple à mettre en place. Un conseil fait le en interne au départ pour pouvoir te de-ban, car c'est assez puissant. si tu te bloques et que tu as paramétré un ban 'ad vitam eternam'...bah tu pleures :)
Autant mettre dès le départ la liste des ips à ne pas bannir (par exemple)

Code : Tout sélectionner

ignoreip = 127.0.0.1/8 192.168.1.0/24
Merci à vous 2 pour les infos.

Très simple quand on sait.
Sinon il faut lire, se documenter, savoir où écrire les fichiers et quoi mettre dedans.
Déjà Naboleo indique une restriction d''Ip.
Pourquoi le /8, le /24 ? représentent -ils des ports ?
Chez moi, j'ai accès à mon routeur avec 192.168.1.1 qui est différent de 192.168.0.1

Vous voyez mon niveau réseau !!!! ;)

Je suis occupé ici https://zb2oby.fr/fail2ban, si vous avez mieux, je suis preneur.
1/8 veut dire la plage de 1 à 8.
C'est l'ip de ta machine sur le réseau qui se connecte à Jeedom, et non l'ip du routeur, qu'il faut whitelister.
DIY Proxmox sur HP Proliant
Débutant sur Jeedom

Avatar de l’utilisateur
Patdec
Actif
Messages : 677
Inscription : 21 janv. 2015, 15:49
Localisation : Tournai

Re: Tentative d'intrusion

Message par Patdec » 05 juin 2019, 19:52

madcow a écrit :
05 juin 2019, 18:45

1/8 veut dire la plage de 1 à 8.
C'est l'ip de ta machine sur le réseau qui se connecte à Jeedom, et non l'ip du routeur, qu'il faut whitelister.

Bonjour Madcow,

L'Ip LAN de mon Jeedom est 192.168.1.61. C'est donc celle-là que je dois renseigner, Juste ?
Débutant Jeedom.
VirtualBox 6.0.10 sur Tablette I Works 12 sous Win 10 - Debian 9.9
Jeedom 3.3.29 - Contrôleur Aeotec ZW 090 C
Modules Fibaro FGR-222

EchoVictor
Timide
Messages : 141
Inscription : 15 nov. 2017, 09:40

Re: Tentative d'intrusion

Message par EchoVictor » 05 juin 2019, 19:56

27.254.206.166 sont des Thaïlandais, pas Chinois.

Eric

madcow
Timide
Messages : 236
Inscription : 06 févr. 2019, 21:41

Re: Tentative d'intrusion

Message par madcow » 05 juin 2019, 20:04

Patdec a écrit :
madcow a écrit :
05 juin 2019, 18:45

1/8 veut dire la plage de 1 à 8.
C'est l'ip de ta machine sur le réseau qui se connecte à Jeedom, et non l'ip du routeur, qu'il faut whitelister.

Bonjour Madcow,

L'Ip LAN de mon Jeedom est 192.168.1.61. C'est donc celle-là que je dois renseigner, Juste ?
Quelle est l'ip de la machine que tu utilises pour te connecter à Jeedom (pas celle de Jeedom donc) ? C'est celle ci que tu dois indiquer. Si tu préfères tu indiques à fail2ban une "machine de confiance". Que tu désignes par son adresse ip.
DIY Proxmox sur HP Proliant
Débutant sur Jeedom

Naboleo
Actif
Messages : 683
Inscription : 20 janv. 2017, 09:57

Re: Tentative d'intrusion

Message par Naboleo » 05 juin 2019, 20:12

Il faut repartir avec les bonnes informations sinon c'est la cata ....
/8 et /24 sont des masques de sous-reseau .... https://fr.wikipedia.org/wiki/Sous-r%C3 ... %C3%A9seau
Et il ne s'agit pas de bloquer des ips mais de ne pas en tenir compte pour le blocage .... pour ne pas s'autobannir

192.168.1.0/24 toutes les adresses de 192.168.1.1 à 192.168.1.254 sont autorisées ... C'est une plage classique de fonctionnement des box
Quant à 127.0.0.1/8 c'est pour le loopback (quand jeedom communuique avec lui-même....) /8 est un peu large mais bon c'est pas très important
Pi3 +SSD 32Go (Wifi et bluetooth actifs) + Clé USB Z-Wave Everspring + rfxcom (RTS) + Google Home
7 Danfoss LC-13
2 velux module DIO
7 volets RTS
3 Sonoff
IFTTT
Capteur porte, de présence, et prise intelligente...

madcow
Timide
Messages : 236
Inscription : 06 févr. 2019, 21:41

Re: Tentative d'intrusion

Message par madcow » 05 juin 2019, 20:19

J'ai dit quelque chose d'incorrect ?

Edit : en effet je n'avais pas bien compris le masque de sous réseau. Merci pour le lien
DIY Proxmox sur HP Proliant
Débutant sur Jeedom

Avatar de l’utilisateur
Patdec
Actif
Messages : 677
Inscription : 21 janv. 2015, 15:49
Localisation : Tournai

Re: Tentative d'intrusion

Message par Patdec » 05 juin 2019, 20:25

A tous,

Mon fichier defaults-debian.conf contient maintenant

Code : Tout sélectionner

[sshd]
enabled = true

[DEFAULT]
ignoreip = 127.0.0.1/8 192.168.1.61

# "bantime" is the number of seconds that a host is banned.
bantime  = 600

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime  = 600

# "maxretry" is the number of failures before a host get banned.
maxretry = 5
N'y a t'il pas un séparateur "." ou ";" à mettre entre les IPs ?

Y a t'il quelque chose à modifier dans jail.conf pour que je n'y fasse pas bêtises.

Code : Tout sélectionner

#
# WARNING: heavily refactored in 0.9.0 release.  Please review and
#          customize settings for your setup.
#
# Changes:  in most of the cases you should not modify this
#           file, but provide customizations in jail.local file,
#           or separate .conf files under jail.d/ directory, e.g.:
#
# HOW TO ACTIVATE JAILS:
#
# YOU SHOULD NOT MODIFY THIS FILE.
#
# It will probably be overwritten or improved in a distribution update.
#
# Provide customizations in a jail.local file or a jail.d/customisation.local.
# For example to change the default bantime for all jails and to enable the
# ssh-iptables jail the following (uncommented) would appear in the .local file.
# See man 5 jail.conf for details.
#
# [DEFAULT]
# bantime = 3600
#
# [sshd]
# enabled = true
#
# See jail.conf(5) man page for more information



# Comments: use '#' for comment lines and ';' (following a space) for inline comments


[INCLUDES]

#before = paths-distro.conf
before = paths-debian.conf

# The DEFAULT allows a global definition of the options. They can be overridden
# in each jail afterwards.

[DEFAULT]

#
# MISCELLANEOUS OPTIONS
#

# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space (and/or comma) separator.
ignoreip = 127.0.0.1/8

# External command that will take an tagged arguments to ignore, e.g. <ip>,
# and return true if the IP is to be ignored. False otherwise.
#
# ignorecommand = /path/to/command <ip>
ignorecommand =

# "bantime" is the number of seconds that a host is banned.
bantime  = 600

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime  = 600

# "maxretry" is the number of failures before a host get banned.
maxretry = 5

# "backend" specifies the backend used to get files modification.
# Available options are "pyinotify", "gamin", "polling", "systemd" and "auto".
# This option can be overridden in each jail as well.
#
# pyinotify: requires pyinotify (a file alteration monitor) to be installed.
#              If pyinotify is not installed, Fail2ban will use auto.
# gamin:     requires Gamin (a file alteration monitor) to be installed.
#              If Gamin is not installed, Fail2ban will use auto.
# polling:   uses a polling algorithm which does not require external libraries.
# systemd:   uses systemd python library to access the systemd journal.
#              Specifying "logpath" is not valid for this backend.
#              See "journalmatch" in the jails associated filter config
# auto:      will try to use the following backends, in order:
#              pyinotify, gamin, polling.
#
# Note: if systemd backend is chosen as the default but you enable a jail
#       for which logs are present only in its own log files, specify some other
#       backend for that jail (e.g. polling) and provide empty value for
#       journalmatch. See https://github.com/fail2ban/fail2ban/issues/959#issuecomment-74901200
backend = auto

# "usedns" specifies if jails should trust hostnames in logs,
#   warn when DNS lookups are performed, or ignore all hostnames in logs
#
# yes:   if a hostname is encountered, a DNS lookup will be performed.
# warn:  if a hostname is encountered, a DNS lookup will be performed,
#        but it will be logged as a warning.
# no:    if a hostname is encountered, will not be used for banning,
#        but it will be logged as info.
# raw:   use raw value (no hostname), allow use it for no-host filters/actions (example user)
usedns = warn

# "logencoding" specifies the encoding of the log files handled by the jail
#   This is used to decode the lines from the log file.
#   Typical examples:  "ascii", "utf-8"
#
#   auto:   will use the system locale setting
logencoding = auto

# "enabled" enables the jails.
#  By default all jails are disabled, and it should stay this way.
#  Enable only relevant to your setup jails in your .local or jail.d/*.conf
#
# true:  jail will be enabled and log files will get monitored for changes
# false: jail is not enabled
enabled = false


# "filter" defines the filter to use by the jail.
#  By default jails have names matching their filter name
#
filter = %(__name__)s


#
# ACTIONS
#

# Some options used for actions

# Destination email address used solely for the interpolations in
# jail.{conf,local,d/*} configuration files.
destemail = root@localhost

# Sender email address used solely for some actions
sender = root@localhost

# E-mail action. Since 0.8.1 Fail2Ban uses sendmail MTA for the
# mailing. Change mta configuration parameter to mail if you want to
# revert to conventional 'mail'.
mta = sendmail

# Default protocol
protocol = tcp

# Specify chain where jumps would need to be added in iptables-* actions
chain = INPUT

# Ports to be banned
# Usually should be overridden in a particular jail
port = 0:65535

# Format of user-agent https://tools.ietf.org/html/rfc7231#section-5.5.3
fail2ban_agent = Fail2Ban/%(fail2ban_version)s

#
# Action shortcuts. To be used to define action parameter

# Default banning action (e.g. iptables, iptables-new,
# iptables-multiport, shorewall, etc) It is used to define
# action_* variables. Can be overridden globally or per
# section within jail.local file
banaction = iptables-multiport
banaction_allports = iptables-allports

# The simplest action to take: ban only
action_ = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

# ban & send an e-mail with whois report to the destemail.
action_mw = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
            %(mta)s-whois[name=%(__name__)s, sender="%(sender)s", dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s"]

# ban & send an e-mail with whois report and relevant log lines
# to the destemail.
action_mwl = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
             %(mta)s-whois-lines[name=%(__name__)s, sender="%(sender)s", dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s"]

# See the IMPORTANT note in action.d/xarf-login-attack for when to use this action
#
# ban & send a xarf e-mail to abuse contact of IP address and include relevant log lines
# to the destemail.
action_xarf = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
             xarf-login-attack[service=%(__name__)s, sender="%(sender)s", logpath=%(logpath)s, port="%(port)s"]

# ban IP on CloudFlare & send an e-mail with whois report and relevant log lines
# to the destemail.
action_cf_mwl = cloudflare[cfuser="%(cfemail)s", cftoken="%(cfapikey)s"]
                %(mta)s-whois-lines[name=%(__name__)s, sender="%(sender)s", dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s"]

# Report block via blocklist.de fail2ban reporting service API
# 
# See the IMPORTANT note in action.d/blocklist_de.conf for when to
# use this action. Create a file jail.d/blocklist_de.local containing
# [Init]
# blocklist_de_apikey = {api key from registration]
#
action_blocklist_de  = blocklist_de[email="%(sender)s", service=%(filter)s, apikey="%(blocklist_de_apikey)s", agent="%(fail2ban_agent)s"]

# Report ban via badips.com, and use as blacklist
#
# See BadIPsAction docstring in config/action.d/badips.py for
# documentation for this action.
#
# NOTE: This action relies on banaction being present on start and therefore
# should be last action defined for a jail.
#
action_badips = badips.py[category="%(__name__)s", banaction="%(banaction)s", agent="%(fail2ban_agent)s"]
#
# Report ban via badips.com (uses action.d/badips.conf for reporting only)
#
action_badips_report = badips[category="%(__name__)s", agent="%(fail2ban_agent)s"]

# Choose default action.  To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g.  action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section
action = %(action_)s


#
# JAILS
#

#
# SSH servers
#

[sshd]

port    = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s


[sshd-ddos]
# This jail corresponds to the standard configuration in Fail2ban.
# The mail-whois action send a notification e-mail with a whois request
# in the body.
port    = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s


[dropbear]

port     = ssh
logpath  = %(dropbear_log)s
backend  = %(dropbear_backend)s


[selinux-ssh]

port     = ssh
logpath  = %(auditd_log)s


#
# HTTP servers
#

[apache-auth]

port     = http,https
logpath  = %(apache_error_log)s


[apache-badbots]
# Ban hosts which agent identifies spammer robots crawling the web
# for email addresses. The mail outputs are buffered.
port     = http,https
logpath  = %(apache_access_log)s
bantime  = 172800
maxretry = 1


[apache-noscript]

port     = http,https
logpath  = %(apache_error_log)s


[apache-overflows]

port     = http,https
logpath  = %(apache_error_log)s
maxretry = 2


[apache-nohome]

port     = http,https
logpath  = %(apache_error_log)s
maxretry = 2


[apache-botsearch]

port     = http,https
logpath  = %(apache_error_log)s
maxretry = 2


[apache-fakegooglebot]

port     = http,https
logpath  = %(apache_access_log)s
maxretry = 1
ignorecommand = %(ignorecommands_dir)s/apache-fakegooglebot <ip>


[apache-modsecurity]

port     = http,https
logpath  = %(apache_error_log)s
maxretry = 2


[apache-shellshock]

port    = http,https
logpath = %(apache_error_log)s
maxretry = 1


[openhab-auth]

filter = openhab
action = iptables-allports[name=NoAuthFailures]
logpath = /opt/openhab/logs/request.log


[nginx-http-auth]

port    = http,https
logpath = %(nginx_error_log)s

# To use 'nginx-limit-req' jail you should have `ngx_http_limit_req_module` 
# and define `limit_req` and `limit_req_zone` as described in nginx documentation
# http://nginx.org/en/docs/http/ngx_http_limit_req_module.html
# or for example see in 'config/filter.d/nginx-limit-req.conf'
[nginx-limit-req]
port    = http,https
logpath = %(nginx_error_log)s

[nginx-botsearch]

port     = http,https
logpath  = %(nginx_error_log)s
maxretry = 2


# Ban attackers that try to use PHP's URL-fopen() functionality
# through GET/POST variables. - Experimental, with more than a year
# of usage in production environments.

[php-url-fopen]

port    = http,https
logpath = %(nginx_access_log)s
          %(apache_access_log)s


[suhosin]

port    = http,https
logpath = %(suhosin_log)s


[lighttpd-auth]
# Same as above for Apache's mod_auth
# It catches wrong authentifications
port    = http,https
logpath = %(lighttpd_error_log)s


#
# Webmail and groupware servers
#

[roundcube-auth]

port     = http,https
logpath  = %(roundcube_errors_log)s


[openwebmail]

port     = http,https
logpath  = /var/log/openwebmail.log


[horde]

port     = http,https
logpath  = /var/log/horde/horde.log


[groupoffice]

port     = http,https
logpath  = /home/groupoffice/log/info.log


[sogo-auth]
# Monitor SOGo groupware server
# without proxy this would be:
# port    = 20000
port     = http,https
logpath  = /var/log/sogo/sogo.log


[tine20]

logpath  = /var/log/tine20/tine20.log
port     = http,https


#
# Web Applications
#
#

[drupal-auth]

port     = http,https
logpath  = %(syslog_daemon)s
backend  = %(syslog_backend)s

[guacamole]

port     = http,https
logpath  = /var/log/tomcat*/catalina.out

[monit]
#Ban clients brute-forcing the monit gui login
port = 2812
logpath  = /var/log/monit


[webmin-auth]

port    = 10000
logpath = %(syslog_authpriv)s
backend = %(syslog_backend)s


[froxlor-auth]

port    = http,https
logpath  = %(syslog_authpriv)s
backend  = %(syslog_backend)s


#
# HTTP Proxy servers
#
#

[squid]

port     =  80,443,3128,8080
logpath = /var/log/squid/access.log


[3proxy]

port    = 3128
logpath = /var/log/3proxy.log


#
# FTP servers
#


[proftpd]

port     = ftp,ftp-data,ftps,ftps-data
logpath  = %(proftpd_log)s
backend  = %(proftpd_backend)s


[pure-ftpd]

port     = ftp,ftp-data,ftps,ftps-data
logpath  = %(pureftpd_log)s
backend  = %(pureftpd_backend)s


[gssftpd]

port     = ftp,ftp-data,ftps,ftps-data
logpath  = %(syslog_daemon)s
backend  = %(syslog_backend)s


[wuftpd]

port     = ftp,ftp-data,ftps,ftps-data
logpath  = %(wuftpd_log)s
backend  = %(wuftpd_backend)s


[vsftpd]
# or overwrite it in jails.local to be
# logpath = %(syslog_authpriv)s
# if you want to rely on PAM failed login attempts
# vsftpd's failregex should match both of those formats
port     = ftp,ftp-data,ftps,ftps-data
logpath  = %(vsftpd_log)s


#
# Mail servers
#

# ASSP SMTP Proxy Jail
[assp]

port     = smtp,465,submission
logpath  = /root/path/to/assp/logs/maillog.txt


[courier-smtp]

port     = smtp,465,submission
logpath  = %(syslog_mail)s
backend  = %(syslog_backend)s


[postfix]

port     = smtp,465,submission
logpath  = %(postfix_log)s
backend  = %(postfix_backend)s


[postfix-rbl]

port     = smtp,465,submission
logpath  = %(postfix_log)s
backend  = %(postfix_backend)s
maxretry = 1


[sendmail-auth]

port    = submission,465,smtp
logpath = %(syslog_mail)s
backend = %(syslog_backend)s


[sendmail-reject]

port     = smtp,465,submission
logpath  = %(syslog_mail)s
backend  = %(syslog_backend)s


[qmail-rbl]

filter  = qmail
port    = smtp,465,submission
logpath = /service/qmail/log/main/current


# dovecot defaults to logging to the mail syslog facility
# but can be set by syslog_facility in the dovecot configuration.
[dovecot]

port    = pop3,pop3s,imap,imaps,submission,465,sieve
logpath = %(dovecot_log)s
backend = %(dovecot_backend)s


[sieve]

port   = smtp,465,submission
logpath = %(dovecot_log)s
backend = %(dovecot_backend)s


[solid-pop3d]

port    = pop3,pop3s
logpath = %(solidpop3d_log)s


[exim]

port   = smtp,465,submission
logpath = %(exim_main_log)s


[exim-spam]

port   = smtp,465,submission
logpath = %(exim_main_log)s


[kerio]

port    = imap,smtp,imaps,465
logpath = /opt/kerio/mailserver/store/logs/security.log


#
# Mail servers authenticators: might be used for smtp,ftp,imap servers, so
# all relevant ports get banned
#

[courier-auth]

port     = smtp,465,submission,imap3,imaps,pop3,pop3s
logpath  = %(syslog_mail)s
backend  = %(syslog_backend)s


[postfix-sasl]

port     = smtp,465,submission,imap3,imaps,pop3,pop3s
# You might consider monitoring /var/log/mail.warn instead if you are
# running postfix since it would provide the same log lines at the
# "warn" level but overall at the smaller filesize.
logpath  = %(postfix_log)s
backend  = %(postfix_backend)s


[perdition]

port   = imap3,imaps,pop3,pop3s
logpath = %(syslog_mail)s
backend = %(syslog_backend)s


[squirrelmail]

port = smtp,465,submission,imap2,imap3,imaps,pop3,pop3s,http,https,socks
logpath = /var/lib/squirrelmail/prefs/squirrelmail_access_log


[cyrus-imap]

port   = imap3,imaps
logpath = %(syslog_mail)s
backend = %(syslog_backend)s


[uwimap-auth]

port   = imap3,imaps
logpath = %(syslog_mail)s
backend = %(syslog_backend)s


#
#
# DNS servers
#


# !!! WARNING !!!
#   Since UDP is connection-less protocol, spoofing of IP and imitation
#   of illegal actions is way too simple.  Thus enabling of this filter
#   might provide an easy way for implementing a DoS against a chosen
#   victim. See
#    http://nion.modprobe.de/blog/archives/690-fail2ban-+-dns-fail.html
#   Please DO NOT USE this jail unless you know what you are doing.
#
# IMPORTANT: see filter.d/named-refused for instructions to enable logging
# This jail blocks UDP traffic for DNS requests.
# [named-refused-udp]
#
# filter   = named-refused
# port     = domain,953
# protocol = udp
# logpath  = /var/log/named/security.log

# IMPORTANT: see filter.d/named-refused for instructions to enable logging
# This jail blocks TCP traffic for DNS requests.

[named-refused]

port     = domain,953
logpath  = /var/log/named/security.log


[nsd]

port     = 53
action   = %(banaction)s[name=%(__name__)s-tcp, port="%(port)s", protocol="tcp", chain="%(chain)s", actname=%(banaction)s-tcp]
           %(banaction)s[name=%(__name__)s-udp, port="%(port)s", protocol="udp", chain="%(chain)s", actname=%(banaction)s-udp]
logpath = /var/log/nsd.log


#
# Miscellaneous
#

[asterisk]

port     = 5060,5061
action   = %(banaction)s[name=%(__name__)s-tcp, port="%(port)s", protocol="tcp", chain="%(chain)s", actname=%(banaction)s-tcp]
           %(banaction)s[name=%(__name__)s-udp, port="%(port)s", protocol="udp", chain="%(chain)s", actname=%(banaction)s-udp]
           %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s"]
logpath  = /var/log/asterisk/messages
maxretry = 10


[freeswitch]

port     = 5060,5061
action   = %(banaction)s[name=%(__name__)s-tcp, port="%(port)s", protocol="tcp", chain="%(chain)s", actname=%(banaction)s-tcp]
           %(banaction)s[name=%(__name__)s-udp, port="%(port)s", protocol="udp", chain="%(chain)s", actname=%(banaction)s-udp]
           %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s"]
logpath  = /var/log/freeswitch.log
maxretry = 10


# To log wrong MySQL access attempts add to /etc/my.cnf in [mysqld] or
# equivalent section:
# log-warning = 2
#
# for syslog (daemon facility)
# [mysqld_safe]
# syslog
#
# for own logfile
# [mysqld]
# log-error=/var/log/mysqld.log
[mysqld-auth]

port     = 3306
logpath  = %(mysql_log)s
backend  = %(mysql_backend)s


# Log wrong MongoDB auth (for details see filter 'filter.d/mongodb-auth.conf')
[mongodb-auth]
# change port when running with "--shardsvr" or "--configsvr" runtime operation
port     = 27017
logpath  = /var/log/mongodb/mongodb.log


# Jail for more extended banning of persistent abusers
# !!! WARNINGS !!!
# 1. Make sure that your loglevel specified in fail2ban.conf/.local
#    is not at DEBUG level -- which might then cause fail2ban to fall into
#    an infinite loop constantly feeding itself with non-informative lines
# 2. Increase dbpurgeage defined in fail2ban.conf to e.g. 648000 (7.5 days)
#    to maintain entries for failed logins for sufficient amount of time
[recidive]

logpath  = /var/log/fail2ban.log
banaction = %(banaction_allports)s
bantime  = 604800  ; 1 week
findtime = 86400   ; 1 day


# Generic filter for PAM. Has to be used with action which bans all
# ports such as iptables-allports, shorewall

[pam-generic]
# pam-generic filter can be customized to monitor specific subset of 'tty's
banaction = %(banaction_allports)s
logpath  = %(syslog_authpriv)s
backend  = %(syslog_backend)s


[xinetd-fail]

banaction = iptables-multiport-log
logpath   = %(syslog_daemon)s
backend   = %(syslog_backend)s
maxretry  = 2


# stunnel - need to set port for this
[stunnel]

logpath = /var/log/stunnel4/stunnel.log


[ejabberd-auth]

port    = 5222
logpath = /var/log/ejabberd/ejabberd.log


[counter-strike]

logpath = /opt/cstrike/logs/L[0-9]*.log
# Firewall: http://www.cstrike-planet.com/faq/6
tcpport = 27030,27031,27032,27033,27034,27035,27036,27037,27038,27039
udpport = 1200,27000,27001,27002,27003,27004,27005,27006,27007,27008,27009,27010,27011,27012,27013,27014,27015
action  = %(banaction)s[name=%(__name__)s-tcp, port="%(tcpport)s", protocol="tcp", chain="%(chain)s", actname=%(banaction)s-tcp]
           %(banaction)s[name=%(__name__)s-udp, port="%(udpport)s", protocol="udp", chain="%(chain)s", actname=%(banaction)s-udp]

# consider low maxretry and a long bantime
# nobody except your own Nagios server should ever probe nrpe
[nagios]

logpath  = %(syslog_daemon)s     ; nrpe.cfg may define a different log_facility
backend  = %(syslog_backend)s
maxretry = 1


[oracleims]
# see "oracleims" filter file for configuration requirement for Oracle IMS v6 and above
logpath = /opt/sun/comms/messaging64/log/mail.log_current
banaction = %(banaction_allports)s

[directadmin]
logpath = /var/log/directadmin/login.log
port = 2222

[portsentry]
logpath  = /var/lib/portsentry/portsentry.history
maxretry = 1

[pass2allow-ftp]
# this pass2allow example allows FTP traffic after successful HTTP authentication
port         = ftp,ftp-data,ftps,ftps-data
# knocking_url variable must be overridden to some secret value in jail.local
knocking_url = /knocking/
filter       = apache-pass[knocking_url="%(knocking_url)s"]
# access log of the website with HTTP auth
logpath      = %(apache_access_log)s
blocktype    = RETURN
returntype   = DROP
bantime      = 3600
maxretry     = 1
findtime     = 1


[murmur]
# AKA mumble-server
port     = 64738
action   = %(banaction)s[name=%(__name__)s-tcp, port="%(port)s", protocol=tcp, chain="%(chain)s", actname=%(banaction)s-tcp]
           %(banaction)s[name=%(__name__)s-udp, port="%(port)s", protocol=udp, chain="%(chain)s", actname=%(banaction)s-udp]
logpath  = /var/log/mumble-server/mumble-server.log


[screensharingd]
# For Mac OS Screen Sharing Service (VNC)
logpath  = /var/log/system.log
logencoding = utf-8

[haproxy-http-auth]
# HAProxy by default doesn't log to file you'll need to set it up to forward
# logs to a syslog server which would then write them to disk.
# See "haproxy-http-auth" filter for a brief cautionary note when setting
# maxretry and findtime.
logpath  = /var/log/haproxy.log

[slapd]
port    = ldap,ldaps
filter  = slapd
logpath = /var/log/slapd.log
Merci pour le coup de main. :D
Débutant Jeedom.
VirtualBox 6.0.10 sur Tablette I Works 12 sous Win 10 - Debian 9.9
Jeedom 3.3.29 - Contrôleur Aeotec ZW 090 C
Modules Fibaro FGR-222

madcow
Timide
Messages : 236
Inscription : 06 févr. 2019, 21:41

Re: Tentative d'intrusion

Message par madcow » 05 juin 2019, 20:30

Il ya juste jail.conf à modifier selon ce lien : https://www.howtoforge.com/how-to-white ... heezy/amp/
DIY Proxmox sur HP Proliant
Débutant sur Jeedom

Avatar de l’utilisateur
Patdec
Actif
Messages : 677
Inscription : 21 janv. 2015, 15:49
Localisation : Tournai

Re: Tentative d'intrusion

Message par Patdec » 05 juin 2019, 20:33

madcow a écrit :
05 juin 2019, 20:04

Quelle est l'ip de la machine que tu utilises pour te connecter à Jeedom (pas celle de Jeedom donc) ? C'est celle ci que tu dois indiquer. Si tu préfères tu indiques à fail2ban une "machine de confiance". Que tu désignes par son adresse ip.
Mon Jeedom est sur une VM installé sur une machine Windows 10 home
LAN Win 10 = 192.168.1.35
Jeedom que je lance par une adresse Google = 192.168.1.61
LAN PC bureau = 192.168.1.38

J' accède le + souvent à Jeedom en SSH par le PC bureau. ( Grand écran et vrai clavier ).
Débutant Jeedom.
VirtualBox 6.0.10 sur Tablette I Works 12 sous Win 10 - Debian 9.9
Jeedom 3.3.29 - Contrôleur Aeotec ZW 090 C
Modules Fibaro FGR-222

madcow
Timide
Messages : 236
Inscription : 06 févr. 2019, 21:41

Re: Tentative d'intrusion

Message par madcow » 05 juin 2019, 20:38

Patdec a écrit :
madcow a écrit :
05 juin 2019, 20:04

Quelle est l'ip de la machine que tu utilises pour te connecter à Jeedom (pas celle de Jeedom donc) ? C'est celle ci que tu dois indiquer. Si tu préfères tu indiques à fail2ban une "machine de confiance". Que tu désignes par son adresse ip.
Mon Jeedom est sur une VM installé sur une machine Windows 10 home
LAN Win 10 = 192.168.1.35
Jeedom que je lance par une adresse Google = 192.168.1.61
LAN PC bureau = 192.168.1.38

J' accède le + souvent à Jeedom en SSH par le PC bureau. ( Grand écran et vrai clavier ).
Du coup c'est l'adresse de ton pc bureau 192.168.1.38 que tu veux ignorer dans le jail.conf de ton fail2ban installé sur ta vm jeedom 192.168.1.61
DIY Proxmox sur HP Proliant
Débutant sur Jeedom

Avatar de l’utilisateur
Patdec
Actif
Messages : 677
Inscription : 21 janv. 2015, 15:49
Localisation : Tournai

Re: Tentative d'intrusion

Message par Patdec » 05 juin 2019, 20:47

madcow a écrit :
05 juin 2019, 20:38
Du coup c'est l'adresse de ton pc bureau 192.168.1.38 que tu veux ignorer dans le jail.conf de ton fail2ban installé sur ta vm jeedom 192.168.1.61
Merci pour ton lien.
J'y ai lu qu'il faut un espace blanc entre les IP's. Question résolue.

Si je récapitule, je modifie jail.conf qui contient déjà ignoreip = 127.0.0.1/8 par
ignoreip = 127.0.0.1/8 192.168.1.38

et je redémarre le service par

service fail2ban restart
Débutant Jeedom.
VirtualBox 6.0.10 sur Tablette I Works 12 sous Win 10 - Debian 9.9
Jeedom 3.3.29 - Contrôleur Aeotec ZW 090 C
Modules Fibaro FGR-222

madcow
Timide
Messages : 236
Inscription : 06 févr. 2019, 21:41

Re: Tentative d'intrusion

Message par madcow » 05 juin 2019, 20:52

Patdec a écrit :
madcow a écrit :
05 juin 2019, 20:38
Du coup c'est l'adresse de ton pc bureau 192.168.1.38 que tu veux ignorer dans le jail.conf de ton fail2ban installé sur ta vm jeedom 192.168.1.61
Merci pour ton lien.
J'y ai lu qu'il faut un espace blanc entre les IP's. Question résolue.

Si je récapitule, je modifie jail.conf qui contient déjà ignoreip = 127.0.0.1/8 par
ignoreip = 127.0.0.1/8 192.168.1.38

et je redémarre le service par

service fail2ban restart
Oui, comme indiqué dans le lien.
C'est comme ça que j'ai fait chez moi en tout cas
DIY Proxmox sur HP Proliant
Débutant sur Jeedom

Avatar de l’utilisateur
Patdec
Actif
Messages : 677
Inscription : 21 janv. 2015, 15:49
Localisation : Tournai

Re: Tentative d'intrusion

Message par Patdec » 05 juin 2019, 21:00

J'avais modifié le fichier defaults-debian.conf qui ne contenait que

Code : Tout sélectionner

[sshd]
enabled = true
et auquel j'avais ajouté

Code : Tout sélectionner

[DEFAULT]
ignoreip = 127.0.0.1/8 192.168.1.61

# "bantime" is the number of seconds that a host is banned.
bantime  = 600

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime  = 600

# "maxretry" is the number of failures before a host get banned.
maxretry = 5
Dois-je laisser comme cela ( en modifiant seulement avec l'Ip 192.168.1.38 ) pour limiter le temps et le nombre de tentatives ?

Autrement dit, la section [DEFAULT] doit elle être indiquée dans les 2 fichiers ?
Débutant Jeedom.
VirtualBox 6.0.10 sur Tablette I Works 12 sous Win 10 - Debian 9.9
Jeedom 3.3.29 - Contrôleur Aeotec ZW 090 C
Modules Fibaro FGR-222

madcow
Timide
Messages : 236
Inscription : 06 févr. 2019, 21:41

Re: Tentative d'intrusion

Message par madcow » 05 juin 2019, 21:14

Patdec a écrit :J'avais modifié le fichier defaults-debian.conf qui ne contenait que

Code : Tout sélectionner

[sshd]
enabled = true
et auquel j'avais ajouté

Code : Tout sélectionner

[DEFAULT]
ignoreip = 127.0.0.1/8 192.168.1.61

# "bantime" is the number of seconds that a host is banned.
bantime  = 600

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime  = 600

# "maxretry" is the number of failures before a host get banned.
maxretry = 5
Dois-je laisser comme cela ( en modifiant seulement avec l'Ip 192.168.1.38 ) pour limiter le temps et le nombre de tentatives ?

Autrement dit, la section [DEFAULT] doit elle être indiquée dans les 2 fichiers ?
C'est pas ce fichier que j'avais modifié.
J'avais suivi ce tuto : https://jeedom-facile.fr/index.php/2018 ... s-proxmox/
Par contre le contenu c'est ok.
DIY Proxmox sur HP Proliant
Débutant sur Jeedom

Répondre

Revenir vers « Discussions Générales »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Shakirosebebe22, Spine et 4 invités