Re: question IDS? réponse: OSSEC HIDS

To: debian-user-french@lists.debian.org
Subject: Re: question IDS? réponse: OSSEC HIDS
From: "xtz.info@gmail.com" <dead.but.dreamer@gmail.com>
Date: Thu, 25 Jan 2007 05:02:09 +0100
Message-id: <[🔎] 45B82BC1.5070807@gmail.com>
In-reply-to: <[🔎] 45B6D4AB.50005@gmail.com>
References: <[🔎] 409557.17970.qm@web27010.mail.ukl.yahoo.com> <[🔎] 200701231653.16466.lolo@system-linux.net> <45B6318C.2040108@gmail.com> <200701231744.09256.lolo@system-linux.net> <[🔎] 45B6D4AB.50005@gmail.com>

xtz.info@gmail.com a écrit :

Laurent Besson a écrit :
Re bonjour,

Le Mardi 23 Janvier 2007 17:02, vous avez écrit :
Laurent Besson a écrit :
un alerte web, :s je pense que tu n'as pas d'autre choix que de faire
un script qui écrit un .htaccess qui renvoi toute les requests de
l'utilisateurs
vers une page d'information, (une page PHP par exemple qui supprime
l'entrée de la personne dans le .htaccess de façon à ce qu'elle ne l'ai
qu'une seul fois)
Putain, c'est con, mais j'y avais pas pensée au htaccess
ouais ;) c'est de la bidouille mais c'est relativement simple à mettreen place ;)
je te déconseil d'alerté les FAI, tout simplement parce que si ton
script est mal fait
ça risquerai de ce traduire pas une forme de mail bombing de ta par sur
le support du FAI
C'est pourquoi, je l'ai mis en parenthèse !
un simple bloquage suffit, après tu peux aussi l'enregistré dans une
entrée qui blackliste
(des sites le fond, mais je ne me rappel plus des noms, désolé)
Comme tu as pu le remarquer, je les bloque 5 heures = 18000 secondes...
Ca calme ! (j'espère :) )
ouais ;) c'est claire, mais perso je vois que les mecs (souvant desbots) reviennes à la charges tout le temps :(
D'ailleur j'ai remarqué, une baisse de l'augmentation de chargeserveur à certaines heures...Autant dire que certaines fois la charge augmentait dûe aux scriptskiddy, véroles et couillons en tous genre...Cela n'a pas affecté, le nombres de visites, hits ou nombre de mailslégitimements délivrés !
Donc vraiment, je recommande ce logiciel...

Et de ton côté, quel est ton retour d'experience !

A+
Bah je suis exactement du même avis que toi, actuellement je trouve enBANCAL,mais d'ici peut je réinstalle mon serveur et je compte l'utilisé surdes log iptables.
Je te conseil d'y ajouté leurs interface WEB qui est sobre estpuissante qui permet d'avoir les infos
en temps réel sans à avoir à gratté dans les logs...
http://www.ossec.net/files/ui/ossec-wui-0.1-BETA2.tar.gz

sinon, je vois actuellement (avec iplog) quelque infos sympa:
Jan 24 03:21:22 TCP: Bogus TCP flags set by firmin.commentcamarche.net(193.19.219.216):80 (dest port 3630)Jan 24 01:13:21 TCP: port scan detected [port 80] from089156047103.chello.fr (89.156.47.103) [ports3185,3187,3189,3191,3193,...]

Voici quelque domain qui on attaqué ma machine:
t0r0s.weener.attacked.us
connection.refused.us
terrorist.israe.li
-----

Pour apache, il faut modifié le decoder.xml line 907
<regex>^(\d+.\d+.\d+.\d+) \S+ \S+ [\S+ -\d+] </regex>
par
<regex>^(\d+.\d+.\d+.\d+) \S+ \S+ [\S+ \S\d+] </regex>

ce problème sera fixé dans la prochaine version ;)
(merci Daniel B. Cid)

Reply to:

References:
- RE : question IDS (detection d'intrusion) et autre logcheck?
  - From: Pitshou Asingalembi <depitsho@yahoo.fr>
- Re: question IDS? réponse: OSSEC HIDS
  - From: Laurent Besson <lolo@system-linux.net>
- Re: question IDS? réponse: OSSEC HIDS
  - From: "xtz.info@gmail.com" <dead.but.dreamer@gmail.com>

Prev by Date: Re: disque ide (dma_intr), message d'erreur dans les logs.
Next by Date: RE : Re: mozplugger et pdf
Previous by thread: Re: question IDS? réponse: OSSEC HIDS
Next by thread: Exclusive Offer: Take an Additional 10% Off Clearance Styles at Bare Necessities
Index(es):
- Date
- Thread