[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [HS][up!] fail2ban

On 2015-02-15 12:22:34 +0100, Philippe Gras wrote:
> Le 15 févr. 15 à 12:08, BERTRAND Joël a écrit :
> 
> >Philippe Gras a écrit :
> >>
> >>Le 14 févr. 15 à 20:50, BERTRAND Joël a écrit :
> >>
> >>>Philippe Gras a écrit :
> >>>>OKKKKKKKKKAAAAAAAAAAAYYYYYYYYYY !
> >>>>
> >>>>Le 14 févr. 15 à 20:04, BERTRAND Joël a écrit :
> >>>>
> >>>>>Philippe Gras a écrit :
> >>>>>>Apparemment, ça a l'air super efficace :-) Par contre je n'ai pas
> >>>>>>très bien
> >>>>>>compris la façon dont ça se passe et pourquoi ça décourage
> >>>>>>l'attaquant.
> >>>>>
> >>>>>    Parce que lorsque tu fais un DROP, l'attaquant ne sait pas si
> >>>>>le
> >>>>>port est ouvert (et saturé) ou fermé, ou s'il y a même une machine
> >>>>>sur
> >>>>>cette adresse. Il réessaye jusqu'à ce que quelqu'un lui réponde.
> >>>>>Avec
> >>>>>un REJECT, tu dis immédiatement merdre à l'attaquant et il passe à
> >>>>>autre chose.
> >>>>>
> >>>>>    Cela fonctionne pour l'instant parce que les réseaux zombie
> >>>>>veulent passer inaperçus. Donc si une machine est un peu protégée,
> >>>>>ils
> >>>>>passent à une autre.
> >>>>
> >>>>Bon, j'ai pigé maintenant :-) Mais pour passer inaperçus, tu…
> >>>>repasseras
> >>>>;-)
> >>>
> >>>    La boîte noire n'est jamais une solution quand on parle de
> >>>sécurité.
> >>
> >>La boîte noire ? Que veux-tu dire par-là ?
> >
> >	Que faire croire qu'il n'y a aucune machine qui répond sur cette adresse
> >IP n'est pas la solution. Rejeter le paquet signifie "j'ai bien vu ta
> >tentative et je t'emmerde".

D'un autre côté, faire un DROP embête plus l'attaquant, qui va perdre
son temps à faire des requêtes qui n'aboutiront pas. Mais...

> Oui, tu as 1.000.000 fois raison ! Il y a un module pour envoyer des
> réclamations abuse
> 
> dans fail2ban. J'aimerais bien l'activer aussi, mais je n'ai pas trouvé
> comment faire.

un abuse serait peut-être mieux. Ceci dit, je ne sais pas si
les principaux FAI concernés (en général chinois) prendraient
des mesures. Pour info, j'ai ceci dans mon /etc/hosts.deny:

# Permanent SSH ban due to many attempts (according to fail2ban)
# CHINANET-ZJ-HU (CN)
sshd: 61.174.48.0/21
# HEETHAI-HK (CN)
sshd: 103.41.124.0/24
# CHINANET-ZJ-SX (CN)
sshd: 115.231.216.0/21
# CHINANET-ZJ-HU (CN)
sshd: 122.225.96.0/19
# CHINANET-JS (CN)
sshd: 218.2.0.0/16
# UNICOM-JL (CN)
sshd: 222.160.0.0/14

> Quand elles aboutissent chez des gens sérieux perchant dans des pays
> sérieux, l'effet
> 
> rafraîchissant est garanti. Je reçois plein de pourriels de chez OVH en ce
> moment, et je
> 
> sais qu'en les dénonçant, ils vont cesser leur petit jeu débile.
> 
> Les mecs ont déjà usé 3 IP pour me faire ch… et je suppose qu'ils en ont
> d'autres. Si je

J'ai déjà blacklisté plus de 500 adresses IP de chez OVH (toutes
provenant de sous-réseaux propageant le même modèle de spam: quand
j'en vois un, je me dis que ça vient de chez OVH, et effectivement).

> pouvais leur faire suspendre leur abonnement, ça me ferait bien plaisir :-).

Ce n'est pas ça qui va gêner les spammeurs. Tant qu'il n'y a pas de
grosse conséquence financière...

-- 
Vincent Lefèvre <vincent@vinc17.net> - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)
Reply to: