Bridou Posté 13 Février 2008 Posté 13 Février 2008 Bonjour, J'ai récemment acquis un serveur dédié sur OVH (EG CORE2DUO) avec Fedora core 2 installé dessus. Après quelques jours de mise en service, et à tout hasard j'ai été checker les logs apache et ssh entre autre. Et, des robots (je pense) scannent mon serveur pour y trouver phpmyadmin : [Wed Feb 13 14:29:47 2008] [error] [client 80.237.172.244] File does not exist: /home/httpd/vhosts/default/htdocs/phpMyAdmin-2.8.0.2[Wed Feb 13 14:29:47 2008] [error] [client 80.237.172.244] File does not exist: /home/httpd/vhosts/default/htdocs/phpMyAdmin-2.8.0.3 [Wed Feb 13 14:29:47 2008] [error] [client 80.237.172.244] File does not exist: /home/httpd/vhosts/default/htdocs/phpMyAdmin-2.8.0.4 [Wed Feb 13 14:29:47 2008] [error] [client 80.237.172.244] File does not exist: /home/httpd/vhosts/default/htdocs/phpMyAdmin-2.8.1-rc1 [Wed Feb 13 14:29:47 2008] [error] [client 80.237.172.244] File does not exist: /home/httpd/vhosts/default/htdocs/phpMyAdmin-2.8.1 [Wed Feb 13 14:29:47 2008] [error] [client 80.237.172.244] File does not exist: /home/httpd/vhosts/default/htdocs/phpMyAdmin-2.8.2 [Wed Feb 13 14:53:08 2008] [error] [client 85.114.132.157] File does not exist: /home/httpd/vhosts/default/htdocs/phpmyadmin Il y'a aussi des tentatives de connections en ssh: Feb 12 12:41:07 monserveur sshd[5030]: Illegal user bettina from 221.232.131.50Feb 12 12:41:09 monserveur sshd[5030]: Failed password for illegal user bettina from 221.232.131.50 port 55080 ssh2 Feb 12 12:41:14 monserveur sshd[5049]: Illegal user bianka from 221.232.131.50 Feb 12 12:41:16 monserveur sshd[5049]: Failed password for illegal user bianka from 221.232.131.50 port 55706 ssh2 Feb 12 12:41:21 monserveur sshd[5051]: Illegal user birgit from 221.232.131.50 Feb 12 12:41:23 monserveur sshd[5051]: Failed password for illegal user birgit from 221.232.131.50 port 56308 ssh2 Feb 12 12:41:28 monserveur sshd[5053]: Illegal user brigitte from 221.232.131.50 Feb 12 12:41:31 monserveur sshd[5053]: Failed password for illegal user brigitte f J'ai entendu parler de fail2ban mais je ne parvient pas à l'installer, je ne pense pas qu'il fonctionne sous ma distribution linux. Pour fail2ban, si je fait yum install fail2ban il ne le trouve pas. Après j'ai télécharger le rpm sur le site officiel et rpm me dit qu'il manque deux dépendances, et j'ai l'impression que c'est en plus pour fedora core 6 donc bon... Auriez-vous une aide à m'apporter pour mettre fin à ces tentatives qui m'inquiètent un peu même si à priori elles ne devraient pas se solder par une réussite. P.S : Je connais linux par debian, c'est la première fois que je passe sous fedora donc j'ose pas non plus tenter des installations que je ne maitriserait pas, c'est pour cela que j'appelle à votre bonne aide. Merci d'avance.
Kioob Posté 16 Février 2008 Posté 16 Février 2008 Hello, question subsidiaire : puisque tu connais Debian, pourquoi ne pas virer cette distribution qui date de Mathusalem ? Pour ce qui est de SSH, et histoire de se rassurer un peu : tu peux limiter les accès SSH à seulement quelques utilisateurs (voir un seul) via l'option "AllowUsers" dans la config de SSH (/etc/ssh/sshd_config sous Debian) ; et tu peux également forcer l'utilisation d'une clé SSH au lieu d'un mot de passe. Pour le coup tout "brute force" sera quasiment impossible de ce coté. Et si les messages dans les logs te gènent, tu peux toujours changer le port d'écoute de SSH : ces scripts ne scannent que le port par défaut. Pour phpMyAdmin, la solution serait de ne pas le faire tourner sur le VirtualHost par défaut ; mais c'est déjà probablement le cas non ?
Bridou Posté 17 Février 2008 Auteur Posté 17 Février 2008 (modifié) Tout d'abord merci pour ta réponse. Concernant la distrib, je t'avouerai que j'ai pas les connaissances suffisante pour reinstaller la machine et surtout peur de ne pas y arriver et que plus rien de fonctionne (et on a des clients qui sont hébérgés chez nous ). Concernant SSH, j'ai modifié le port et depuis plus aucun problème. Pour le phpmyadmin, il n'est bien entendu pas installer donc il ne sera pas découvert, pour l'instant je banni juste les IP quand je regarde les logs, et y'a de moins en moins d'essais, donc ca s'arrange bien. Enfin j'ai une dernière question, sur le serveur smtp. En vérifiant /home/log/secure, je vois : Feb 17 13:09:25 monserveur xinetd[21248]: START: smtp pid=27426 from=81.137.6.132Feb 17 13:09:57 monserveur xinetd[21248]: START: smtp pid=27431 from=213.140.2.64 Feb 17 13:24:55 monserveur xinetd[21248]: START: smtp pid=28182 from=81.137.6.132 Feb 17 13:30:57 monserveur xinetd[21248]: START: ftp pid=28565 from=85.25.145.17 Feb 17 13:40:25 monserveur xinetd[21248]: START: smtp pid=29035 from=213.140.2.63 Feb 17 13:40:25 monserveur xinetd[21248]: START: smtp pid=29036 from=81.137.6.132 Feb 17 13:42:04 monserveur xinetd[21248]: START: smtp pid=29087 from=213.140.2.63 Feb 17 13:53:02 monserveur xinetd[21248]: START: smtp pid=29628 from=213.140.2.64 Feb 17 13:54:05 monserveur xinetd[21248]: START: smtp pid=29662 from=79.202.16.104 Quand je fais des "whois ip" je trouve des correspondances en hollande, en thaliande etc... Est ce que c'est du spam ou bien juste des essais d'envoie d'email qui sont refusés ? Et si c'est du spam, que puis-je faire pour contrer cela ? Voilà, après ca je pense que tout et assez bien sécurisé Merci ! Modifié 17 Février 2008 par Bridou
Kioob Posté 17 Février 2008 Posté 17 Février 2008 (modifié) re, pour ces logs d'email, ce sont surement des tentatives de spam oui ; après pour savoir si elles réussissent ou non il faudrait commencer par regarder les logs du serveur de mail (/var/log/mail.log généralement ; sauf avec Plesk...). Sinon il y a des outils qui vérifient qu'un serveur soit en "Open Relay" : demande à Google Modifié 17 Février 2008 par Kioob
Bridou Posté 18 Février 2008 Auteur Posté 18 Février 2008 Merci pour ton lien, d'après les tests effectués, tous se terminent par : 553 sorry, that domain isn't in my list of allowed rcpthosts. Sauf le dernier à chaque fois, et comme conclusion j'obtiens ; Relay test resultOps!!! Host appeared to accept a message relay, but it may or not may a positive open relay. I need procced a complete test, sending a test message to probe it. This anonymous user test did not send a test message. Donc j'ai l'impression que les mails sont quand même bloqués ? Et comme tu le soulignes j'utilise Plesk, y'a t'il un moyen d'activer le fichier /var/log/maillog ? Merci pour ton aide !
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant