Spoofing d'ip sur mon VPS.

O
ortolojf
WRInaute accro
Bonjour

Il semblerait que des hackers s'amusent à essayer de faire des essais très rapides et nombreux de connexions ssh sur mon site, et de plus aussi à partir de ma propre ip, vu que après une seule connexion réussie faite par mes soins en ssh, et déconnexion, le fail2ban théoriquement, m'interdit la connexion.

Le nombre d'ip filtrées par fail2ban augmente rapidement quand je suis connecté, hier soir ma connexion ssh s'est même interrompue sans crier gare.

J'ai fait une demande sur OVH, et puis je pourrais mettre une clé et peut-être que celà résoudrait le problème, mais que faire ?

Rien d'anormal dans /var/log/auth.log mais celà ne prouve rien.

Merci beaucoup de vos réponses.

Amicalement.
 
mickou51
mickou51
WRInaute occasionnel
@ortolojf : ça serait mieux oui de jouer avec le petit fichier .ppk (créé par puttygen) et la clé SSH mais c'est surement chiant à installer, le mieux c'est de l'installé au tout début avec l'OS c'est plus facile.
Ensuite oui je changerai de port aussi par un autre et il faut mettre un firewall comme csf + fail2ban ?!
Et aussi mettre webmin pour administrer csf facilement.
 
O
ortolojf
WRInaute accro
En fait...

Le fichier /var/log/auth.log se remplit normalement ( lentement ), mais c'est fail2ban-client qui me bannit des ip en veux-tu en voilà plus d'une par seconde.

Ce soir je ne peux pas me connecter, fail2ban ne tient pas compte que mon ip est exclue du filtrage.

Serveur hacké, à reinstaller ?

Amicalement.
 
O
ortolojf
WRInaute accro
Bonjour

Voici les règles que je souhaite mettre dans mon iptables :

Code: 
#
# Iptables.txt
#
# Regle log ssh drop :
iptables -N SSH_DROP
iptables -A SSH_DROP -m limit --limit 1/s -j LOG --log-prefix '[fw drop -> Attack ssh] : '
iptables -A SSH_DROP -j DROP
# Regles anti-brute force :
iptables -A INPUT -d ${IP_EXT} -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --name SSH -j SSH_DROP
iptables -A INPUT -d ${IP_EXT} -p tcp --dport 22 -m recent --set --name SSH
iptables -A INPUT -d ${IP_EXT} -p tcp --dport 22 -m state --state NEW -j ACCEPT


La 1ère ligne donne une erreur.

Comment faire ?

Merci beaucoup.
 
O
ortolojf
WRInaute accro
La honte...

Le problème venait seulement du fait que Fail2ban restaurait allégrément les ban au reload.

Finalement site pas hacké.

Je veux installer un firewall maison ( firewall et firewall6 ), scripts au point mais il faudrait le déclencher après le montage du réseau, et en mode systemd.

Voici le squelette d'un fichier LSB.

Où dois-je le mettre, et comment le configurer ?

Merci beaucoup.


Code: 
#! /bin/sh
### BEGIN INIT INFO
# Provides:          #NAME#
# Required-Start:    $remote_fs $syslog
# Required-Stop:     $remote_fs $syslog
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: #DESC#
### END INIT INFO
# Autogenerated from systemd service file
# Do NOT "set -e"
# PATH should only include /usr/* if it runs after the mountnfs.sh script
PATH=/sbin:/usr/sbin:/bin:/usr/bin
DESC="#DESC#"
NAME=#NAME#
DAEMON=#DAEMON#
DAEMON_ARGS="#DAEMON_ARGS#"
PIDFILE=#PIDFILE#
SCRIPTNAME=/etc/init.d/$NAME
# Exit if the package is not installed
[ -x "$DAEMON" ] || exit 0
#ENVIRONMENT#
# Read configuration variable file if it is present
[ -r $ENVIRONMENTFILE ] && . $ENVIRONMENTFILE
# Load the VERBOSE setting and other rcS variables
. /lib/init/vars.sh
# Define LSB log_* functions.
# Depend on lsb-base (>= 3.2-14) to ensure that this file is present
# and status_of_proc is working.
. /lib/lsb/init-functions
#
# Function that starts the daemon/service
#
do_start()
{
    #STARTPRE#
    # Return
    #   0 if daemon has been started
    #   1 if daemon was already running
    #   2 if daemon could not be started
    start-stop-daemon --start --quiet --pidfile $PIDFILE --exec $DAEMON --test > /dev/null \
        || return 1
    start-stop-daemon --start --quiet --pidfile $PIDFILE --exec $DAEMON -- \
        $DAEMON_ARGS \
        || return 2
    # Add code here, if necessary, that waits for the process to be ready
    # to handle requests from services started subsequently which depend
    # on this one.  As a last resort, sleep for some time.
    #STARTPOST#
}
#
# Function that stops the daemon/service
#
do_stop()
{
    #STOPPRE#
    if #CUSTOM_STOP#; then
        #STOP_COMMAND# #STOP_ARGS#
        RETVAL="$?"
    else
    # Return
    #   0 if daemon has been stopped
    #   1 if daemon was already stopped
    #   2 if daemon could not be stopped
    #   other if a failure occurred
        start-stop-daemon --stop --quiet --retry=TERM/30/KILL/5 --pidfile $PIDFILE --name $NAME
        RETVAL="$?"
        [ "$RETVAL" = 2 ] && return 2
    fi
    # Wait for children to finish too if this is a daemon that forks
    # and if the daemon is only ever run from this initscript.
    # If the above conditions are not satisfied then add some other code
    # that waits for the process to drop all resources that could be
    # needed by services started subsequently.  A last resort is to
    # sleep for some time.
    start-stop-daemon --stop --quiet --oknodo --retry=0/30/KILL/5 --exec $DAEMON
    [ "$?" = 2 ] && return 2
    # Many daemons don't delete their pidfiles when they exit.
    rm -f $PIDFILE
    #STOPPOST#
    return "$RETVAL"
}
#
# Function that sends a SIGHUP to the daemon/service
#
do_reload() {
    #
    # If the daemon can reload its configuration without
    # restarting (for example, when it is sent a SIGHUP),
    # then implement that here.
    #
    if #CUSTOM_RELOAD#; then
        #RELOAD_COMMAND# #RELOAD_ARGS#
    else
        start-stop-daemon --stop --signal #RELOAD_SIGNAL# --quiet --pidfile $PIDFILE --name $NAME
    fi
    return 0
}
case "$1" in
  start)
    [ "$VERBOSE" != no ] && log_daemon_msg "Starting $DESC" "$NAME"
    do_start
    case "$?" in
        0|1) [ "$VERBOSE" != no ] && log_end_msg 0 ;;
        2) [ "$VERBOSE" != no ] && log_end_msg 1 ;;
    esac
    ;;
  stop)
    [ "$VERBOSE" != no ] && log_daemon_msg "Stopping $DESC" "$NAME"
    do_stop
    case "$?" in
        0|1) [ "$VERBOSE" != no ] && log_end_msg 0 ;;
        2) [ "$VERBOSE" != no ] && log_end_msg 1 ;;
    esac
    ;;
  status)
    status_of_proc "$DAEMON" "$NAME" && exit 0 || exit $?
    ;;
  #CASE_RELOAD#)
    log_daemon_msg "Reloading $DESC" "$NAME"
    do_reload
    log_end_msg $?
    ;;
  #CASE_RESTART#)
    log_daemon_msg "Restarting $DESC" "$NAME"
    do_stop
    case "$?" in
      0|1)
        do_start
        case "$?" in
            0) log_end_msg 0 ;;
            1) log_end_msg 1 ;; # Old process is still running
            *) log_end_msg 1 ;; # Failed to start
        esac
        ;;
      *)
        # Failed to stop
        log_end_msg 1
        ;;
    esac
    ;;
  *)
    echo "$SCRIPTNAME #USAGE#" >&2
    exit 3
    ;;
esac
:
 
Vous devez vous connecter ou vous inscrire pour répondre ici.
1.fr
Discussions similaires
V
Quel est le meilleur hebergeur VPS ou Cloud pour l'hébergement de site web ?
Réponses
13
Affichages
2K
elji
E
O
VPS OVH 1 mois possible ?
Réponses
15
Affichages
2K
ortolojf
O
O
Quel hébergeur VPS ou autre ?
Réponses
1
Affichages
995
spout
spout
O
Quel panel gratuit d'administration pour VPS ?
Réponses
1
Affichages
1K
ortolojf
O
X
Problème récupération fichier vps
Réponses
2
Affichages
2K
Marie-Aude
Marie-Aude
jnrmy
Hébergement Cloud, VPS infogéré... besoin de conseils
Réponses
1
Affichages
2K
spout
spout
C
Besoin d'aide pour soucis avec le certbot chez OVH - VPS
Réponses
6
Affichages
4K
CoXz
C
O
Quel hébergeur VPS ?
Réponses
2
Affichages
3K
ortolojf
O
O
Quel Panel gratuit admin pour un VPS ?
Réponses
6
Affichages
2K
ortolojf
O
O
Quels ports accepter/refuser - serveur VPS.
Réponses
3
Affichages
1K
rollback
R
passion
CDN ou VPS
Réponses
2
Affichages
2K
passion
passion
manoa.ratefiarison
2 petits VPS ou 1 gros VPS ?
Réponses
3
Affichages
2K
manoa.ratefiarison
manoa.ratefiarison
O
Quels liens => sécurisation d'un serveur vps ?
Réponses
3
Affichages
2K
ortolojf
O
D
Attaque de type DDOS UDP sur un serveur VPS
Réponses
5
Affichages
6K
Drew
D
D
VPS Linux gratuit
Réponses
19
Affichages
12K
spout
spout
D
VPS en allemagne, joueurs au brésil...
Réponses
2
Affichages
2K
Drew
D
O
Config IPV6 serveur VPS OVH Debian
Réponses
5
Affichages
4K
ortolojf
O
manoa.ratefiarison
Copier le SSL d'un mutualisé OVH sur un VPS
Réponses
6
Affichages
3K
Bool
Bool
D
Caractéristiques VPS cloud ovh
Réponses
5
Affichages
4K
Doubrovski
D
C
Installation d'un VPS
Réponses
4
Affichages
2K
essentielgsm
E
Haut