Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 15-06-2012 19:44:04

Dohri
Membre
Lieu : /home/dohri/canapé
Distrib. : Sid
Noyau : 3.10.1 amd64
Inscription : 19-12-2010
Site Web

Traitement des attaques

Juste une question niveau sécurité: quand on se rend compte que son serveur est victime d'attaque quels sont les moyens de base pour les contrer en temps réel?? (et oui niveau sécurité je suis un peu à la ramasse... hmm. )

Asus Zenbook ux32vd > Sid   |   eeepc 1215 > Sid + gnome  |   eeepc 1015 > Squeeze + gnome   |   sony vaio > Squeeze CLI   |   serveur home made > debian squeeze CLI

Hors ligne

#2 15-06-2012 19:49:32

lenglemetz
Admin!
Lieu : Bordeaux
Distrib. : Testing pour faire mumuse !
Noyau : Celui qui passe !
(G)UI : Gnome
Inscription : 29-05-2007
Site Web

Re : Traitement des attaques

Installe et configure fail2ban dans un premier temps ( augmente le temps de ban etc ) après c'est pour protéger quel(s) port(s) ?

☠ ☠ ☠ ⅛|™ ☠ ☠ ☠ ¬|¬ Lenglemetz ¬|¬ ☠ ☠ ☠ ¿|6borg |¿ ☠ ☠ ☠ ®|© >

Hors ligne

#3 15-06-2012 20:15:32

zoroastre74
Membre
Distrib. : Debian Wheezy
Noyau : Linux 3.2
(G)UI : Awesome wm v3.4.13 (Octopus)
Inscription : 28-08-2010

Re : Traitement des attaques

Yep!

Quels sont les indices/preuves qui te permettent de dire que tu es attaqués ???

Sais-tu quel protocole réseau est utilisé, l'adresse ip du pirate, la faille utilisée ???

L'idéal dans un premier temps est de sniffer l'activité du pirate en temps réel avec wireshark par exemple. L'outil permet entre autre d'enregistrer l'activité du réseau et donc du pirate.

Dans un registre identique, snort permet de détecter les attaques et de rendre compte sous forme de rapport. C'est un outil trés complet dont une large communauté met à jour régulièrement la base de donnée.

Tu peux également renforcer la sécurité de ton système avec Bastille. En fonction de la configuration, il bloquera certain accés dont on ne pense pas toujours.

fail2ban est une bonne solution.

As-tu un parefeu ???

Passe un coup de chkrootkit aussi (en faisant gaffe aux faux-positifs dans le rapport, c'est d'ailleurs énervant hmm ).

Fait aussi un scan de tes ports réseaux avec Nmap pour voir si il n'y a pas un chemin dérobé.

Il existe aussi les pots de miel (honeypots) pour coincer le pirate, mais je n'ai jamais eu l'occasion d'en utiliser un, donc pas trop d'experience sur le sujet...En gros, tu simules un réseau virtuel qui te laisse tout loisir de déterminer le matricule de l'individu.

Penses à faire des backups si ce n'est déjà fait...(le cas échéant, il faudra vérifier leur intégrité).

En dernier lieu, le shell est ton ami : who, netstat, ps, ...

@+

Zoroastre.

Dernière modification par zoroastre74 (15-06-2012 20:46:27)

Hors ligne

#4 15-06-2012 22:17:25

Dohri
Membre
Lieu : /home/dohri/canapé
Distrib. : Sid
Noyau : 3.10.1 amd64
Inscription : 19-12-2010
Site Web

Re : Traitement des attaques

Merci de vos réponses complètes smile

La question est purement théorique et n'a que pour but d'apprendre (mon serveur est derrière une freebox et je n'ai redirigé que le port 80 donc pas d'accès ssh depuis l'extérieur pour l'instant)

Concernant wireshark je l'utilise dans un but pédagogique mais jamais de façon très poussée...faudrait vraiment que je m'y mette smile

Fail2ban je connais pour l'avoir testé plus en profondeur et c'est vraiment pas mal mais ça reste du préventif smile

Après je parle de temps réel mais bon à part fermer les ports utilisés en fait je ne sais pas trop ce qui est faisable....faudrait que je me mette un peu au courant niveau hack car ça reste assez abstrait....

Asus Zenbook ux32vd > Sid   |   eeepc 1215 > Sid + gnome  |   eeepc 1015 > Squeeze + gnome   |   sony vaio > Squeeze CLI   |   serveur home made > debian squeeze CLI

Hors ligne

Pied de page des forums