Tentatives d'intrusion : statistiques

joffrey575 · 26-09-2023 15:31:20

Bonjour à tous,

Cela fait un moment que mes bécanes tournent.

J'aimerais avoir des stats sur la fréquence des tentatives d'intrusions.

S'ils sont élevés, alors je prendrais des mesures.

J'ai étudié plusieurs solutions mais sans faire de linux régulièrement, je galère un peu.

Mais l'idée réside dans les deux commandes ci-dessous.

L'une donne le nombre de tentatives lié à une IP.
L'autre donne le nombre de tentative lié à une plage horaire.

Vous auriez une idée pour combiner ces deux besoins ?

Merci beaucoup.

Nombre de tentatives lié à une IP.

grep "authentication failure" auth.log | grep -Po "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" | sort | un

      4 1.11.62.189

      2 1.202.82.212

      2 1.28.86.66

Nombre de tentative lié à une plage horaire.

grep 'authentication failure' auth.log | cut -d ':' -f1 | uniq -c

     40 2023-09-24T00

     14 2023-09-24T02

     14 2023-09-24T05

Exemple de cas du auth.log :

2023-09-25T14:50:13.318740+02:00 myhost sshd[460029]: Failed password for invalid user root from 75.130.20.100 port 40358 ssh2

2023-09-25T14:50:23.683302+02:00 myhost sshd[460029]: Failed password for invalid user root from 75.130.20.100 port 40358 ssh2

2023-09-25T14:51:15.438862+02:00 myhost sshd[460029]: Failed password for invalid user root from 75.130.20.100 port 40358 ssh2

2023-09-24T00:00:46.649222+02:00 myhost auth: pam_unix(dovecot:auth): check pass; user unknown

2023-09-24T00:00:46.649418+02:00 myhost auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=mailer-daemon@domain.org rhost=219.128.15.190 

2023-09-24T00:00:48.942857+02:00 myhost auth: pam_unix(dovecot:auth): check pass; user unknown

2023-09-24T00:00:48.943008+02:00 myhost auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=mailer-daemon@domain.org rhost=219.128.15.190 

2023-09-24T00:01:01.150765+02:00 myhost auth: pam_unix(dovecot:auth): check pass; user unknown

2023-09-24T00:01:01.150917+02:00 myhost auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=mailer-daemon@domain.org rhost=182.225.134.13 

2023-09-24T00:01:02.837273+02:00 myhost auth: pam_unix(dovecot:auth): check pass; user unknown

2023-09-24T00:01:02.837429+02:00 myhost auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=mailer-daemon@domain.org rhost=182.225.134.13 

2023-09-24T00:01:10.964225+02:00 myhost auth: pam_unix(dovecot:auth): check pass; user unknown

vincen · 26-09-2023 15:41:12

Euh je vais peut être dire une bétise mais fail2ban fait ça automatiquement il me semble non ?

joffrey575 · 26-09-2023 16:26:51

Disons que je souhaitais avoir mes propres stats.

Sans spécialement activer fail2ban.

vincen · 26-09-2023 16:49:24

joffrey575 a écrit :

Disons que je souhaitais avoir mes propres stats.
Sans spécialement activer fail2ban.

oui mais tu vas réinventer fail2ban quelque part non ?

PS: perso je ne laisse jamais de ports SSH entre autre ouvert sur une IP publique (si c'est absolument nécessaire c'est uniquement authentification par clé ssl et en aucun cas login

lann · 26-09-2023 19:02:03

J’utilise https://www.ossec.net/
Ce ne sont pas vraiment des stats mais ça renvoie un mail, entre autres, lorsqu'il y a une tentative d'intrusion.

Debian-facile

#1 26-09-2023 15:31:20

Tentatives d'intrusion : statistiques

#2 26-09-2023 15:41:12

Re : Tentatives d'intrusion : statistiques

#3 26-09-2023 16:26:51

Re : Tentatives d'intrusion : statistiques

#4 26-09-2023 16:49:24

Re : Tentatives d'intrusion : statistiques

#5 26-09-2023 19:02:03

Re : Tentatives d'intrusion : statistiques

Pied de page des forums