Depuis quelques années les gens habitués de gérer des serveurs unix se rendent compte qu'il y a des robots qui essayent de trouver la bonne combinaison de user/passwors. Personnellement ce type d'attaques ne m'a jamais vraiment fait douter de la sécurité des comptes utilisateurs créés sur mes serveurs car je roule en permanence john the ripper afin de casser les mot de passe de mes clients. Dès qu'un mot de passe est cassé, je désactive leur compte ftp ou ssh. Certain clients m'ont dit qu'ils trouvaient cela désagréable de changer de mot de passe aux 2 jours, je leur ai tout simplement répondu d'en choisir des plus complexes soit qui incluent des caractères non alpha-numérique (!@#$%?&_-*"';:.) une fois qu'ils ont fait cela, ils étaient heureux.

Je trouvais cela tout de même très désagréable de voir tous ces évènements ( logs ) dans les journaux que je consulte à tous les matins en buvant mon jus d'orange et me décrottant les yeux. Il y a déjà quelques mois qu'un de mes ex collègues de travail m'a mentionné qu'il avait découvert une petite mine d'or .. Fail2ban. C'est super simple à configurer. On a juste à spécifier quel journal d'évènement on veut surveiller pour chacun des services où l'on veut augmenter notre niveau de paranoïa :)

Je vous garantis qu'en moins de 10 minutes vous allez arriver à une configuration fonctionnelle. C'est tellement simple que s'il n'envoyait pas de email, on oublierait sa présence. J'utilise la configuration en mode iptables, car de toute façon j'utilise toujours un firewall sur mes serveurs de production afin de limiter les dégâts. En gros je bloque tout, je ferme les services non nécessaires et je les déinstalle si j'en ai vraiment pas besoin, moins de logiciels installés moins de failles de vulnérabilité c'est une combinaison gagnante - gagnante. Bref, pour revenir au sujet de Fail2Ban, lorsqu'il bloque une tentative d'intrusion, il envoie un email avec un whois de l'adresse ip de la personne qui nous a attaquée. Il reste juste à envoyer notre mail déjà sauvegardé de plainte au contact technique de cette plage ip. Voici ce à quoi peut ressembler un de ces emails:

Hi,

The IP 219.139.190.249 has just been banned by Fail2Ban after
5 attempts against SSH.


Here are more information about 219.139.190.249:

[Querying whois.apnic.net]
[whois.apnic.net]
% [whois.apnic.net node-1]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:      219.138.0.0 - 219.140.255.255
netname:      CHINANET-HB
descr:        CHINANET hubei province network
descr:        China Telecom
descr:        A12,Xin-Jie-Kou-Wai Street
descr:        Beijing 100088
country:      CN
admin-c:      CH93-AP
tech-c:       CHA1-AP
mnt-by:       MAINT-CHINANET
mnt-lower:    MAINT-CN-CHINANET-HB
changed:      hostmaster@ns.chinanet.cn.net 20020521
status:       ALLOCATED NON-PORTABLE
source:       APNIC

role:         CHINANET HB ADMIN
address:      8th floor of JinGuang Building
address:     #232 of Macao Road
address:      HanKou Wuhan Hubei Province
address:      P.R.China
country:      CN
phone:        +86 27 82862199
fax-no:       +86 27 82861499
e-mail:       ip_admin_hb@public.wh.hb.cn
trouble:      send spam reports to spam_hb@public.wh.hb.cn
trouble:      and abuse reports to abuse_hb@public.wh.hb.cn
trouble:      Please include detailed information and
trouble:      times in GMT+8
admin-c:      YZ83-AP
admin-c:      ZC77-AP
tech-c:       YZ83-AP
tech-c:       ZC77-AP
nic-hdl:      CHA1-AP
notify:       ip_admin_hb@public.wh.hb.cn
mnt-by:       MAINT-CN-CHINANET-HB
changed:      zhangyl68@public.wh.hb.cn 20031114
source:       APNIC

person:       Chinanet Hostmaster
nic-hdl:      CH93-AP
e-mail:       anti-spam@ns.chinanet.cn.net
address:      No.31 ,jingrong street,beijing
address:      100032
phone:        +86-10-58501724
fax-no:       +86-10-58501724
country:      CN
changed:      dingsy@cndata.com 20070416
mnt-by:       MAINT-CHINANET
source:       APNIC

Regards,