Alarmé par la taille imposante de mes fichiers “log secure” (avec une tentative de login SSH toute les secondes, ça va très vite), j’ai installé un script Python qui semble faire du bon boulot contre les “brute-force attacks”, DenyHosts.
[Une autre solution, un peu plus rustique à mes yeux, est BFD (Brute Force Detection) allié à APF (Advanced Policy Firewall).]
[Sans oublier la solution simple et drastique de faire du host-deny sur tout ce qui ne ressemble pas de près ou de loin aux réseaux d’où je me connecte habituellement.]
À l’examen de mes logs, je me suis rendu compte que les “brute-force attacks” était, pour 99,8 % des cas, le fait de script-kiddies qui utilisent des logiciels assez stupides. Ils auraient plus de chance de gagner à l’Euromillion que d’avoir mon accès root. À moins qu’il y ait encore des gens assez cons pour avoir des accès SSH du style “oracle/oracle”, “test/test”, “root, 1234”…
Ceci dit, ça m’agace de voir mes logs pollués. C’est mon côté maniaque… Ajoutez une once de paranoïa, il fallait que je réagisse.
De façon optionnelle, il est possible avec DenyHosts de communiquer les résultats de sa propre installation, ce qui donne des statistiques assez intéressantes sur les apprentis-hackers…
Parmi les IP fixes les plus agressives, c’est “China”, “China”, “China”, “China”, “China”, “China”, “China”, ad libitum… avec une une petite variation comme “Republic of Korea”. Une seule exception saute aux yeux, c’est 82.224.139.101 (juv34-1-82-224-139-101.fbx.proxad.net - juvenal-1). Je me dis qu’il y a une petite gueule à frapper du côté de Montpellier…
Autres outils à explorer : Fail2Ban, SSH Blocking, BlockHosts…
Quant au petit crétin abonné à Club-Internet qui fait actuellement des tentatives de hacks minables sur mon billet anti-chats, je lui dis de retourner voir sa mère, elle a des Carambar.
Séverine, 21 ans, commerçante : « Mon mari est quelqu’un de vraiment très doux, très calme. Mais quand il voit Sarkozy à la télé, il devient insupportable. Il jubile, comme s’il venait de trouver l’homme qui va remettre tout le monde au travail, faire marcher le monde à la baguette ». Elle ne sourit plus: « Hervé n’est pas comme ça d’habitude, j’vous jure ».
Ne jurez pas, je vous en prie, Séverine, ne jurez pas.
Pour le calmer, il lui suffit de regarder cela.
Lien trouve sur le tres “obscur” blog : CWTY09JUIZ
ça commence comme ça, et ça finit béatifié et en image pieuse, à Lourdes.
La vidéo de la mort qui tue !
Et bé ! ça promet ! ya des personnes comme cela qui résonnent comme des grosses caisses, néanmoins dans un orchestre, il en faut, mais pas trop .
Ce n’est pas drole, impossible d’atteindre le point Eolas sur un billet comme ça.
Scoop : Pierre C*****, qui souhaite rester anonyme, le retour.
Bon, vas-y Georges, un effort… La troïka me manque.
cela commence a ma gratter … mais qd meme !
Hé, me dit pas que c’est pas toi, quel blogueur pourrait avoir un lien vers le “Chasseur Français,” sinon toi ?
T’as raison. Je vais le poursuivre en justice pour plagiat. Mais quelqu’un qui fait un lien vers Pierre Desproges peut-il vraiment etre mauvais ?
Il est nul ce blog, faut un compte blogger pour commenter. En pareil conditions, je boycotte.
De toute façon les traitres n’ont pas le droit de revenir sans présenter leurs excuses.
Ca c’est sur qu’avec l’obligation d’avoir un compte Blogger pour commenter, c’est l’absence de commentateurs qui est assurée, à défaut de l’anonymat :p.
Georges - t’es sur que ton dernier commentaire n’est pas plutot pour le billet “Spam du jour” ?
Le site communautaire MySpace, très populaire parmi les adolescents, a annoncé son intention de faire son entrée sur le marché de la musique numérique en vendant les chansons de plus de trois millions de groupes indépendants n’appartenant pas aux catalogues des grandes maisons de disques.
[…] Les chansons pourront être vendues sur les pages que les groupes possèdent sur MySpace ou sur celles des fans, au format MP3, qui présente l’avantage de ne pas être protégé par un copyright et d’être compatible avec une grande majorité des baladeurs numériques, dont l’iPod d’Apple, qui domine nettement le marché.
[Reuters : “MySpace vendra la musique de 3 millions de groupes indépendants”, via Michel 5.]
Google a passé un contrat de 900 millions de dollars de maintenant à 2010, pour être le distributeur exclusif de l’espace publicitaire de MySpace. MySpace appartient au groupe NewsCorp qui comprend notamment Fox Interactive Media. Cela veut dire encore une fois, plus d’intégration de données hautement nominatives et personnelles.
Pour ceux qui pensent que les données sont à usage uniquement statistique, se rappeler de l’affaire AOL récente. Anonymisation par numéro n’a eu aucun effet, car il est possible par les critères de recherche de retrouver certaines personnes et surtout ce que personne n’a relevé. Les données ont été anonymisées, cela veut dire qu’elles ne l’étaient pas avant publication. Il ne s’agit pas de statistiques mais bien de profiling individuel. Autre petit détail, les données ont été vendues à AOL par… Google.
De ce que j’ai vu, Thomas Clément est celui qui a fait le travail de blogueur le plus intéressant sur l’université d’été de l’UMP, rien que pour ce moment : “Hugues, militant populaire !”.
Vinvin était parfait dans son rôle, jusqu’à ce qu’il ait eu l’intuition des limites et dangers de l’exercice dans un billet émouvant de sincérité et d’intelligence.
Pour les autres participations, on reste circonspect. (Ils ont même invité une blonde… le quota de femelles à gros seins, qui fait décoratif entre Doc Gynéco, Johnny Halliday et les plantes vertes en location de la salle de presse.)
Quant à cwty09juiz, heureusement qu’il n’était pas à Marseille, il eut été pris de priapisme. Ahhh, Roselyne, tu nous fais tous rêver.
Quelle élégance, quelle délicatesse, quel machisme tout en nuances et en sobriété ! ! Ah, l’UMP, un truc de mecs, des vrais, hein, pas un truc de “blondes à gros seins” ! !
En pleine forme, camarade !
un chouilla sévère… non ?… En plus les mecs de GayLib, l’assoc des homos de l’UMP, espéraient te recevoir (…) m’ont-ils dit…
Apprenti ???
Bah alors, Mry, tu ne sais plus signer sous ton “nom” ???
Sinon, Laurent, je te trouve bien dur avec Miss BlaBlaBla, qui à apporter les premieres reflexions lucides sur ces universitées d’été de l’UMP, mais pouvait-on lui repprocher de s’accorder quelques instant midinette avec le Doc ???
Attendons sa synthése, qui sera je le sais de grande qualité, et plus propre à faire avancer le débat après le charivarie de l’UMP Show ;)
On me dit à l’oreille que le priapisme qualifie une érection soutenue (plusieurs heures) sans stimulation de quelque sorte que ce soit. À moins de considérer que Roselyne soit une non-stimulation (ce qui n’est visiblement pas le cas pour ce cher Pierre), le terme n’est pas utilisé de la meilleure manière qui soit.
Bertrand Delanoë, maire de Paris et pédale honteuse, rend hommage à Jean Paul II “sentinelle majeure des temps modernes”. Même Goasguen ne savait plus qu’en penser. (P.S. Alerte beaux mecs et étreintes viriles place Jean-Paul II, merde, pourquoi j’y étais pas.)
La honte irréparable d’Israël : les bombes à sous-munitions sur le Liban. Quand le terrorisme répond au terrorisme, c’est l’humanité qui trinque, pour le peu qu’il en reste.
Vive le conflit thermo-nucléaire global. Si vous saviez comme je regrette la chute du mur de Berlin…
On fait quoi ? On se suicide tout de suite, ou on attend le début des festivités à l’échelle mondiale ? Je crois que ma curiosité va me pousser à rester encore un peu…
Le parvis de Notre Dame a été rebaptisée Jean Paul 2.0 Attendons la nouvelle version
@Boule: Bravo ! Tu as oublié la mention spéciale beta: Jean-Paul 2.0 Bêtat. (oui, je vends mes coonvictions religieuses pour un (bon) mots)
Un producteur de vidéos sexy est à la recherche de jolies filles pour son prochain film. Quelle chance il a lorsqu’il tombe sur deux superbes créatures Ukrainiennes, une brunette et une rousse, qui se pavanent dans un parc. L’homme leur admet que ce qu’il veut faire en fait est de les baiser à tout prix devant ses caméras pour un film porno. Ce salaud leur offre même de l’argent pour acheter leurs petites culottes! Les deux minettes le suivent ensuite jusqu’à sa chambre d’hôtel où elles se foutent à poil et enfilent le mec. Il martèle bien leurs moules avant de se diriger vers le plus profond de leurs fions! Il monte ensuite sur la rousse et y va d’une bonne branlette espagnole entre ses gros nibards avant de masturber la perle de ses deux belles avec intensité. Finalement, il baise l’oignon de la brunette avant d’envoyer tout son nectar chaud dans la bouche de la rousse qui se tient juste en dessous du cul de sa copine.
J’en reste sans voix.
Tu n’es pas sensible aux figures de style ?
Ca m’arrive jamais moi des trucs comme ça!
C’est un texte provenant de ce qu’on appelle une marque blanche vidéo, en principe, ça sert à intéresser Google. Où a donner envie au client de lâcher un allopass pour voir ça. En général, quand on pense avec sa bite, on pense pas à grand chose, mais on en est sûr comme dirait Bigard (humoriste vulgaire, début 21ième siècle).
Oui, les pornographes n’ont jamais été très litérraires. Leurs clients non plus d’ailleurs, en général. Enfin, il y a bien une exception, ex-auteur de livres pour enfant reconverti en pornographe blogueur.
Ce concept assez génial d’utiliser le procrastinateur internet comme main d’oeuvre gratuite vient du chercheur américain Luis von Ahn du département de science informatique de l’université Carnegie Mellon.
Intercommunication : “Calcul humain de masse et Etiquetage ludique 2.0”.
Ça, c’est très Web 2.0.
(Et, n’oubliez pas, vous êtes Internet. — Michel 5 me faisait remarquer qu’il manquait Goatse dans la vidéo…)
I’m the Internet, you’re the Internet,
We’re the Internet, now that’s the Internet,
I like the Net, we love the Net, and I can prove it.
J’ai laissé un commentaire, chez le gars Eric.
Je me demande combien de psersonnes sur ce blog peuvent se permettre de poster un commentaire disant qu’ils ont posté un commentaire ailleurs…
C’est fou les passes-droits que permet la notoriété (ou plutôt le talent, heureusement que parfois l’un vient de l’autre).
La démocratie fout le camp et on y peut rien, c’est un drame pour la France. [Michel Rocard, à lire chez Guy Birenbaum.]
“C’est plus de la colère que du défaitisme. Il faut supprimer l’élection du président au suffrage universel. Ce scrutin est aujourd’hui dévoyé.”
+1.
+1 également à : “Dans les pays civilisés, les élections importantes ne durent qu’un seul mois. Nous en France, on est en campagne depuis au moins deux ans, à cause des médias mais avec la complicité des hommes politiques qui se sont laissés aller.”
Ce qui laisse à notre futur président, quel qu’il soit, un maximum de 3 ans pour faire tranquillement son travail, après quoi il devra sans doute passer une partie non négligeable de son temps à défendre sa candidature…
A moins, bien sûr, qu’on lui suggère de démissionner suite au résultat de scrutins locaux… C’est décidé, je ne veux pas être président. On passe plus de temps à justifier son poste qu’à travailler.
euh… vous avez l’air d’oublier comment le pays était dirigé avant l’élection du président au suffrage universel… c’était il n’y a pas si longtemps pourtant.. quant aux autres pays, il n’y en a quand même que très peu où la campagne d’une élection majeure ne dure qu’un mois, et encore ce sont de petits pays..
Ce qui pourrait améliorer sensiblement les choses, ce serait le scrutin à un seul tour !
Revenir sur le scrutin universel, en revanche, non merci. Et je suis d’accord avec Olivier : dans la plupart des pays démocratiques, c’est au minimum toute l’année qui précède l’élection qui est gelée. Logique, d’une certaine façon. Et ça ferait presque regretter le septennat.
Là où Rocard a raison, c’est qu’actuellement, en France, ça prend des proportions ridicules.
La présence de l’avocat n’est en rien exclusive du rôle de la caméra puisque le premier, en veilleur, a pu échouer là où la seconde pourrait constituer une vraie dissuasion. [Philippe Bilger : “La caméra ou la vérité ?”]
Une pierre dans le jardin d’Eolas.
Une question simple : on trouve où le fric pour toutes les caméras, les cédés et on stocke ça où et comment, avec quels moyens en personnel, locaux, sécurité d’accès ou de conservation ? Il y en a qui veulent que le budget de la justice dépasse celui de la Défense ou de l’Éducation nationale…
Vous vous souvenez de l’original ?
Oui, je l’ai sur mon iPod et je l’écoute souvent. Trop drôle, les remix.
“embruns”, journal de bord | fins produits hypertextuels depuis 1996 | valid. | © 2010 laurent gloaguen.
1. sitenreveuxyenrena le 3 septembre 2006
Tu arrives même à voir quel post il cherche à hacker?
2. Olivier le 3 septembre 2006
PermitRootLogin no PasswordAuthentication no
C’est généralement pas mal d’avoir ça dans sa conf dès le départ. L’authentif par mot de passe c’est mal :)
PS: et “UsePAM no” aussi
3. Laurent le 3 septembre 2006
C’est pas un peu chiant à l’usage les clés ? (je demande juste, hein, je connais pas, je suis pas un geek moi…).
4. Laurent le 3 septembre 2006
Trouvé ça : “Five-Minutes to a More Secure SSH”.
5. Olivier le 3 septembre 2006
Bah les clés, c’est même plus simple que les mots de passe. Une clé sans mot de passe, encore plus, mais c’est pas très safe ça :)
L’avantage d’une clé, c’est que tu peux l’enregistrer au démarage de ta session (je suis sûr que mac os sait faire ça). Il va te demander une fois le mot de passe de la clé et après, les connections ssh avec cette clé se feront toutes seules :)
6. Laurent le 3 septembre 2006
Ok, je vais essayer.
7. Dam le 3 septembre 2006
Moi pour faire simple j’ai changé le port d’écoute … d’abort pour passer des firewalls un peu trop contraignants, et finalement aussi pour me proteger un peu de ce genre de chose (et comme tu le dis pour la pluparts ça suffit :)
8. Laurent le 3 septembre 2006
Bof, la plupart des attaques chez moi ne sont justement pas sur le port 22.
9. Maxime le 3 septembre 2006
Il y a bien un ssh-agent sur OS X, mais me demandez pas comment il marche. OS X, d’abord, ça pue, c’est pas libre. Essayez à tout hasard de taper ssh-add sur une console, on sait jamais.
Ensuite, vu les combinaisons qu’essayent ces Jean-Kevin pour se connecter, je crois que c’est complètement inutile de s’en inquiéter, si votre mot de passe n’est pas “1234”. Bon, c’est sûr que tout bloquer aux clefs, c’est quand même plus sur, mais c’est clairement pas indispensable.
10. Laurent le 3 septembre 2006
@Maxime : je suis un peu sur la même longueur d’onde. C’est principalement que toute cette pollution m’agace (genre le mec qui teste 4 000 prénoms sur tous les ports possibles). J’ai laissé root, mais le temps que l’on trouve le mot de passe (16 caractères alphanumériques), et, sachant que t’es viré au bout de 5 échecs avec DenyHosts, je crois que je peux dormir tranquille sur ce front là. Sinon, pour OS X, c’est un peu comme les fromages, c’est souvent ceux qui puent qui sont les meilleurs.
11. lolosquared le 3 septembre 2006
la petite gueule … c’est pas moi, je te jure …
12. Ju. le 3 septembre 2006
Ca evitera pas les tentatives mais elles seront irrremediablement vouees a l’echec :
PermitRootLogin no
AllowUsers captainmycaptain lapinou
A remplacer evidemment par le login utilisé dans /etc/ssh/sshd_config
Ca jette tout le monde et ca attend le bon mot de passe pour les utilisateurs concernés (captainmycaptain et lapinou).
Sinon le plus sur reste quand meme (en plus) d’utiliser les cles, avec un agent c’est tres confortable.
Plus d’infos/astuces.
13. Laurent le 3 septembre 2006
Par mesure de sécurité, Lapinou n’est pas autorisé à faire du SSH ;-)
14. Yann le 3 septembre 2006
J’attends toujours le remplacant de sshkeychain Cela te permet de gérer tes clefs SSH et tes tunnels sans trop te casser la tête.
Pourquoi j’attends un remplaçant? Parce que sshkeychain a quelques bugs d’interface et des popups agaçantes quand les connexions réseaux sont montées/démontées. Mais uniquement pour les tunnels.
15. Damien B le 4 septembre 2006
Je dis halte à la diffamation, y’a plus d’attaques du Mexique et de Corée que de Chine, j’en suis sûr.
16. Nuits de Chine le 5 septembre 2006
Tu peux aussi utiliser sshdfilter - n’ayant aucun usage de Python sur mes machines, ça m’a évité de devoir l’installer.