[HS] Attaque dictionnaire distribuée sur serveur ssh.
27 réponses
Charles Plessy
Bonjour tout le monde,
ça fait quelques jours qu'on est en train de tester un dictionnaire sur mon
serveur ssh, mais avec une adresse IP différente par mot. C'est très énervant
car j'utilise logcheck, qui m'envoie des tonnes de notifications du genre
suivant :
Nov 29 12:12:14 kunpuu sshd[13789]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=75.24.138.85
Nov 29 12:12:17 kunpuu sshd[13787]: error: PAM: User not known to the underlying authentication module for illegal user earl from 75.24.138.85
Nov 29 12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): check pass; user unknown
Nov 29 12:14:26 kunpuu sshd[13792]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.108.238.140
Nov 29 12:14:28 kunpuu sshd[13790]: error: PAM: User not known to the underlying authentication module for illegal user earlene from 218.108.238.140
Quelqu'un connaît-t-il une bonne méthode pour se débarasser de ces tentatives
de connextion (hormis le déplacement du port 22 à une autre adresse ?) Par
exemple, existe-t-il des listes noires ?
Amicalement,
--
Charles Plessy
Tsurumi, Kanagawa, Japan
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
L> Je vois qu'on a les mêmes (et pour une fois ce ne sont pas des machines
sous Windows, d'après la bannière du service SSH qui tourne dessus il y a pas mal de Debian). Mais en ce qui me concerne ça fait des années que ça dure, et ce n'est pas une unique tentative par addresse source mais des séries entières.
J'ai lancé un script nmap -O -F sur ces machines, pour le moment j'ai 4 type de réponses: * Un Windows * Une non réponse (machine down) * Des routeurs WIFI souvent sous linux * linux
Les lnux s'avèrent une debian sarge à chaque fois surtout
SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.4
Il me semble que Sarge était touché par la faille des clefs ssh. Seraient ce des machines corrompues à l'aide de cette faille: Quasi que des debian, et des sarge (il y a une Ubuntu). Je fais un script qui interroge tout les ports SSH... Résultats à venir.
François Boisson
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
L> Je vois qu'on a les mêmes (et pour une fois ce ne sont pas des machines
sous Windows, d'après la bannière du service SSH qui tourne dessus il y
a pas mal de Debian). Mais en ce qui me concerne ça fait des années que
ça dure, et ce n'est pas une unique tentative par addresse source mais
des séries entières.
J'ai lancé un script nmap -O -F sur ces machines, pour le moment j'ai 4 type de
réponses:
* Un Windows
* Une non réponse (machine down)
* Des routeurs WIFI souvent sous linux
* linux
Les lnux s'avèrent une debian sarge à chaque fois surtout
SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.4
Il me semble que Sarge était touché par la faille des clefs ssh. Seraient ce
des machines corrompues à l'aide de cette faille: Quasi que des debian, et des
sarge (il y a une Ubuntu). Je fais un script qui interroge tout les ports
SSH... Résultats à venir.
François Boisson
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
L> Je vois qu'on a les mêmes (et pour une fois ce ne sont pas des machines
sous Windows, d'après la bannière du service SSH qui tourne dessus il y a pas mal de Debian). Mais en ce qui me concerne ça fait des années que ça dure, et ce n'est pas une unique tentative par addresse source mais des séries entières.
J'ai lancé un script nmap -O -F sur ces machines, pour le moment j'ai 4 type de réponses: * Un Windows * Une non réponse (machine down) * Des routeurs WIFI souvent sous linux * linux
Les lnux s'avèrent une debian sarge à chaque fois surtout
SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.4
Il me semble que Sarge était touché par la faille des clefs ssh. Seraient ce des machines corrompues à l'aide de cette faille: Quasi que des debian, et des sarge (il y a une Ubuntu). Je fais un script qui interroge tout les ports SSH... Résultats à venir.
François Boisson
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Serge Cavailles
Bonjour François,
Le samedi 29 novembre 2008 12:27, François Boisson a écrit :
Il me semble que Sarge était touché par la faille des clefs ssh.
Pour information, le wiki debian affirme le contraire: [citation]La première version vulnérable, 0.9.8c-1, a été téléc hargée dans la distribution instable le 17 septembre 2006, et s'est depuis cette date propagée aux versions de test et stable actuelle (Etch). L'ancienne distribution stable (Sarge) n'est pas affectée.[fin citation] source http://www.debian.org/security/2008/dsa-1571
La même page dit que le problème existe depuis la version 0.9.8c-1 de openssl. En cherchant dans la page des paquets [1], j'ai trouvé un paquet openssl sous etch en v 0.9.8c-4etch3, mais aucun paquet openssl pour sarge. Si ça peut aider.
Cordialement,
-- Serge
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Bonjour François,
Le samedi 29 novembre 2008 12:27, François Boisson a écrit :
Il me semble que Sarge était touché par la faille des clefs ssh.
Pour information, le wiki debian affirme le contraire:
[citation]La première version vulnérable, 0.9.8c-1, a été téléc hargée dans
la distribution instable le 17 septembre 2006, et s'est depuis cette date
propagée aux versions de test et stable actuelle (Etch). L'ancienne
distribution stable (Sarge) n'est pas affectée.[fin citation]
source http://www.debian.org/security/2008/dsa-1571
La même page dit que le problème existe depuis la version 0.9.8c-1 de
openssl. En cherchant dans la page des paquets [1], j'ai trouvé un paquet
openssl sous etch en v 0.9.8c-4etch3, mais aucun paquet openssl pour sarge.
Si ça peut aider.
Cordialement,
--
Serge
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le samedi 29 novembre 2008 12:27, François Boisson a écrit :
Il me semble que Sarge était touché par la faille des clefs ssh.
Pour information, le wiki debian affirme le contraire: [citation]La première version vulnérable, 0.9.8c-1, a été téléc hargée dans la distribution instable le 17 septembre 2006, et s'est depuis cette date propagée aux versions de test et stable actuelle (Etch). L'ancienne distribution stable (Sarge) n'est pas affectée.[fin citation] source http://www.debian.org/security/2008/dsa-1571
La même page dit que le problème existe depuis la version 0.9.8c-1 de openssl. En cherchant dans la page des paquets [1], j'ai trouvé un paquet openssl sous etch en v 0.9.8c-4etch3, mais aucun paquet openssl pour sarge. Si ça peut aider.
Cordialement,
-- Serge
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
François Boisson
445 serveurs ssh ont répondus sur 594 machines. parmi ceux là 178 serveurs Debian (du moins avec ssh bannières Debian) dont 132 sous sarge. 11 serveurs Ubuntu.
Les versions des serveurs SSH sont les suivantes (avec les fréquences):
Un sondage sur les premiers résultats de nmap donne en gros une machine sur 2 comme un routeur avec noyau linux.
François Boisson
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
445 serveurs ssh ont répondus sur 594 machines.
parmi ceux là 178 serveurs Debian (du moins avec ssh bannières Debian) dont
132 sous sarge. 11 serveurs Ubuntu.
Les versions des serveurs SSH sont les suivantes (avec les fréquences):
Un sondage sur les premiers résultats de nmap donne en gros une machine sur 2
comme un routeur avec noyau linux.
François Boisson
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
445 serveurs ssh ont répondus sur 594 machines. parmi ceux là 178 serveurs Debian (du moins avec ssh bannières Debian) dont 132 sous sarge. 11 serveurs Ubuntu.
Les versions des serveurs SSH sont les suivantes (avec les fréquences):
Un sondage sur les premiers résultats de nmap donne en gros une machine sur 2 comme un routeur avec noyau linux.
François Boisson
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Pascal Hambourg
François Boisson a écrit :
445 serveurs ssh ont répondus sur 594 machines. [...]
Merci pour cette petite enquête. Quant au moyen qui a permis de compromettre ces machines, je pense qu'il ne faut pas chercher loin et que c'est le même que celui par lequel elles tentent de compromettre d'autres machines : attaques par force brute contre des mots de passe faibles.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
François Boisson a écrit :
445 serveurs ssh ont répondus sur 594 machines. [...]
Merci pour cette petite enquête.
Quant au moyen qui a permis de compromettre ces machines, je pense qu'il
ne faut pas chercher loin et que c'est le même que celui par lequel
elles tentent de compromettre d'autres machines : attaques par force
brute contre des mots de passe faibles.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
445 serveurs ssh ont répondus sur 594 machines. [...]
Merci pour cette petite enquête. Quant au moyen qui a permis de compromettre ces machines, je pense qu'il ne faut pas chercher loin et que c'est le même que celui par lequel elles tentent de compromettre d'autres machines : attaques par force brute contre des mots de passe faibles.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Régis Grison
Pascal Hambourg a écrit :
François Boisson a écrit :
445 serveurs ssh ont répondus sur 594 machines. [...]
Merci pour cette petite enquête. Quant au moyen qui a permis de compromettre ces machines, je pense qu'il ne faut pas chercher loin et que c'est le même que celui par lequel elles tentent de compromettre d'autres machines : attaques par force brute contre des mots de passe faibles.
Si quelqu'un a les IP de ces machines, ça serait pas possible de faire un rapport à leur provider pour qu'il prévienne les propriétaires ? Je pense qu'un certain nombre ignorent ce qui se passe. Pour les autres, il reste l'abuse.
Régis.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Pascal Hambourg a écrit :
François Boisson a écrit :
445 serveurs ssh ont répondus sur 594 machines. [...]
Merci pour cette petite enquête.
Quant au moyen qui a permis de compromettre ces machines, je pense
qu'il ne faut pas chercher loin et que c'est le même que celui par
lequel elles tentent de compromettre d'autres machines : attaques par
force brute contre des mots de passe faibles.
Si quelqu'un a les IP de ces machines, ça serait pas possible de faire
un rapport à leur provider pour qu'il prévienne les propriétaires ? Je
pense qu'un certain nombre ignorent ce qui se passe. Pour les autres, il
reste l'abuse.
Régis.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
445 serveurs ssh ont répondus sur 594 machines. [...]
Merci pour cette petite enquête. Quant au moyen qui a permis de compromettre ces machines, je pense qu'il ne faut pas chercher loin et que c'est le même que celui par lequel elles tentent de compromettre d'autres machines : attaques par force brute contre des mots de passe faibles.
Si quelqu'un a les IP de ces machines, ça serait pas possible de faire un rapport à leur provider pour qu'il prévienne les propriétaires ? Je pense qu'un certain nombre ignorent ce qui se passe. Pour les autres, il reste l'abuse.
Régis.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
François Boisson
Le Mon, 01 Dec 2008 17:26:57 +0100 Régis Grison a écrit:
Si quelqu'un a les IP de ces machines, ça serait pas possible de faire un rapport à leur provider pour qu'il prévienne les propriétaires ? Je pense qu'un certain nombre ignorent ce qui se passe. Pour les autres, il reste l'abuse.
J'ai, il y a 600 machines, je vais essayer d'automatiser la chose... (avec 600 ce serait souhaitable :))
François Boisson
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Le Mon, 01 Dec 2008 17:26:57 +0100
Régis Grison <regis@grison.org> a écrit:
Si quelqu'un a les IP de ces machines, ça serait pas possible de faire
un rapport à leur provider pour qu'il prévienne les propriétaires ? Je
pense qu'un certain nombre ignorent ce qui se passe. Pour les autres, il
reste l'abuse.
J'ai, il y a 600 machines, je vais essayer d'automatiser la chose... (avec 600
ce serait souhaitable :))
François Boisson
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le Mon, 01 Dec 2008 17:26:57 +0100 Régis Grison a écrit:
Si quelqu'un a les IP de ces machines, ça serait pas possible de faire un rapport à leur provider pour qu'il prévienne les propriétaires ? Je pense qu'un certain nombre ignorent ce qui se passe. Pour les autres, il reste l'abuse.
J'ai, il y a 600 machines, je vais essayer d'automatiser la chose... (avec 600 ce serait souhaitable :))
François Boisson
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
François Boisson
Le Mon, 1 Dec 2008 18:39:32 +0100 Sylvain Sauvage a écrit:
Peut-être déjà, les grouper par FAI ? d’autant que plusieurs IP peuvent correspondre à une seule machine (vu le temps entre les tentatives).
Bon courage…
Voilà, à chacun des 128 domaines moins les 15 gérés par des abrutis qui utilisent des listes noires à la c.. me considèrant comme un spammeur, j'ai envoyé un mail avec les machines concernées (souvent guère plus de 3-4 d'ailleurs) en ne conservant que celles dont j'avais encore les heures et dates des tentatives. Mon serveur de courrier bosse dessus. Ce message arrivera après donc.
J'ignore si cela sera utile mais ça a été amusant à faire...
François Boisson
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Le Mon, 1 Dec 2008 18:39:32 +0100
Sylvain Sauvage <Sylvain.Sauvage@metanoesis.net> a écrit:
Peut-être déjà, les grouper par FAI ? d’autant que plusieurs
IP peuvent correspondre à une seule machine (vu le temps entre
les tentatives).
Bon courage…
Voilà, à chacun des 128 domaines moins les 15 gérés par des abrutis qui
utilisent des listes noires à la c.. me considèrant comme un spammeur,
j'ai envoyé un mail avec les machines concernées (souvent guère plus de 3-4
d'ailleurs) en ne conservant que celles dont j'avais encore les heures et
dates des tentatives. Mon serveur de courrier bosse dessus. Ce message
arrivera après donc.
J'ignore si cela sera utile mais ça a été amusant à faire...
François Boisson
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le Mon, 1 Dec 2008 18:39:32 +0100 Sylvain Sauvage a écrit:
Peut-être déjà, les grouper par FAI ? d’autant que plusieurs IP peuvent correspondre à une seule machine (vu le temps entre les tentatives).
Bon courage…
Voilà, à chacun des 128 domaines moins les 15 gérés par des abrutis qui utilisent des listes noires à la c.. me considèrant comme un spammeur, j'ai envoyé un mail avec les machines concernées (souvent guère plus de 3-4 d'ailleurs) en ne conservant que celles dont j'avais encore les heures et dates des tentatives. Mon serveur de courrier bosse dessus. Ce message arrivera après donc.
J'ignore si cela sera utile mais ça a été amusant à faire...
François Boisson
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
François Boisson
> Voilà, à chacun des 128 domaines moins les 15 gérés par des abrutis qui utilisent des listes noires à la c.. me considèrant comme un spammeur, j'ai envoyé un mail avec les machines concernées (souvent guère plus de 3-4 d'ailleurs) en ne conservant que celles dont j'avais encore les heures et dates des tentatives. Mon serveur de courrier bosse dessus. Ce message arrivera après donc.
J'ignore si cela sera utile mais ça a été amusant à faire...
Bon, *c'est* utile. J'ai reçu deux mails de remerciements dès ce matin, un pour dire que le pbm avait déjà été perçu, un autre pour dire qu'ils allaient s'occuper du problème. Beaucoup de réponses automatiques sinon et qques messages type «go f..k!» montrant que les gars s'en moquent.
F.B
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
>
Voilà, à chacun des 128 domaines moins les 15 gérés par des abrutis qui
utilisent des listes noires à la c.. me considèrant comme un spammeur,
j'ai envoyé un mail avec les machines concernées (souvent guère plus de 3-4
d'ailleurs) en ne conservant que celles dont j'avais encore les heures et
dates des tentatives. Mon serveur de courrier bosse dessus. Ce message
arrivera après donc.
J'ignore si cela sera utile mais ça a été amusant à faire...
Bon, *c'est* utile. J'ai reçu deux mails de remerciements dès ce matin, un
pour dire que le pbm avait déjà été perçu, un autre pour dire qu'ils allaient
s'occuper du problème. Beaucoup de réponses automatiques sinon et qques
messages type «go f..k!» montrant que les gars s'en moquent.
F.B
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> Voilà, à chacun des 128 domaines moins les 15 gérés par des abrutis qui utilisent des listes noires à la c.. me considèrant comme un spammeur, j'ai envoyé un mail avec les machines concernées (souvent guère plus de 3-4 d'ailleurs) en ne conservant que celles dont j'avais encore les heures et dates des tentatives. Mon serveur de courrier bosse dessus. Ce message arrivera après donc.
J'ignore si cela sera utile mais ça a été amusant à faire...
Bon, *c'est* utile. J'ai reçu deux mails de remerciements dès ce matin, un pour dire que le pbm avait déjà été perçu, un autre pour dire qu'ils allaient s'occuper du problème. Beaucoup de réponses automatiques sinon et qques messages type «go f..k!» montrant que les gars s'en moquent.
F.B
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Daniel Caillibaud
François Boisson a écrit :
Voilà, à chacun des 128 domaines moins les 15 gérés par des abrutis qui utilisent des listes noires à la c.. me considèrant comme un spammeur, j'ai envoyé un mail avec les machines concernées (souvent guère plus de 3-4 d'ailleurs) en ne conservant que celles dont j'avais encore les heures et dates des tentatives.
Tu as un script partageable pour faire ça (récup des ips, du fai concerné et mail avec les lignes de logs) ?
J'utilise
LANG=en DATEEN=$(date --date '1 days ago' '+%Y-%m-%d') sed -ne "/$DATEEN/"' s/.*[([a-z-]+)] Ban ([0-9.]*)$/1 2/p' < /var/log/fail2ban.log |awk ' {ips[$1" "$2]++} END { for (ip in ips) { print "echo "" ips[ip] "t" ip "t$(host $(expr match "" ip "" "[a-z]* ([0-9.]*)"))""; } }'|sort -r -k 1|sh
qui me sort une liste du genre
10 dovecot-auth 71.120.94.55 static-71-120-94-55.frstil.dsl-w.verizon.net. 4 ssh 80.87.64.115 115.64.87.80.in-addr.arpa domain name pointer nms.ghanatel.com.gh. 1 ssh 93.62.0.122 122.0.62.93.in-addr.arpa domain name pointer 93-62-0-122.ip20.fastwebnet.it. 1 ssh 85.183.246.35 Host 35.246.183.85.in-addr.arpa. not found: 3(NXDOMAIN)
mais je ne pensais pas qu'envoyer les lignes de logs à abuse servait à grand chose.
Tu fais un whois sur l'ip pour récupérer les mails ?
Le pb est que ça récupère parfois des emails @ripe.net, qui ne servent pas à grand chose. Et un host sur l'ip ne remonte pas toujours un fqdn.
J'ai regardé ce que donnait
while read ip do echo -e "n$ip :" whois $ip |awk '/e-mail:/ {print $2}'|sort -u done < ip_penibles.list
mais j'ai des mails @ripe et pas mal de non-réponse.
Je suppose que tu as automatisé la chose un peu mieux...
-- Daniel
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
François Boisson a écrit :
Voilà, à chacun des 128 domaines moins les 15 gérés par des abrutis qui
utilisent des listes noires à la c.. me considèrant comme un spammeur,
j'ai envoyé un mail avec les machines concernées (souvent guère plus de 3-4
d'ailleurs) en ne conservant que celles dont j'avais encore les heures et
dates des tentatives.
Tu as un script partageable pour faire ça (récup des ips, du fai concerné et mail abuse@fai avec les lignes de logs) ?
J'utilise
LANG=en
DATEEN=$(date --date '1 days ago' '+%Y-%m-%d')
sed -ne "/$DATEEN/"' s/.*[([a-z-]+)] Ban ([0-9.]*)$/1 2/p' < /var/log/fail2ban.log |awk '
{ips[$1" "$2]++}
END {
for (ip in ips) {
print "echo "" ips[ip] "t" ip "t$(host $(expr match "" ip "" "[a-z]* ([0-9.]*)"))"";
}
}'|sort -r -k 1|sh
qui me sort une liste du genre
10 dovecot-auth 71.120.94.55 static-71-120-94-55.frstil.dsl-w.verizon.net.
4 ssh 80.87.64.115 115.64.87.80.in-addr.arpa domain name pointer nms.ghanatel.com.gh.
1 ssh 93.62.0.122 122.0.62.93.in-addr.arpa domain name pointer 93-62-0-122.ip20.fastwebnet.it.
1 ssh 85.183.246.35 Host 35.246.183.85.in-addr.arpa. not found: 3(NXDOMAIN)
mais je ne pensais pas qu'envoyer les lignes de logs à abuse servait à grand chose.
Tu fais un whois sur l'ip pour récupérer les mails ?
Le pb est que ça récupère parfois des emails @ripe.net, qui ne servent pas à grand chose.
Et un host sur l'ip ne remonte pas toujours un fqdn.
J'ai regardé ce que donnait
while read ip
do
echo -e "n$ip :"
whois $ip |awk '/e-mail:/ {print $2}'|sort -u
done < ip_penibles.list
mais j'ai des mails @ripe et pas mal de non-réponse.
Je suppose que tu as automatisé la chose un peu mieux...
--
Daniel
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Voilà, à chacun des 128 domaines moins les 15 gérés par des abrutis qui utilisent des listes noires à la c.. me considèrant comme un spammeur, j'ai envoyé un mail avec les machines concernées (souvent guère plus de 3-4 d'ailleurs) en ne conservant que celles dont j'avais encore les heures et dates des tentatives.
Tu as un script partageable pour faire ça (récup des ips, du fai concerné et mail avec les lignes de logs) ?
J'utilise
LANG=en DATEEN=$(date --date '1 days ago' '+%Y-%m-%d') sed -ne "/$DATEEN/"' s/.*[([a-z-]+)] Ban ([0-9.]*)$/1 2/p' < /var/log/fail2ban.log |awk ' {ips[$1" "$2]++} END { for (ip in ips) { print "echo "" ips[ip] "t" ip "t$(host $(expr match "" ip "" "[a-z]* ([0-9.]*)"))""; } }'|sort -r -k 1|sh
qui me sort une liste du genre
10 dovecot-auth 71.120.94.55 static-71-120-94-55.frstil.dsl-w.verizon.net. 4 ssh 80.87.64.115 115.64.87.80.in-addr.arpa domain name pointer nms.ghanatel.com.gh. 1 ssh 93.62.0.122 122.0.62.93.in-addr.arpa domain name pointer 93-62-0-122.ip20.fastwebnet.it. 1 ssh 85.183.246.35 Host 35.246.183.85.in-addr.arpa. not found: 3(NXDOMAIN)
mais je ne pensais pas qu'envoyer les lignes de logs à abuse servait à grand chose.
Tu fais un whois sur l'ip pour récupérer les mails ?
Le pb est que ça récupère parfois des emails @ripe.net, qui ne servent pas à grand chose. Et un host sur l'ip ne remonte pas toujours un fqdn.
J'ai regardé ce que donnait
while read ip do echo -e "n$ip :" whois $ip |awk '/e-mail:/ {print $2}'|sort -u done < ip_penibles.list
mais j'ai des mails @ripe et pas mal de non-réponse.
Je suppose que tu as automatisé la chose un peu mieux...
-- Daniel
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
