Le script kiddie de la mort qui tue, le retour

Avant toute chose je tenais particulièrement à remercier toute l’équipe sécurité de 1and1 pour leur inactivité et leur formidable esprit de non communication, ça fait plaisir de se sentir épauler par des professionnels.

Ne voyant toujours rien venir de la part de 1and1, je n’attendais pas qu’ils me disent comment résoudre mon problème, n’étant pas leur client cela se comprend, mais seulement un message m’expliquant qu’ils avaient trouvés un truc bizarre et qu’ils travaillaient dessus. J’ai donc pris le taureau par les cornes et installé un IDS. J’aurai pu le faire avant et comme dit le proverbe : “les cordonniers sont toujours les plus mal chaussés”. La flemme, le manque de temps, d’envie et l’expression trop souvent répété “bah un petit serveur somme le mien personne ne s’y intéressera” auront eu raison de me jeter un “Bien fait toi !”. Qu’à cela ne tienne j‘étais décidé à en découdre.

J’ai souhaité installer snort inline, mais le projet a été abandonné et puis en y réfléchissant je n’avais pas forcément besoin de surveiller tout le réseau, tout du moins dans l’immédiat. Après vérification seul mon serveur de courriel était touché. J’ai donc installé ossec un HIDS, qui a la particularité de répondre aux attaques avec un bannissement par iptables par exemple. Merci à Hardware qui m’a parlé de Ossec, et m’a aidé sur les règles.

Je n’ai pas installé la version wheezy trop vieille. Et puis honnêtement l’installation depuis les sources est tellement facile, pourquoi se priver de la dernière version? Pour les télécharger rendez-vous à cette adresse :

http://www.ossec.net/?page_id=19

A l’heure ou j’écris ses lignes la dernière version stable est la 2.8.1.

#wget http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz
#tar zxvf ossec-hids-2.8.1.tar.gz
#cd ossec-hids-2.8
#./install.sh

Il suffit de se laisser porter par l’installer qui est très bien fait. J’ai fait une installation en local, pour le moment, l’installation définitive se fera avec l’arrivée de mon nouveau serveur très prochainement. Avant de démarrer le service j’ai modifié un petit peu la configuration de base. Le fichier se trouve dans /var/ossec/etc/ossec.conf par défaut.

# L'envoi d'un courriel se fera lorsqu'une alerte à partir du niveau 5 sera détectée. Par défaut le niveau est à 7
 <alerts>
    <log_alert_level>1</log_alert_level>
    <email_alert_level>5</email_alert_level>
  </alerts>

#Ajout d'une commande spécifie pour l'attaque me concernant, chaque ip détectée sera bannie pour toujours par iptables.

 <command>
    <name>firewall-drop-always</name>
    <executable>firewall-drop.sh</executable>
    <expect>srcip</expect>
    <timeout_allowed>no</timeout_allowed>
  </command>

#Chaque hôte et ip activant la règle 3332 seront bannis définitivement 
<active-response>
    <command>firewall-drop-always</command>
    <location>local</location>
    <rules_id>3332</rules_id>
  </active-response>

#pour valider on démarre ossec
#service ossec start
Starting OSSEC HIDS v2.8 (by Trend Micro Inc.)...
Started ossec-maild...
Started ossec-execd...
Started ossec-analysisd...
Started ossec-logcollector...
Started ossec-syscheckd...
Started ossec-monitord...
Completed.

Au bout de quelques heures de fonctionnement les premières adresses commencent à apparaître en état DROP dans iptables.

ban_iptables

Oups, je n’ai supprimé l’adresse de 1and1 Germany :)

Cette solution est plutôt radicale, mais elle demeurera jusqu’à ce que les choses se calme du côté des kiddies. Je laisserai donc le mot de la fin à notre cher Raoul Volfoni :

Vus : 725
Publié par Olivier Delort : 73