Présentation et installation de Maltrail
Système de détection de trafic réseau malicieux.
Maltrail est un système de détection de trafic réseau malicieux qui utilise des listes noires publiques, des schémas connus ou remontés par les éditeurs d'antivirus qui permettent de traquer les noms de domaine, les URL ou les adresses IP utilisées pour envoyer des malwareq et mener des attaques. Il vous permettra de détecter tout ce qui se passe d'étrange au niveau de votre serveur
Maltrail est codé en python donc il vous faudra python mais aussi pcapy et schedtool :
yum install pcapy ou apt-get install python-pcapy
Il vous faudra aussi Schedtool (pour sous centos 7) :
wget http://packages.psychotic.ninja/7/base/x86_64/RPMS/schedtool-1.3.0-12.el7.psychotic.x86_64.rpm rpm -ivh schedtool-1.3.0-12.el7.psychotic.x86_64.rpm
Récupération de Maltrail :
cd /data git clone https://github.com/stamparm/maltrail.git cd maltrail
Lancer la sonde :
python sensor.py & ... [Entrée]]
Le &, pour lancer en tache de fond et récupérer la main.
Lancer l'interface :
python server.py & ... [[Entrée]]
Activer le Promiscuous mode sur votre carte réseau (si vous vouez analyser tous les flux même ceux qui ne sont pas pour vous) :
ifconfig eth0 promisc
Ouvrir le port choisit dans iptables :
# iptables -I INPUT -p tcp -m tcp --dport 8338 -j ACCEPT # iptables -I OUTPUT -p tcp -m tcp --sport 8338 -j ACCEPT
Si vous voulez changer le port, éditez :
/data/maltrail/maltrail.conf
Login et mot de passe par défaut (à changer biensur)
login: admin password : changeme!
Changer le mot de passe :
echo -n 'votremotdepasse' | sha256sum | cut -d " " -f 1
Documentation :
