Mot-clé - sécurité

Fil des billets - Fil des commentaires

lundi 27 juin 2016

[MAJ] Fail2ban ne donne pas les lignes correspondantes à une détection

Après avoir appliqué ce que j'ai expliqué dans ce billet, j'ai reçu des mails signalant le bannissement de certaines IP suite à la détection de tentatives d'injection SQL.

Problème : juste en dessous de Lines containing IP: <le méchant> in /var/log/nginx/*.access.log, il n'y avait rien.

Je suis allé voir le fichier /etc/fail2ban/action.d/sendmail-whois-lines.conf et l'expression régulière présente ne fonctionne pas avec mes logs.

Version initiale:

[bash]
`grep '[^0-9]<ip>[^0-9]' <logpath>`

Je l'ai remplacée par:

[bash]
`egrep '[^0-9]?<ip>([^0-9]|$)' <logpath>`

Maintenant, ça fonctionne. Ceci est dû aux types de fichiers logs que j'utilise pour nginx et dont le premier élément de la ligne est l'adresse IP.

MAJ : Problème de dates

Il arrive parfois que fail2ban envoie des mails à une date erronée (comme 01/01/1970). Pour corriger ça, il faut éditer le fichier /etc/default/fail2ban et ajouter les lignes suivantes:

[conf]
LC_ALL=C
LANG=C

samedi 25 juin 2016

fail2ban pour lutter contre les injections SQL

Si vous ne connaissez pas fail2ban, c'est un excellent utilitaire pour protéger vos serveurs des différentes attaques.

Il fonctionne à partir de filtres (des expressions régulières) qui sont appliqués aux fichiers logs et appliquer des sanctions aux petits malins qui tenteraient d'exploiter des failles.

Il existe beaucoup de filtres officiels contre les attaques les plus courantes, mais pas contre les tentatives d'injections SQL. Heureusement, TrogloGeek a créé un filtre, que j'ai un peu modifié pour le rendre plus fonctionnel et utilisable avec Apache et Nginx

# Fail2Ban configuration file
#
# Author: TrogloGeek (Damien VERON)
#
# $Revision: 1 $
#
 
[Definition]
sqlfragments_generic = select.*from|delete.*from|update.*set|insert.*into|replace.*(value|set)
sqlfragments_havij = and(\+|%%20)ascii%%28substring|and(\+|%%20)Length|union(\+|%%20)all(\+|%%20)select|and(\+|%%20)1%%3C1|and(\+|%%20)1%%3D1|and(\+|%%20)1%%3E1|and(\+|%%20)%%27.%%27%%3D%%27|%%2F\*%%21[0-9]+((\+|%%20)[0-9]*)?\*%%2F
 
# Option:  failregex
# Notes.:  Regex to try to detect SQL injection trials
# Values:  TEXT
#
failregex = (?i)<HOST> -.*"(GET|POST).*(?:%(sqlfragments_generic)s|%(sqlfragments_havij)s)[^"]*HTTP[^"]*".*
 
# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =

Dans la partie Definition, vous trouvez les bouts de SQL les plus communs utilisés pour une tentative d'injection, séparés en deux parties: les génériques (requêtes de bases) et ceux qui sont clairement des signatures de tentatives de hack.

L'expression régulière est plus ou moins celle de base pour les logs apache et nginx, notez tout de même la présence de (?i) au début qui la rend insensible à la casse.

samedi 5 mars 2016

Caméra de surveillance avec Raspberry Pi

Suite à l'excellent billet de François Mocq "Une caméra de surveillance vidéo avec le Raspberry Pi", j'ai essayé de me faire mon propre système.

Ca marche, et c'est fort simple.

Lire la suite...

mardi 5 janvier 2016

Danger avec Tapatalk : perdez votre anonymat

Vous ne connaissez peut-être pas l'application Tapatalk, elle permet d'accèder à des forums et des blogs sur mobiles (et tablettes) si les webmasters ont installé le bon plugin. Elle a l'énorme avantage d'utiliser sa propre interface, donc indépendante du style du site et par conséquent de sa compatibilité avec votre écran.

Jusqu'ici, tout va bien... Sauf qu'il y a eu une mise à jour...

Lire la suite...

vendredi 19 juin 2015

Apple : plusieurs failles dans le trousseau de mots de passe iOS et OSX

Pour faire suite à ce précédent billet, voici ce que j'apprends aujourd'hui:

Des chercheurs en sécurité informatique ont réussi à exploiter une faille dans le gestionnaire de mots de passe d’Apple grâce à une application contenant un code malveillant, et validée par l’App Store. Cette faille permet de récupérer notamment les mots de passe.

Lire la suite...

mercredi 10 juin 2015

Une faille dans Apple Mail permet de voler des identifiants iCloud

Le client de messagerie sur iOS permet de recevoir des emails dont le contenu se modifie après chargement. Un chercheur en sécurité s’est appuyé sur ce bug pour imaginer une attaque de phishing sur iCloud. (via 01net.)

Lire la suite...

vendredi 27 avril 2012

Cryptage réversible en java

Mon cryptage réversible a fait des émules ! Ophanin a fait une version java du système et vous la livre.

A priori complètement compatible avec la version PHP, peut-être un souci sur le décodage mais je suis certain que ce sera vite corrigé.

RevCrypt java

mardi 31 janvier 2012

Sauvegarder Putty

Si vous utilisez putty, vous avez peut-être envie de sauvegarder ses réglages pour ne pas avoir à reconfigurer tous les serveurs en cas de réinstallation.
C'est heureusement très simple à faire, il vous suffit d'exporter une partie de la base de registre de Windows.

Exportation

  • Ouvrez la base de registre (Démarrez > Exécuter > regedit)
  • Recherchez la clé SimonTatham (habituellement le chemin est HKEY_CURRENT_USER\Software\SimonTatham)
  • Faites un clic-droit sur la clé et choisissez l'option Exporter
  • Enregistrez le fichier .reg

Ce fichier (appelons le putty.reg) est votre sauvegarde.

Importation

Pour retrouver votre configuration, il vous suffit de faire un clic-droit sur putty.reg et de choisir "Fusionner", vous avez retrouvé votre configuration initiale.

mercredi 29 décembre 2010

Authentification SSH par clé RSA

Lorsque l'on doit fréquemment accéder par SSH à une machine, il est fastidieux de chaque fois devoir taper son mot de passe. Il existe heureusement une méthode permettant d'avoir une connexion automatique et sécurisée, utilisable pour tout ce qui est habituellement fait à travers le SSH (connexion en console, sftp ou même scp), il s'agit des clés RSA.

Lire la suite...

vendredi 10 décembre 2010

Attention à la fausse mise à jour de firefox

Depuis peu de temps, des sites (http: // supportfirefox .perl .sh, http: // firefoxcenter .perl .sh) vous conseille de mettre à jour votre firefox et vous propose le téléchargement de firefox-update.exe.

Ne le téléchargez pas !

Et n'hésitez pas à bloquer l'accès à http://*.perl.sh dans vos navigateurs.

- page 1 de 2