Floodmon est un petit daemon pour surveiller, alerter et mitiger les attaques SYN flood. Son but principal est de permettre à un serveur de continuer à accepter les connexions légitimes (HTTP, POP3 etc) malgré l'attaque en cours. Il dispose d'un système de défense à la fois passif et actif s'adaptant automatiquement à l'ampleur du flood.
spamMonitor est un programme qui vous permet de détecter si votre ordinateur envoie des spams, notamment dans le cas où celui-ci serait infecté par un virus/rootkit. Il vous alerte lorsqu'un logiciel tente d'envoyer un email ou d'établir une connexion SMTP sortante depuis votre PC et vous donne toutes les informations relatives à ce programme. Entièrement écrit en langage machine/assembleur, il est rapide, compact (seulement 20 Ko) et très peu gourmand en ressources système. Il est gratuit, distribué sous licence GPL et son code source est aussi disponible en téléchargement.
Killcx est un petit script Perl qui permet de fermer toute connexion TCP en cours sous Linux et ce, quel que soit sont état (semi-ouverte, établie, en attente ou en cours de fermeture).
Les services abuse des hébergeurs étaient constamment débordés de travail (du moins on le suppose puisqu'ils ne répondent jamais). Mais les spammeurs ont sérieusement décidé de les soulager sur ce point.
Ils s'amusent à polluer les logs de nos serveurs pour se faire de la pub gratuite. Comme ils aiment manger notre bande passante, nous allons manger la leur.
Ils sont bêtes et méchants, ils ont faim et adorent dévorer les pages HTML remplies d'adresses emails: faisons-leur plaisir et donnons-leur ce qu'ils aiment.
De nombreux webmasters ne souhaitent pas protéger leurs blogs avec des CAPTCHA ou services de filtrages externalisés afin de ne pas pénaliser leurs visiteurs. Cependant, il est toujours possible de se protéger des spams de commentaires avec quelques astuces très simples en JavaScript utilisées pour faire la différence entre un robot et un humain, mais aussi de pousser les éventuels spammeurs à se piéger eux-mêmes en les renvoyant sans peine sur un formulaire spécifiquement conçu pour les blacklister ou les renvoyer ailleurs, et bien entendu, en toute transparence pour les visiteurs.
Plesk, Webmin, serveur FTP etc, il ne se passe jamais quelques mois sans qu'une de ces applications vitales pour l'administration d'un serveur à distance ne soit la proie d'une vulnérabilité. D'autant que les hackers en manque de reconnaissance en sont toujours informés avant nous. Avec le port knocking, les futures vulnérabilités de ces applications ne seront vraiment plus un problème pour nous.
Les mises à jour, notamment celles qui concernent la sécurité, doivent être installées le plus vite possible. Une simple tâche cron lançant tous les matins le script ci-dessous peut se charger de vous informer par email d'éventuelles mises à jour disponibles pour votre serveur.
Créer une clé USB bootable avec une mini version de Linux et l'utiliser pour restaurer son système (MBR etc) est un détail que l'on a trop tendance à oublier quand tout va bien. Mais comme tout ne va pas toujours bien, il vaut mieux prévenir que guérir.
Après avoir transformé sa clé USB en couteau-suisse en utilisant à peine 100Mo, nous pouvons aussi transformer tout le reste de l'espace disque disponible en Fort Knox. Depuis le kernel 2.6 on peut tout encrypter sous Linux sans aucun logiciel grace à dm-crypt. Une clé USB étant si vite perdue (ainsi que toutes les données personelles qu'elle contient), il serait dommage de s'en priver.
Est-ce que "w00tw00t.at.ISC.SANS.DFind:)" vous rappelle quelque chose ? Si vous administrez un serveur, vous avez probablement déjà rencontré "ça" dans vos logs, ou peut-être en avez-vous même fait des cauchemars en tentant, en vain, de vous en débarrasser ?
Toujours dans notre "croisade anti-w00tw00t", nous allons voir comment utiliser les modules Recent et TCP d'iptables pour finaliser notre règle afin non plus de filtrer tous les paquets entrants mais uniquement celui qui nous intéresse.
iptables et mod_security sont deux applications très utiles pour protéger un serveur mais malheureusement ne peuvent pas communiquer ensembles, mod_security étant un module d'apache il hérite bien entendu des privilèges de celui-ci. Il est cependant très facile de pallier à ce problème avec un simple petit client/serveur en Perl.
ModSecurity est un module souvent utilisé uniquement pour filtrer/rejeter des chaînes de caractères. Nous allons voir qu'il est capable de faire bien plus que cela, notamment de pouvoir bloquer des floods HTTP d'une manière plus efficace que des modules comme mod_evasive.
Lorsqu'on visualise les règles iptables depuis un terminal, il n'est pas toujours facile de se souvenir de leur signification. Heureusement, un module permet de pouvoir y ajouter des commentaires.
English