Protection DDos et ban de masse

5 mars 2011 par Gaëtan 3 commentaires »

Plop …
J’ai eu droit à ma première intervention sur serveur DDosé, au départ 2/3 machines qui envoyaient des paquets SYN en boucle sur un serveur minecraft (écrit en java donc avec 200 SYN/sec le serveur tombe), et à la fin c’est environ 150 machines qui se sont relayés pour Dosé.

La plupart du temps lorsque l’on recherche des protections DDos on trouve des sites qui recommandent de mettre direct un limit sur un port sans tenir compte de la source … ce qui peut se révéler utile sur des petits serveurs, mais pas lorsque l’on tourne à plusieurs centaines de connexion seconde.

» En lire plus:Protection DDos et ban de masse

3 commentaires »

Posté dans Administration, Sécurité, Système

Tags:

Petit serveur d’adresse mail de diffusion

5 mars 2011 par Gaëtan Pas de commentaires »

Plop à tous … encore un truc useless à partager.

J’ai récemment dû intervenir dans une entreprise qui avait un serveur de mail qui ne supportait pas les listes de diffusion (service de base fournit par yahoo en fait, donc à part forwarder des mails sur une adresse, il est pas possible de faire grand chose).

Ne voulant pas perdre trop de temps à mettre en place des systèmes du genre mailman ou autre, pour créer une vingtaine d’alias pour deux adresses mails (style support@mondomaine.fr qui envoit un mail pour toute la team de support), j’ai décidé de coder un serveur de mail qui ne répondrait qu’à certaines adresses et renverrait le mail sur les adresses configurées pour cette adresse de diffusion.

Ecrire ce genre de truc en python est encore plus rapide que de chercher l’équivalent sur google ;) d’où ma démarche.
» En lire plus:Petit serveur d’adresse mail de diffusion

Pas de commentaires »

Posté dans Programmation

Tags:

[OSSEC et SSH]Bannissement ip définitif de cracker

19 février 2011 par Gaëtan 3 commentaires »

plop,

today du ban au menu, à la base j’utilise au minimum fail2ban pour me protéger des attaques par bruteforce et ossec pour une protection plus personnalisée, mais depuis peu, j’ai remarqué que bannir un host 5/10 minutes ne servait à rien contre des machines automatisées dédiée à cette tâche, et une fois la période de ban terminée recommençaient leur manège, me polluant de mails me signalant une tentative de bruteforce.
» En lire plus:[OSSEC et SSH]Bannissement ip définitif de cracker

3 commentaires »

Posté dans Administration, Sécurité, Système

Tags:

Configuration de processus apache au poil …

5 février 2011 par Gaëtan 4 commentaires »

salut à tous …

Aujourd’hui on va parler configuration de processus apache … J’ai eu l’occasion en 3-4 jours de connaitre des problèmes sur plusieurs serveurs différents liée à une surconsommation de mémoire due à apache et à sa gestion des processus faisant littéralement planter mon blog (ça swap mal un RPS! donc 2 crash de la machine en 24 heures … avec les nouveaux prix des serveurs dédiés de chez online.net … je risque probablement de migrer prochainement ;) ).

» En lire plus:Configuration de processus apache au poil …

4 commentaires »

Posté dans Administration, Système

Tags:

WXen administration simplifiée de machine Xen

1 février 2011 par Gaëtan 3 commentaires »

Plop à vous,

Aujourd’hui, je vous présente, un rapide script/web qui permet d’administrer (en fait : démarrer, arreter, susprendre et reprendre), vos machines Xen via une interface web en cgi-bin (un script sh histoire de faire Geek … avec plein de commandes loufoques comme à mon habitude ^^ : du sed, du awk, du grep, …).
» En lire plus:WXen administration simplifiée de machine Xen

3 commentaires »

Posté dans Administration, Système

Tags:

Telecharger sur MU via bash

12 décembre 2010 par Gaëtan 5 commentaires »

plop à tous …

J’ai découvert aujourd’hui que megaupload avait supprimé son système de captcha, mais forçant le temps d’attente du dl à 45 secondes et à un seul dl en « parallele ».
Sachant que ma ligne internet fournit par Orange limite mes connexions chez MU à 30ko/s, j’ai voulu faire un script bash qui automatise le téléchargement pour mon sympatique serveur dédié chez OVH (qui dl à 8mo/s ^^).
» En lire plus:Telecharger sur MU via bash

5 commentaires »

Posté dans Système

Tags:

Cracking de WPA/PSK (Pyrit/CowPatty)

21 novembre 2010 par Gaëtan 4 commentaires »

plop à tous …

Vous êtes seul responsable de vos actes sur internet, et veillez à toujours avoir les autorisations nécessaire pour pénétrer un réseau (autorisation écrite).

J’ai eu récemment à auditer les réseaux wifi d’une entreprise suite à des problèmes wifi inconnus (oui ça met en confiance ^^) … Certes, les articles de cracking wpa sont légions sur internet, mais mon approche étant un peu différente de la normal (une commande de kikoolol s’est cachée dans cet article ;) ), j’ai pensé utile de relater mon expérience ici.
» En lire plus:Cracking de WPA/PSK (Pyrit/CowPatty)

4 commentaires »

Posté dans Sécurité

Tags:

Lire des vidéos en webm sur youtube

12 novembre 2010 par Gaëtan Pas de commentaires »

Plop à tous …

Je ne sais pas si vous avez essayé de passer au html5 (histoire de se débarrasser de flash) sur des sites comme dailymotion et youtube, mais pour ma part, je n’avais jamais réussi à lire des vidéos en webm avec Chromium et Chrome (seule les h.264 fonctionnaient).

ça vient en fait du plugins « VLC Multimedia Plugin » qui supporte webm et tente de faire quelque chose (je ne sais pas quoi), bloquant le chargement de la vidéo dans le navigateur.

Pour permettre la lecture des vidéos, allez dans l’onglet des plugins, et cliquez sur « Disable » après la ligne VLC …

Cette manipulation peut être effectuée sur Chromium, Chrome, mais apparement aussi sur firefox qui semble aussi touché par ce problème.

Pas de commentaires »

Posté dans Non classé

Tags:

OpenVPN et authentification par CA, Login et mot de passe

7 novembre 2010 par Gaëtan Pas de commentaires »

plop à tous.

Aujourd’hui, un rapide tuto, sur la mise en place d’une authentification via le module PAM sur votre OpenVPN.

ATTENTION, comme on passe par une authentification par login/mot de passe, la sécurité est moins élevée qu’un système d’authentification par certificat serveur et client, néanmoins, il faut encore le certificat serveur, donc on peut considérer que le niveau de sécurité est encore pas mal élevé.

On va partir de l’idée que vous avez suivi ce tuto pour installer votre serveur VPN, et que donc votre config serveur ressemble à celle-là :

  1. port 1194
  2. proto udp
  3. ;proto tcp
  4. ;dev tun
  5. dev tap
  6.  
  7. ca /etc/openvpn/keys/ca.crt
  8. cert /etc/openvpn/keys/$server.crt
  9. key /etc/openvpn/keys/$server.key
  10. dh /etc/openvpn/keys/dh1024.pem
  11.  
  12. server 10.8.0.0 255.255.255.0
  13. ifconfig-pool-persist /etc/openvpn/ipp.txt
  14.  
  15. push "redirect-gateway"
  16.  
  17. push "dhcp-option DNS $SERVER_DNS1"
  18. push "dhcp-option DNS $SERVER_DNS2"
  19.  
  20. comp-lzo
  21. keepalive 10 120
  22.  
  23. log        /var/log/openvpn.log
  24. log-append /var/log/openvpn.log
  25. status /var/log/openvpn-status.log
  26.  
  27. verb 3

il vous suffit alors de rajouter ces 3 lignes à la fin du fichier :

  1. client-cert-not-required
  2. username-as-common-name
  3. plugin /usr/lib/openvpn/openvpn-auth-pam.so common-auth

Et redémarrez le serveur.
Il sera alors possible d’utiliser comme identifiant les utilisateurs du système sur lequel est installé le VPN.

Pour qu’un utilisateur puisse se connecter en VPN, sans qu’il soit autorisé à se connecter au sytème, il suffit de déclarer son shell comme /bin/false.

  1. useradd -s /bin/false monUtilisateur
  2. sudo passwd monUtilisateur

Le passwd est nécessaire sous certain système linux, car en passant par l’option useradd -p monmotdepasse, le mot de passe est enregistré en clair, alors que le système utilise un chiffrement, rendant l’utilisation du mot de passe impossible.

Il est ensuite possible de se connecter via le NetworkManager via login/mdp et CA :

.

Pour ceux voulant utiliser un ldap pour automatiser la création d’un compte, il suffit de configurer le module pam pour utiliser votre ldap.

Pas de commentaires »

Posté dans Administration

Tags:

Utiliser Google Voice en France (en réception seulement)

30 septembre 2010 par Gaëtan 2 commentaires »

plop à tous …

Aujourd’hui, une technique assez crade , mais fonctionnelle pour utiliser le service Google Voice (dans un certain sens seulement : recevoir des appels, pour l’émission d’appel, vous pouvez passer par Google Talk, ça coûte 0.02cts pour les appels en France).

» En lire plus:Utiliser Google Voice en France (en réception seulement)

2 commentaires »

Posté dans Google

Tags: