Nouvelle version de Prewikka sur debian testing

Plop à tous …

ça fait déjà depuis quelques temps que la version 1.0 de prewikka (le frontend python de l’IDS prelude) est présente dans les dépôts de testing, mais comme je viens seulement de faire la mise à jour … ^^. (Au passage, prelude a aussi été mise à jour 😉 et OSSEC est passé en 2.4 le mois dernier … il était donc temps de mettre à jour l’architecture de mon système de sécurité).

Et oui les loupzeurs, la seule espèce de geek au monde à déployer un HIDS, un PKI, un IPS, un système de portknocking et un VPN pour les accès public pour sécuriser un blog visité par 110 personnes par jour !!!!!!! (lol je blague … en fait le PKI n’est pas encore en place xD).

Bref, pourquoi s’intéresser à la version 1.0.0 de prewikka ? Un truc tout bête qui existait sur pas mal d’autres outils, l’affichage de statistiques sur les attaques répertoriées par le prelude-manager (le « centralisateur » des données que peuvent lui envoyer OSSEC-agent, prelude-lml et plein d’autres (h|n)IDS/IPS ou système de logs). Et les statistiques avec plein de couleur et tout et tout, ça fait toujours classe.

Et donc voilà la tête de quelques stats pas forcément utiles (surtout dans mon cas) :

Les adresses focus pour les attaques … (genre on attaque mon NS … mon ‘dnstunnel’ n’est pas là ;))

Les sources d’attaques, en mettant à jour certaine règles, d’autres types d’erreurs sont désormais loggés d’où les pics d’attaques à la fin. (On remarque un petit rigolo attaquant 24h/24h mon serveur ^^).

Le plus important : les types d’attaques, on remarque un login session closed et opened qui prennent à eux seul 85% des types d’attaques … il s’agit de la config par défaut d’OSSEC qui log un peu tout et n’importe quoi … (j’ai désactivé la chose il y a quelques mois, mais mes stats sont quant même pourri par ce truc :s).

Au final, en analysant la chose, les plus grosses attaques se trouvent être des trucs super naze, en 1 an de service, ces systèmes n’auront été utiles qu’une vingtaines de fois (pour 2 SQL Injection, 1 ploucs avec acunetix 1 noob avec un script perl de type nikto et des tentatives de comments flooding par des bots russes …).

Trop de sécurité tue l’insécurité ^^. Donc voilà, profitez bien de vos mise à jour ;).