Wiki » Historique » Révision 16
« Précédent |
Révision 16/21
(diff)
| Suivant »
David Mercereau, 05/07/2026 21:29
Wiki¶
- Audit Serveur existant
Nouveau serveur¶
Résumé des accès
SSH¶
- Port : 4422
- IP ! 51.210.149.44
ISPconfig¶
Panel : https://vps-aabafbfe.vps.ovh.net:8080/
Utilisateur : admin (full privilège)
Mot de passe : https://pastebin.retzo.net/?29aa769fb838214c#J9bxW7ZGDJgaNompRpoT4io1znQ4wQRQUgQmsiTZnk9J (expiration dans 1 an)
Utilisateur à utiliser courament : chocteau
Mot de passe : https://pastebin.retzo.net/?6707fcf4fec61567#Ht62jB4jzv4guXRfZyUvs6tKzap2DzJofmnfWvE7Xi1A (expiration dans 1 an)
Munin (monitoring)¶
Accès : https://https://vps-aabafbfe.vps.ovh.net:8080/munin/
- Utilisateur : guillaume
- Mot de passe : https://pastebin.retzo.net/?5357a30134f2d65c#Gcyxt7ao7CTn7dHZMDrTJTjrNSH6aKeXcvxydcq7iAG9
Gestion authentification¶
Ajouter un autre utilisateur :
htpasswd /etc/admin-htpassword autre_utilisateur
Supprimer un utilisateur :
htpasswd -D /etc/admin-htpassword autre_utilisateur
PhpMyAdmin¶
Note : même couche d'authentification que munin, même identifiants... voir plus haut. (phpmyadmin est très attaqué...)
Accès : https://vps-aabafbfe.vps.ovh.net:8080/phpmyadmin/
Utilisateur : root (full priviège)
Mot de passe : https://pastebin.retzo.net/?4a5dbd6c6c7ade9a#2LCQ9xbTSzZacBePgbbveVVgUtqoLTcRXzSzc2VzH9hE (expiration dans 1 an)
Gestion des autres accès via ISPconfig
Accès mysql extérieur fermé firewall (géré via ispconfig dans système)
Sécurité¶
Firewall utilisé via ISPconfig (Système, Pare-Feu)
Pot de miel afin d'éviter le scan (blacklist des IP qui tente de se connecter à ces ports :
TCP : 22,23,81,111,135,139,445,1080,1433,1521,3307,3389,5900,8082,8443,31337
UDP : 19,69,111,135,137,161,162,500,1434,1900,5060,11211,31337
Attention le port 22 est dans la liste....
Crowdsec¶
Blacklist des IP selon leur comportement (analyse de log)
Une liste blanche est ajoutée ici : /etc/crowdsec/parsers/s02-enrich/local-admin-whitelist.yaml (après ajout faire un systemctl restart crowdsec)
Scénario en œuvre
crowdsecurity/apache2crowdsecurity/base-http-scenarioscrowdsecurity/http-cvecrowdsecurity/linuxcrowdsecurity/sshdfulljackz/pureftpdcrowdsecurity/whitelist-good-actorscrowdsecurity/dovecotcrowdsecurity/postfixcrowdsecurity/mariadbcrowdsecurity/mysql
Voir l'etat :
cscli metrics
cscli alerts list
cscli decisions list
Bannir ou debannir manuellement :
cscli decisions add --ip X.X.X.X --duration 4h --reason "manual test"
cscli decisions delete --ip X.X.X.X
Scénarios dédier à SPIP
- /etc/crowdsec/scenarios/retzo-http-spip-login-post.yaml
- /etc/crowdsec/scenarios/retzo-http-spip-login-get-probing.yaml
Pour SPIP, CrowdSec bannit l’IP après 5 tentatives de connexion POST vers une page de login en moins de 10 minutes ; les simples accès répétés en GET aux pages de login sont traités comme du scan et déclenchent un bannissement après 30 accès en moins de 10 minutes.
Crowdsec CAPTCHA hors UE¶
Aperçu :

Pour désactiver le captcha hors UE ça sur certains sites (cela peut poser problème sur certain script PHP) il faut aller dans “Options” du site ispconfig (connexté en admin uniquement) dans "Paramètre PHP ini" ajouter :
auto_prepend_file = ""
Le captcha n'est possible qu'à partir de PHP 8.2 (pas en dessous)
Le script /root/bin/crowdsec-php-bounce-update.py est lancé de façon trimestrielle pour assurer la validité des bounces hors UE. GeoLite2 est mis en place (en systemd-timer : geoipupdate.service) pour actualiser les bases de données de gélolocalisation IP)
Mis à jour par David Mercereau il y a 8 jours · 21 révisions