Messages : 2,337
Sujets : 191
Inscription : Apr 2004
Il existe
Hybrid Open-Proxy Monitor
La configuration est relativement simple, il faut surtout faire attention à la directive
connregex qui est l'expression régulière pour détecter les connexions au serveur IRC.
Ensuite, il y a une série de blocs
blacklist qui permettent de définir quels dnsbl tu vas interroger et les actions à effectuer.
Et encore ensuite, tu as le bloc
scanner dans lequel tu indiques les protocoles et ports à tester pour savoir si la machine de l'utilisateur est potentiellement à risque ou pas.
Note: dans anope, il y a aussi un module "m_dnsbl" (
https://wiki.anope.org/index.php/2.0/Modules/m_dnsbl) mais il nécessite de démarrer anope en root.
Messages : 39
Sujets : 10
Inscription : Mar 2017
Niveau d’avertissement :
0%
Niquel merci , j'ai pu mettre ça en place !
Messages : 39
Sujets : 10
Inscription : Mar 2017
Niveau d’avertissement :
0%
18/03/2017, 01:17
(Modification du message : 26/07/2018, 00:31 par Epsilon.)
Je reviens vers pour l'optimisation de ma conf sur HOPM :
J'ai vraiment besoin de vous pour élargir mes dnsbl et mes ports scanner , il en a qui vire pas mal mais il y en a quand même qui passe , si vous pouvez m'aider à optimiser la conf, si vous voyez une erreur , merci de m'en faire part !
Messages : 2,337
Sujets : 191
Inscription : Apr 2004
Question bête: qu'est-ce qui te fait dire que c'est hopm qui est en faute, et pas les dnsbl qui n'ont pas (encore) l'IP dans leur base de malveillants ?
Comment testes-tu ?
Messages : 39
Sujets : 10
Inscription : Mar 2017
Niveau d’avertissement :
0%
Je ne teste pas moi même, ce sont des gens qui me lance des attaques ..
Messages : 2,337
Sujets : 191
Inscription : Apr 2004
Et donc, je repose ma question différement: les IP utilisées par ces attaquants sont-elles listées sur les black list ou pas ?
Messages : 39
Sujets : 10
Inscription : Mar 2017
Niveau d’avertissement :
0%
Salut,
Non apparamment ils ne sont pas dnsbl vu que j'ai pas de retour sur ses ips sur le salon de log.
Il y a moyen de crée une blacklist ? ou d'avoir un service supplementaire?
Mettre en place des modules comme m_ramdom pour interdire les idents aléatoire qui c'est avéré très efficace, tout est bon à prendre pour perfectionné !
Messages : 2,337
Sujets : 191
Inscription : Apr 2004
(18/03/2017, 12:15)Epsilon a écrit : Salut,
Non apparamment ils ne sont pas dnsbl vu que j'ai pas de retour sur ses ips sur le salon de log.
Il y a moyen de crée une blacklist ? ou d'avoir un service supplementaire?
Mettre en place des modules comme m_ramdom pour interdire les idents aléatoire qui c'est avéré très efficace, tout est bon à prendre pour perfectionné !
J'ai tout de même du mal à croire que ton serveur soit aussi attaqué que ça.
Ensuite, si tu veux faire une blacklist, tu peux ajouter des zline ou des gline, ou des ban dans la configuration d'unreal.
De toutes manières, dis-toi bien que les proxy, il y en a toujours qui passeront. Mais à trop blinder, tu risques d'empêcher les utilisateurs normaux d'accéder à ton serveur.
Messages : 22
Sujets : 2
Inscription : Mar 2017
Niveau d’avertissement :
0%
19/03/2017, 00:31
(Modification du message : 19/03/2017, 00:34 par Strategy.)
Bonjour,
Les DNSBL sont un peut dépassées pour les 3/4 nombreux faux positifs avec des connexions 3/4G non compatibilité avec les ipv6 enfin c'est pas top.
Pour les attaques de clones il faut savoir que ce sont souvent ce que l'on appels des kiddie's qui attaquent les serveurs IRC ces personnes on fait une simple recherche google et trouvé un script qu'une autre personne a concut presque tous ne savent pas écrire une ligne de code donc souvent les mêmes clonneurs avec les mêmes défauts qui reviennent régulièrement et sont facilement bloquables avec les 2 solutions ci-dessous.
- Bloquer les clients IRC qui ne répondent pas aux CTCP versions
- Bloquer les clonneurs avec des regex RLINE sur InspIRCD ou le spamfilter avec le type u sur UnrealIRCD
Pour le reste des proxies et VPN il est simplement impossible de tout bloquer mais tu peut embêter les utilisateurs.
- Une bonne black liste que j'utilise c'est stopforumspam
- Des bans par géolocalisations (Russie, chine, japon ...)
- Pour pousser plus loins tu peux vérifier si les ips répondent au pings et contrôler certains ports ouverts (Attention cette technique peut faire du faux positifs)
Bon courage a toi
Messages : 39
Sujets : 10
Inscription : Mar 2017
Niveau d’avertissement :
0%
Ca serait cool si quelqu'un pouvait mettre un snippet la dessus avec tout les cas d'attaque et leurs regexp.
Ca aiderait pas mal de monde.