<html><head></head><body>Bonjour,<br>
<br>
Je conseillerais de mettre une pare-feu très strict et de logguer les entrées/sorties refusées, voire toutes si le temps d'analyse n'est pas trop long. Si cette machine est uniquement un serveur je conseillerais de bloquer temporairement toute les sorties sauf la source de mise-à-jour.<br><br><div class="gmail_quote">Le 2 octobre 2016 22:06:33 GMT+02:00, Paul Bartholdi <Paul.Bartholdi@unige.ch> a écrit :<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<div dir="ltr"><div><div><div><div><div>Bonsoir,<br /><br /></div>Merci beaucoup à Yves Martin et Michael Parchet pour leurs recommandations. Je crois de plus en plus que le problème vient effectivement d'attaques venant de l'étranger (Chine semble-t-il).<br /></div>J'ai bloqué le port 3306 et l'ai remplacé par un tunnel ssh. Maintenant il faut attendre quelques jours pour voir si le problème a bien disparu.<br /><br /></div>Mon système est très très peu chargé, quelques "INSERT" par heure sur 2 tables, mais les sources sont à l'étranger, souvent avec un IP dynamique. Pour moi c'est aussi l'occasion de "jouer" un peu avec ces problèmes de dB et de sécurité.<br /></div>Le plus grand danger est que ma machine serve de relais pour des pirates. Une recommandation pour savoir s'ils sont entré chez moi ?<br /><br /></div>Merci encore et bonne soirée, Paul<br /><br /><div><div><div><br /><br
/></div></div></div></div><div class="gmail_extra"><br /><div class="gmail_quote">2016-10-02 11:11 GMT+02:00 Michael Parchet <span dir="ltr"><<a href="mailto:mparchet@sunrise.ch" target="_blank">mparchet@sunrise.ch</a>></span>:<br /><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="auto">
<div></div>
<div>Bonjour,</div>
<div><br />
</div>
<div>Avez-vous vraiment besoin de laisser MySQL accessible depuis Internet ?</div>
<div>Ne pensez-vous pas qu'il soit préférable de louer un espace chez un hébergeur ?</div>
<div><br />
</div>
<div>si vous voulez le nom d'un bon un hébergeur qui a un excellent service à la clientèle c'est :</div>
<div><br />
</div>
<div><a href="https://www.kreativmedia.ch/fr/" target="_blank">https://www.kreativmedia.ch/<wbr />fr/</a></div>
<div><br />
</div>
<div>Meilleures salutations</div>
<div><br />
</div>
<div>mparchet</div><span class="">
<div><br />
</div>
<div><br />
</div>
<div><br />
Le 1 oct. 2016 à 10:37, Yves Martin <<a href="mailto:ymartin59@free.fr" target="_blank">ymartin59@free.fr</a>> a écrit :<br />
<br />
</div>
</span><blockquote type="cite">
<div><span class=""><span>On Thu, 2016-09-29 at 14:57 +0200, Paul Bartholdi wrote:</span><br />
</span><span class=""><blockquote type="cite"><span>Bonjour,</span><br />
</blockquote>
<blockquote type="cite"><span>Nouvelle interruption cette nuit - 29 septembre à 3:21:00.</span><br />
</blockquote>
<blockquote type="cite"><span></span><br />
</blockquote>
<blockquote type="cite"><span>Je m'étonne de la dernière ligne, est-ce une tentative d'accès</span><br />
</blockquote>
<blockquote type="cite"><span>(venant de Chine !) utilisant une adresse IPv6 ?</span><br />
</blockquote>
<blockquote type="cite"><span></span><br />
</blockquote>
</span><span class=""><blockquote type="cite"><span>L'incident précédent a eu lieu le 27 à 2:17:00 Est-ce juste une</span><br />
</blockquote>
<blockquote type="cite"><span>coïncidence ?</span><br />
</blockquote>
<blockquote type="cite"><span>Autre précision : le fichier /etc/hosts.deny conttient "ALL: ALL" et</span><br />
</blockquote>
<blockquote type="cite"><span>rien d'autre, le fichier "hosts.allow"</span><br />
</blockquote>
<blockquote type="cite"><span>les adresse IP de 5 machines avec lesquelles je collabore. Seules les</span><br />
</blockquote>
<blockquote type="cite"><span>portes 22, 80 et 3306 sont ouvertes sur le routeur DSL.</span><br />
</blockquote>
<blockquote type="cite"><span></span><br />
</blockquote>
</span><span class=""><blockquote type="cite"><span>Puis-je faire autre chose ? Paul</span><br />
</blockquote>
<span></span><br />
</span><span class=""><span> Bonjour,</span><br />
<span></span><br />
<span>Je ne connais pas les raisons qui nécessitent d'ouvrir le port 3306 de</span><br />
<span>MySQL sur l'extérieur, mais l'hypothèse qu'une tentative de pénétration</span><br />
<span>par injection d'un "payload" exploitant un buffer overflow (avant même</span><br />
<span>le contrôle par hosts) soit à l'origine de ces crashs est plausible.</span><br />
<span></span><br />
<span>La recommandation habituelle est de ne pas ouvrir MySQL en TCP depuis</span><br />
<span>l'extérieur de votre système (donc un bind en localhost uniquement sur</span><br />
<span>loopback), voir l'extérieur de votre réseau en ne forwardant pas le</span><br />
<span>port depuis l'extérieur...</span><br />
<span></span><br />
<span>Apparemment votre MySQL doit vraiment être accessible depuis internet,</span><br />
<span>dans ce cas choisissez un port au hasard au-dessus de 10000 pour éviter</span><br />
<span>l'évidence qu'il s'agisse d'un MySQL, et d'ajuster les configurations</span><br />
<span>des clients en conséquence</span><br />
<span></span><br />
<span>Cordialement,</span><br />
<span>-- </span><br />
<span>Yves Martin</span><br />
<span></span><br />
<span></span><br />
</span><span class=""><span>______________________________<wbr />_________________</span><br />
<span>gull mailing list</span><br />
<span><a href="mailto:gull@forum.linux-gull.ch" target="_blank">gull@forum.linux-gull.ch</a></span><br />
<span><a href="http://forum.linux-gull.ch/mailman/listinfo/gull" target="_blank">http://forum.linux-gull.ch/<wbr />mailman/listinfo/gull</a></span></span></div>
</blockquote>
</div>
</blockquote></div><br /></div>
<p style="margin-top: 2.5em; margin-bottom: 1em; border-bottom: 1px solid #000"></p><pre class="k9mail"><hr /><br />gull mailing list<br />gull@forum.linux-gull.ch<br /><a href="http://forum.linux-gull.ch/mailman/listinfo/gull">http://forum.linux-gull.ch/mailman/listinfo/gull</a></pre></blockquote></div><br>
-- <br>
Envoyé de mon appareil Android avec K-9 Mail. Veuillez excuser ma brièveté.</body></html>