Le blogouille de Caro et Nico

Entre famille, sport et aventures !

Catégorie dans Informatique / Computers

HTTPs armoring

Par dans Informatique / Computers Étiquette , ,

So Mozilla is offering a nifty HTTPs testing tool at https://observatory.mozilla.org/ 

After I tried that, had to fix a few things :). D- rating (ouch !)

HTTP Strict Transport Security

First enable the header module with command line :

a2enmod headers

Then edit the vhosts files into the /etc/apache2/sites-available by adding the header entry (right below the VirtualHost entry)

Header add Strict-Transport-Security: « max-age=31536000;includeSubdomains »

And restart Apache 2 with :

systemctl restart apache2

And then check if nothing is wrong in the startup by looking into the log file for the daemon at :

less /var/log/daemon.log

Implement HTTP Headers

Install the WordPress extension HTTP Headers from Dimitar Ivanov. In the security options, turn ON the following restrictions :

X-Frame-Options DENY
X-XSS-Protection 
X-Content-Type-Options nosniff

And rescan….

That is how you end up with a A+ Rating.

(Don’t celebrate too much, my website rolled down from A to D- in…. 11 months between November 2016 to November 2017… looks like a fight to keep up and have a recheck every 6 months !).

Lutte anti slowhack / botnet hack.

Par dans Informatique / Computers Étiquette , , , , ,

Bon alors… quand on gère des serveurs qui sont connectés sur internet, malgré le firewall, dès qu’on a une bonne série de services (SSH, FTPs, HTTPs, IMAPs, SMTPs, POP3s, etc…) on se retrouve avec un PAQUET de tentative d’intrusions, du genre plusieurs à la minute… à force cela devient fatiguant et fait tourner les machines pour rien.

En utilisant une bonne combinaison d’outils, on arrive à bien contenir les attaques basiques de type brute force venant de la même IP. En particulier avec les outils Fail2Ban et DenyHosts. Par contre depuis plusieurs mois je fait face à un nouveau type de problème, des milliers d’addresses IP différentes qui tentent toute une combinaison de login et mot de passe différents, genre « classique », mais à chaque fois, une seule unique IP tente une combinaison, puis quelques secondes après, c’est une autre IP qui tente une combinaison légèrement différente. Ca a l’air bien foutu, mais difficile à bloquer, en fait il y a quelques parades. 

Par exemple Dovecot logge se genre de choses

2017-11-12 14:44:08 auth-worker(7082): Info: sql(eleanor,101.187.110.152): unknown user (given password: password)

 

Et voilà l ‘adresse IP 101.187.110.152 qui tente la combinaison eleanor/password … je serais curieux de savoir ce qui se passe si ce script d’un botnet tombe sur un login valide, à priori je penche pour de l’envoi de spam.

En tout cas, voilà comment j’ai procédé pour limiter les ennuis :

Augmenté la fréquence de synchronisation de DenyHosts, à 5 minutes. Il y a une limite hardcodée de 50 hôtes à chaque sync, mais cela fait tout de même 15000 hôtes par jour à récupérer qui seront bloqués, en mettant un filet large de sélection, genre DOWNLOAD_THRESHOLD à 2 et SYNC_DOWNLOAD_RESILIENCY = 5h

Ensuite sur fail2ban, on peut mettre quelques filtres REGEX pour capturer ces tentatives de botnet sommes toutes basiques. Genre :

,<HOST>\): unknown user \(given password: 123456
,<HOST>\): unknown user \(given password: password
,<HOST>\): unknown user \(given password: web
,<HOST>\): unknown user \(given password: russ

Et en ajoutant quelques filtres sur les mots de passe basiques, on récupère un paquet d’adresse IP (j’en ai eu environ 70000 par jour !!) et avec un bon ban genre de plusieurs semaines, et ben voili voilou, bien tranquille, le nombre de de tentatives d’intrusions a complètement diminué, par un facteur 100.

Bon ban ! 

 

Windows 10 – DISM servicing with ESD images

Par dans Informatique / Computers Étiquette , , ,

Beyond the classic Windows 10 corruption fixing commands :

SFC /SCANNOW
Dism /Online /Cleanup-Image /CheckHealth
Dism /Online /Cleanup-Image /ScanHealth

There is a way to « Restore Health » requiring DISM to access a system image. However the ISO do not have anymore the classic install.wim images, but some new encrypted .esd images !

Ok, so here is the option for servicing a Windows 10 computer with ESD image.

Get the Media Creator tool from Microsoft and create an ISO file for your Windows 10.

Then mount it, through Windows Explorer on Windows 10, this goes like on E: drive

Then open an elevated command prompt, engage DISM image corruption check and fix commands :

Dism /Online /Cleanup-Image /RestoreHealth /Source:ESD:e:\sources\install.esd:1 /limitaccess

Notice the section in red color, this is how to specify to DISM to not use classic WIM images, but rather encrypted ESD files. This helps when you get a « source does not exist » feedback from DISM when trying to scan and fix windows 10 issues.

I found it not very well documented in various forums, so here is the note !

Note : working with Microsoft Engineers on patching issues, here is what the engineer used to fix SXS and patches installation corruption

net stop wuauserv
net stop cryptSvc
net stop bits
net stop msiserver
net stop trustedinstaller

Ren « C:\Windows\SoftwareDistribution » SoftwareDistribution.1
Ren « C:\Windows\System32\catroot2 » Catroot2.1
Ren « C:\Windows\logs\cbs » cbs.1
Ren « C:\Windows\inf\setupapi.dev.log » setupapi.dev.log.1

net start wuauserv
net start cryptSvc
net start bits 
net start msiserver
net start trustedinstaller

Résiliation SFR Fibre

Par dans Générale, Informatique / Computers Étiquette , , , , , ,

 

Alors SFR Fibre…. comment dire…. 3 hausses de tarif en un an (!!), et un signal TV médiocre, avec des serveurs qui n’ont pas assez de bande passante pour alimenter leurs clients. Une box pourrie… qu’on loue 3 euros par mois. Des techniciens qui font n’importe quoi dans le répartiteur optique de la cave, laissant des jarretières optiques par terre et fracturant les serrures car ils n’ont pas la clef. Du bonheur…

Bon là je sens que cela va être du lourd…. Pour résilier mon offre SFR Fibre, il a fallu déjà :

  • Faire une demande de résiliation par web (aucune valeur juridique, à oublier).
  • Appeler le 1023 Service Client SFR 2 fois (cela a raccroché au premier appel), parler à 4 personnes (!!) qui demandent la même chose, dans un français approximatif. En gros pourquoi vous voulez résilier, “hausse de tarif et qualité médiocre », on vous propose d’annuler ces hausses pour 12 mois, on peut transferer votre offre à une autre personne (LE CADEAU !!:-)) blah blah blah, il faut confirmer 5 fois son adresse et ses coordonnées bancaires.
  • Pour enfin avoir au final l’adresse pour signaler par courrier A/R sa résiliation, c’est à dire :SFR : service résiliation box & fibre        
    TSA 73217
    62978 Arras Cedex 9
  • Donc plutôt que de perdre son temps avec des formulaires abscons et des interlocuteurs de l’autre bout du monde qui répètent un script comme des robots, simplement résilier par lettre A/R directement à l’adresse ci dessus.

A voir comment le retour du matériel va se passer (un bon de retour va m’être envoyé…).

Mise à jour du 11/1/2017 : bon SFR a une société de relance, c’est à dire que l’on t’appelle plusieurs fois par jour pour essayer de te faire changer ton avis. C’est assez agacent, alors le mieux c’est de bloquer l’appellant… société « AS Rentetio » (tout un programme). De toute façon la lettre par A/R continue à courir et est finalement validée quelques jours après. Donc la relance ne sert à rien, juste à nous casser les pieds.

Mise à jour du 9 Mars 2017 : environ un mois après mon retour de matériel, SFR me réclame 100 Euros de pénalité pour non restitution de modem ADSL. Sympa quand on a une offre fibre 😂. Après vérification auprès du service clientèle il s’agit du boitier TV. Pas de chance je connaissais l’arnaque et j’avais photographié le contenu de mon paquet ainsi que les numéros de série des appareils et conservé le justificatif Colissimo. Retour courrier de toutes ses pièces par lettre A/R. Je pense que cela va finir en conflit…

Mise à jour du 1/6/2017 : victoire ! SFR m’a remboursé 5 mois plus tard. Alors voilà comment:

  • on écrit un recommandé au service clients – pas de réponse. On attend 3 semaines.
  • on écrit un recommandé au service consommateurs – pas de réponse. On attend 3 semaines.
  • on écrit un recommandé/dossier au médiateur des télécoms (il faut avoir fait les deux étapes précédentes), on reçoit sous une semaine un courrier de SFR disant qu’ils vont nous rembourser.

Bilan : 3 recommandés à 7 Euros (électroniques avec impression), 5 mois de perdus.

Conclusion : la prochaine fois, penser à annuler le prélèvement SEPA en même temps que la résiliation de contrat. 

Conclusion 2 : ne PAS être client SFR. 

Dot Net 3.5 Installation on Windows 2012 R2

Par dans Informatique / Computers Étiquette , , , , , , , , ,

The .Net 3.5 branch is not installed by default on Windows 2012 R2 server. Also this feature is not cached in the sources cache of the installation, so you need the source media.

First grab the the Windows 2012 R2 source media (and not the 2012R1). If not there, you can download the trial ISO from Microsoft web site.

You need two successive command lines to install .Net 3.5 branch, these are (need to be run from system32 in admin command prompt) :

 

dism.exe /online /enable-feature /featurename:NetFX3ServerFeatures /Source:d:\sources\sxs /LimitAccess
dism.exe /online /enable-feature /featurename:NetFX3 /Source:d:\sources\sxs /LimitAccess

The software Asoft .Net Version Detector provides an easy to validate that the installation is successful and operational :

http://www.asoft.be/prod_netver.html

aSoft .Net Detector

aSoft .Net Detector