[BASH] Que se cache t’il derriere cette IP ?

Non c’est pas le même article qu’hier non !!
La il n’y a pas « Tutoriel » entre [] mais « BASH » donc ce n’est pas pareil 🙂

Je partage ce petit script qui peut être vous servira. C’est sans prétention, je pense que si je vais faire un tour sur GitLab ou l’équivalent maléfique, je trouverai bien mieux, et c’est ce que je ferai sûrement, puis je partagerai en faisant un billet. Mais pas maintenant.

En gros le script va lire le fichier log de Apache qui contient des IPs « malveillantes ». Pour faire simple, dans ce fichier Apache stockera toute les IPs ayant fournis des requêtes non conventionnelles.

Ce fichier sur Debian est le fichier log « Other_Vhosts_Access ».

#!/bin/bash
ip=$(grep '' /var/log/apache2/other_vhosts_access.log | awk '{print $2}')
for i in $ip; do
if [ $i != '::1' ];then
echo "$i ==> $(geoiplookup -f /usr/share/GeoIP/GeoIPCity.dat $i)"
fi
done
echo "
#FINI
#Auteur : Hedilenoir
#Site : hedilenoir.com
#Licence : Je m'en bas les pépettes"
Le résultat en image, dans un terminal.

Je suis conscient que c’est perfectible, il y a moyen d’aller plus loin avec un Cron + avertissement par mail. C’est purement artisanal si je puis dire.
Mais si ça peut donner des idées ;), on peut faire idem mais pour ajouter des règles au pare-feu par exemple et automatiser cela avec Cron.

Edit du 03/12/18 : remplacement de « cat » par « grep  »  » et ajout de l’espace après le dernier « echo« .

Si vous avez des compléments/remarques/suggestions, n’hésitez pas !

@++

 


https://hedilenoir.com/index.php/2018/11/29/tutoriel-que-se-cache-til-derriere-cette-adresse-ip/
https://www.loggly.com/ultimate-guide/apache-logging-basics/
https://httpd.apache.org/docs/1.3/logs.html

[Tutoriel] Que se cache t’il derrière cette adresse IP ?

Hello la compagnie.

Petit billet autour de ce que l’on peut faire avec une adresse IP.

Comme introduction, laissez moi vous raconter ceci :
A la création de mon blog en ce mois d’août 2018, je m’étais amusé à installer Matomo comme solution de supervision de suivi statistiques (WebAnalytics), je l’ai gardé deux mois.
C’était bien trop évolué pour moi…, trop de données que je ne voulais pas sur les visiteurs ( Merci les cookies ), en gros Matomo c’est vraiment que pour du SEO.
Alors je l’ai enlevé et en plus ça me rajoutais une surface d’attaque supplémentaire à surveiller. Trop chronophage pour pas grand chose.
Si je vous parle de Matomo, c’est qu’avec on peut suivre les connexions par Pays, par région, et même par ville.
On peut anonymiser tout ça (en cas de dérobage de données, RGPD, toussa toussa, car ce logiciel vous en fournit beaucoup comme dit précédemment), et utiliser une IP que sur ses 16 derniers bits, donc 177.217.X.X imaginons.
Pour géolocaliser les visiteurs d’un site, Matomo utilise GeoIp, ouais toute cette introduction pour en arriver la….Mais c’est mon blog  !
Outre le fait de tracker des utilisateurs, il peut être utile de connaître l’origine d’une IP surtout dans le cadre de l’administration d’un serveur.

Dans un premier temps je vous présente donc le logiciel « Geoip » (Ça va gars, tu te répètes pas ?), il est très utilisé surtout sur le web.
Il est édité par MaxMindDB, fournissant aussi les bases de données d’IP (publiques).
Attention à la licence d’utilisation très restrictive.

On peut aussi utiliser Geoip avec Apache et Iptables.
Voir ces deux billets publiés récemment, d’où mon article, la boucle est bouclée.
https://blog.lecacheur.com/2018/11/27/apache-bloquer-lacces-http-a-certains-pays/
http://www.deltasight.fr/bloquer-pays-regles-iptables-xt_geoip/

Alors pour installer GeoIp sur Debian c’est très simple (et au passage on installe les logiciels qui seront présentés après GeoIp dans l’article):
apt-get install geoip-bin geoip-database geoip-database-extra geoipupdate whois traceroute

Et maintenant moussaillon ?

Déjà faut déterminer ce que l’on veut savoir sur cette IP,  le pays, la ville ? Avec l’incertitude à prendre en compte. Ou peut être juste savoir quel est l’entité et service associé derrière cette IP, un FAI, un hébergeur, un service cloud ?
Les bases que nous allons utiliser sont stockés ici :
ls /usr/share/GeoIP/
GeoIPASNum.dat GeoIPCity.dat GeoIP.dat GeoIPv6.dat

Les noms sont assez parlant, City pour les villes, IP pour les pays et IPASNum pour le numéro du système autonome (AS, désigne un ensemble de routeur gérant un stock d’IP sous la même bannière).

Faisons un test, je fais un ping sur Google, et ensuite je récupère l’IP.

Passons à la pratique (commande en bleu, retour en vert)

geoiplookup -f /usr/share/GeoIP/GeoIPASNum.dat 172.217.18.35
GeoIP ASNum Edition: AS15169 Google LLC
Ici vous voyez le numéro d’AS utilisé, un AS est un ensemble de routeur gérant un lot d’IP au nom de celui à qui il appartient, ici Google.

geoiplookup -f /usr/share/GeoIP/GeoIP.dat 172.217.18.35
GeoIP Country Edition: US, United States
Ici juste le Pays

geoiplookup -f /usr/share/GeoIP/GeoIPCity.dat 172.217.18.35
GeoIP City Edition, Rev 1: US, CA, California, Mountain View, 94043, 37.419201, -122.057404, 807, 650
Ici vous obtenez dans l’ordre le pays, l’état ou Région en caractère ISO puis Complet, la ville, le code postal et enfin les coordonnées GPS en degrés décimaux.

Comment exploiter ces données ?

Par exemple avec ce site vous rentrer le numéro de votre « système autonome » (ASnum) obtenu avec votre IP, et vous pouvez voir l’activité généré via celui-ci.
https://k-net-stats.lafibre.info/

Avec ce site vous avez des infos sur votre IP :
https://db-ip.com/. Mais autant utiliser directement GeoIp et ne pas subir les traceurs du site en question.

Avec Google Maps on peut placer sur la carte, d’où provient l’IP en rentrant la position GPS obtenue en degrés décimaux dans la barre de recherche :
Que du beau monde autours de Google, la NASA de partout , un aéroport (sûrement pas le RyanAir du coin), une Épicerie :D, en gros MountainView

Fin de la démo avec GeoIp, les possibilités sont nombreuses, de nombreuses API de tout genre l’utilise.

Maintenant si vous voulez juste avoir les infos légales disponibles sur l’IP (contacter le SysAdmin, reporter un abus liée à une IP, bref de l’administratif), il faut utiliser Whois, en conflit avec le RGPD.
whois 172.217.18.35

Et pour finir avec cet article, si vous voulez voir le chemin emprunté depuis votre pc, en passant par votre routeur/modem puis les différents points d’accès pour atteindre le serveur, ce qu’il vous faut, c’est le logiciel « traceroute ».
traceroute www.google.fr

J’en profite pour affirmer que quand on marche dans la rue on inscrit pas son adresse dans son dos, sur le web commercial qui plus est, cela devrait être encore plus vraie ! Utilisons Tor !

J’espère que cet article vous a plus, ou sera utile (pas à des fins malveillantes !).
Si vous avez des remarques, corrections, compléments, n’hésitez pas et laissez un commentaire 😉

Edit1 : Merci @Tetsumaki & @Cascador, de m’avoir indiqué que le site avait un tit souci. Et des compléments/corrections.


https://www.maxmind.com/en/home
https://fr.wikipedia.org/wiki/Mountain_View_(Californie)
https://fr.wikipedia.org/wiki/Autonomous_System
https://www.torproject.org/projects/torbrowser.html.en

Liberté de communiquer en danger ?

Hello les ami-e-s

J’espère que tout se passe bien pour vous.

Petit billet dans le but de relater un article de la quadrature du net, qui pour rappel est une association loi 1901 à but non lucratif dont le seul intérêt est la protection de la liberté numérique. Qui dernièrement est attaqué de tous les côtés.

Je ne pense pas que ce titre soit « PutAClic »

Je ne vais pas vous faire un résumé de l’article, ce serait gâcher leur travail. Mais je vous incite fortement à lire l’article en entier.

Lien vers l’article :
https://www.laquadrature.nurveillance, BigData, GAFAM, antiterroriste, et/2018/11/26/le-reglement-antiterroriste-detruira-t-il-signal-telegram-et-protonmail/

Encore un effort de nos politiques en concertation avec les GAFAM pour tuer les petits acteurs émergeant (Protonmail notamment) et avoir plus de contrôle sur ses citoyens.
Car bizarrement youtube, lui n’a jamais était inquiété alors qu’à elle seule cette plateforme cumule tout ce que les ayants droits et politiques ne veulent plus voir (piratage d’œuvres,fake news) et même pire. On se base sur leur capacité à répondre vis-à-vis de ces problématiques (donc avec leur moyen en personnel et trésorerie qui sont pour le moins conséquent) et ensuite on demande à tout les autres opérateurs de faire de même !

Vous la voyez venir la couille ? A l’heure ou la solution à pas mal de problématiques serait le déploiement en masse de nœuds mastodon,peertube, etc. Veut on tuer cela aussi ?

Et le chiffrement est au contraire nécessaire ! Tout le monde l’utilise au quotidien (CB, HTTPS, etc), que ce soit clair et ça ne fait pas de vous un terroriste potentiel. Juste quelqu’un de conscient des enjeux !!

Mais faudrait déjà arrêter d’utiliser des messageries comme whatsapp et inciter ses contacts à utiliser Telegram et Silence (sur android, sms chiffré de bout en bout) par exemple. Ça rendrait ce genre de lois caduques. (comme l’article 13 qui est inefficace si on n’utilise pas les services fournis par les GAFAMs).

Si vous ne l’avez pas vu, je vous conseil le documentaire « nothing to hide » dispo chez les pirates de youtube..
Ce documentaire est vraiment bien fait, il vulgarise vraiment bien les sujets liées à la vie privée et notamment à la surveillance de masse. Il est à diffuser à un max de personne. Vous saurez quoi mettre pour les fêtes si jamais quelqu’un veut allumer la TV 😛
Il fut financé par kickstarter et est dispo sous licence « CC4 ».

Lien officiel :
https://nothingtohidedoc.wordpress.com/
Page Wiki:
https://fr.wikipedia.org/wiki/Nothing_to_Hide
Lien vimeo:
https://vimeo.com/193515863
Lien youtube:
https://www.youtube.com/watch?v=djbwzEIv7gE

Comme d’hab, hésitez pas à réagir.