[BASH] Que se cache t’il derriere cette IP ?

Non c’est pas le même article qu’hier non !!
La il n’y a pas « Tutoriel » entre [] mais « BASH » donc ce n’est pas pareil 🙂

Je partage ce petit script qui peut être vous servira. C’est sans prétention, je pense que si je vais faire un tour sur GitLab ou l’équivalent maléfique, je trouverai bien mieux, et c’est ce que je ferai sûrement, puis je partagerai en faisant un billet. Mais pas maintenant.

En gros le script va lire le fichier log de Apache qui contient des IPs « malveillantes ». Pour faire simple, dans ce fichier Apache stockera toute les IPs ayant fournis des requêtes non conventionnelles.

Ce fichier sur Debian est le fichier log « Other_Vhosts_Access ».

#!/bin/bash
ip=$(grep '' /var/log/apache2/other_vhosts_access.log | awk '{print $2}')
for i in $ip; do
if [ $i != '::1' ];then
echo "$i ==> $(geoiplookup -f /usr/share/GeoIP/GeoIPCity.dat $i)"
fi
done
echo "
#FINI
#Auteur : Hedilenoir
#Site : hedilenoir.com
#Licence : Je m'en bas les pépettes"
Le résultat en image, dans un terminal.

Je suis conscient que c’est perfectible, il y a moyen d’aller plus loin avec un Cron + avertissement par mail. C’est purement artisanal si je puis dire.
Mais si ça peut donner des idées ;), on peut faire idem mais pour ajouter des règles au pare-feu par exemple et automatiser cela avec Cron.

Edit du 03/12/18 : remplacement de « cat » par « grep  »  » et ajout de l’espace après le dernier « echo« .

Si vous avez des compléments/remarques/suggestions, n’hésitez pas !

@++

 


https://hedilenoir.com/index.php/2018/11/29/tutoriel-que-se-cache-til-derriere-cette-adresse-ip/
https://www.loggly.com/ultimate-guide/apache-logging-basics/
https://httpd.apache.org/docs/1.3/logs.html

[Tutoriel] Que se cache t’il derrière cette adresse IP ?

Hello la compagnie.

Petit billet autour de ce que l’on peut faire avec une adresse IP.

Comme introduction, laissez moi vous raconter ceci :
A la création de mon blog en ce mois d’août 2018, je m’étais amusé à installer Matomo comme solution de supervision de suivi statistiques (WebAnalytics), je l’ai gardé deux mois.
C’était bien trop évolué pour moi…, trop de données que je ne voulais pas sur les visiteurs ( Merci les cookies ), en gros Matomo c’est vraiment que pour du SEO.
Alors je l’ai enlevé et en plus ça me rajoutais une surface d’attaque supplémentaire à surveiller. Trop chronophage pour pas grand chose.
Si je vous parle de Matomo, c’est qu’avec on peut suivre les connexions par Pays, par région, et même par ville.
On peut anonymiser tout ça (en cas de dérobage de données, RGPD, toussa toussa, car ce logiciel vous en fournit beaucoup comme dit précédemment), et utiliser une IP que sur ses 16 derniers bits, donc 177.217.X.X imaginons.
Pour géolocaliser les visiteurs d’un site, Matomo utilise GeoIp, ouais toute cette introduction pour en arriver la….Mais c’est mon blog  !
Outre le fait de tracker des utilisateurs, il peut être utile de connaître l’origine d’une IP surtout dans le cadre de l’administration d’un serveur.

Dans un premier temps je vous présente donc le logiciel « Geoip » (Ça va gars, tu te répètes pas ?), il est très utilisé surtout sur le web.
Il est édité par MaxMindDB, fournissant aussi les bases de données d’IP (publiques).
Attention à la licence d’utilisation très restrictive.

On peut aussi utiliser Geoip avec Apache et Iptables.
Voir ces deux billets publiés récemment, d’où mon article, la boucle est bouclée.
https://blog.lecacheur.com/2018/11/27/apache-bloquer-lacces-http-a-certains-pays/
http://www.deltasight.fr/bloquer-pays-regles-iptables-xt_geoip/

Alors pour installer GeoIp sur Debian c’est très simple (et au passage on installe les logiciels qui seront présentés après GeoIp dans l’article):
apt-get install geoip-bin geoip-database geoip-database-extra geoipupdate whois traceroute

Et maintenant moussaillon ?

Déjà faut déterminer ce que l’on veut savoir sur cette IP,  le pays, la ville ? Avec l’incertitude à prendre en compte. Ou peut être juste savoir quel est l’entité et service associé derrière cette IP, un FAI, un hébergeur, un service cloud ?
Les bases que nous allons utiliser sont stockés ici :
ls /usr/share/GeoIP/
GeoIPASNum.dat GeoIPCity.dat GeoIP.dat GeoIPv6.dat

Les noms sont assez parlant, City pour les villes, IP pour les pays et IPASNum pour le numéro du système autonome (AS, désigne un ensemble de routeur gérant un stock d’IP sous la même bannière).

Faisons un test, je fais un ping sur Google, et ensuite je récupère l’IP.

Passons à la pratique (commande en bleu, retour en vert)

geoiplookup -f /usr/share/GeoIP/GeoIPASNum.dat 172.217.18.35
GeoIP ASNum Edition: AS15169 Google LLC
Ici vous voyez le numéro d’AS utilisé, un AS est un ensemble de routeur gérant un lot d’IP au nom de celui à qui il appartient, ici Google.

geoiplookup -f /usr/share/GeoIP/GeoIP.dat 172.217.18.35
GeoIP Country Edition: US, United States
Ici juste le Pays

geoiplookup -f /usr/share/GeoIP/GeoIPCity.dat 172.217.18.35
GeoIP City Edition, Rev 1: US, CA, California, Mountain View, 94043, 37.419201, -122.057404, 807, 650
Ici vous obtenez dans l’ordre le pays, l’état ou Région en caractère ISO puis Complet, la ville, le code postal et enfin les coordonnées GPS en degrés décimaux.

Comment exploiter ces données ?

Par exemple avec ce site vous rentrer le numéro de votre « système autonome » (ASnum) obtenu avec votre IP, et vous pouvez voir l’activité généré via celui-ci.
https://k-net-stats.lafibre.info/

Avec ce site vous avez des infos sur votre IP :
https://db-ip.com/. Mais autant utiliser directement GeoIp et ne pas subir les traceurs du site en question.

Avec Google Maps on peut placer sur la carte, d’où provient l’IP en rentrant la position GPS obtenue en degrés décimaux dans la barre de recherche :
Que du beau monde autours de Google, la NASA de partout , un aéroport (sûrement pas le RyanAir du coin), une Épicerie :D, en gros MountainView

Fin de la démo avec GeoIp, les possibilités sont nombreuses, de nombreuses API de tout genre l’utilise.

Maintenant si vous voulez juste avoir les infos légales disponibles sur l’IP (contacter le SysAdmin, reporter un abus liée à une IP, bref de l’administratif), il faut utiliser Whois, en conflit avec le RGPD.
whois 172.217.18.35

Et pour finir avec cet article, si vous voulez voir le chemin emprunté depuis votre pc, en passant par votre routeur/modem puis les différents points d’accès pour atteindre le serveur, ce qu’il vous faut, c’est le logiciel « traceroute ».
traceroute www.google.fr

J’en profite pour affirmer que quand on marche dans la rue on inscrit pas son adresse dans son dos, sur le web commercial qui plus est, cela devrait être encore plus vraie ! Utilisons Tor !

J’espère que cet article vous a plus, ou sera utile (pas à des fins malveillantes !).
Si vous avez des remarques, corrections, compléments, n’hésitez pas et laissez un commentaire 😉

Edit1 : Merci @Tetsumaki & @Cascador, de m’avoir indiqué que le site avait un tit souci. Et des compléments/corrections.


https://www.maxmind.com/en/home
https://fr.wikipedia.org/wiki/Mountain_View_(Californie)
https://fr.wikipedia.org/wiki/Autonomous_System
https://www.torproject.org/projects/torbrowser.html.en

Notepadqq, le Notepad++ pour GNU/Linux et MacOS

YopYop,

Je vais vous présenter si vous ne connaissez pas, Notepadqq.
Et certains d’entre vous seraient susceptibles de me balancer un « Bien ta grotte » ?

Késako ? Vous connaissez Notepad++ pour Windows, qui remplace le bloc-note par défaut. Notepadqq est une version de ce soft disponible pour la majorité des distributions GNU/Linux et aussi sur MacOS. Le code source est sous licence GPL3 donc totalement libre. On peut le compiler directement, il est basé sur Qt5 et développé en C++

Je ne me sert pas assez de notepad++ sur Windows pour vous dire ce qui manque mais il est bourré de fonctionnalités !!! L’essayer c’est l’adopter !
Il possède en plus pleins de thèmes sympatoches, pas négligeable.

Maintenons que la présentation est faite, voici la phase installation.

Si vous voulez sauter l’étape de la compilation et que vous êtes sur Debian, à la fin de l’article il y aura un lien pour avoir les packages .deb directement

Pour le compiler sur Debian & CentOS :

  • Installation des dépendances sur Debian :
    sudo apt-get install qt5-default qttools5-dev-tools qtwebengine5-dev libqt5websockets5-dev libqt5svg5 libqt5svg5-dev libuchardet-dev git
  • Installation des dépendances sur CentOS :
    sudo yum install -y qt5-qtbase-devel qt5-qttools-devel qt5-qtwebengine-devel qt5-qtwebsockets-devel qt5-qtsvg-devel uchardet qt5-qtwebchannel-devel
  • Téléchargement des fichiers sources avec git :
    git clone --recursive https://github.com/notepadqq/notepadqq.git && cd notepadqq
  • Build, Compilation :
    ./configure --prefix /usr
    make
  • Installation :
    sudo make install
  • Désinstallation :
    sudo make uninstall

Pour Debian, vous pouvez trouver les paquets aux formats .deb directement ici ( on les DL directement depuis le dépôt pour Ubuntu )

Sinon pour plus de détails : https://github.com/notepadqq/notepadqq#build-it-yourself

Sources :
Lien officiel : https://notepadqq.com/
Lien vers le GitHub : https://github.com/notepadqq/notepadqq

N’hésitez pas à réagir, et si vous avez un éditeur de texte dans le même genre à me faire découvrir, je suis preneur !

@++