Gradew

Le besoin crée l'outil...

Surveiller les syslogs de serveurs à partir de postes client Windows armés de PuTTY, c'est bien. Avoir un client Windows permettant d'aggréger tous ces syslogs en une seule fenêtre, c'est encore mieux.

Voici donc un outil de ma création, Aurele, sous licence GNU.

Bien entendu, pour que cela fonctionne, n'oubliez pas de reconfigurer vos /etc/syslog.conf afin qu'ils envoient leurs requêtes UDP vers votre machine Windows.

(Le logiciel sera disponible au téléchargement d'ici quelques jours, le temps pour moi de le finaliser)

... ça donne quelque chose comme ça:


Pour être honnête, j'ai bien galéré avant de mettre le doigt sur un problème qui nous faisait tourner en bourrique au boulot; vous pingez une machine, c'est une autre qui vous répond... certains users voient le domaine et pas d'autres... En fait, c'est juste un routeur (installé par des "experts" réseau, enfin du moins il paraît) qui s'amuse à répondre aux requêtes ARP à la place des autres machines. Nan mais ho, on lui a rien demandé à lui...

Vivi, c'est bien lui...

N'ayant visiblement rien de mieux à faire de mon temps, j'ai déterré ce vieux projet pour l'adapter sous Linux... le réécrire en partant de zéro, même.

Voici un petit aperçu de ce que ça donne pour l'instant (cliquez sur l'image pour l'agrandir):

Le tout a été réalisé en deux jours avec du libre/gratuit:

• compilateur g++ (GCC) 4.1.2 20061115
• librairie OpenGL freeglut
• librairie libjpeg pour le chargement des textures
• librairies X11 étendues libxf86vm
• DeleD (version LITE) pour l'édition 3D, la map et les textures d'exemple; leur format de fichier est un format texte ouvert

Mon but n'est pas non plus d'écrire le moteur 3D du siècle, y'a des équipes entières qui font ça largement mieux que moi tout seul. Mais c'est encourageant de voir qu'on peut arriver à des résultats exploitables en si peu de temps.

Depuis plusieurs mois, on peut observer sur énormément de réseaux IRC un phénomène assez amusant; des bots répondant aux doux noms de paula35, gigi31 ou encore clochette et mbulleg se connectent au réseau, semblent ne rien faire pendant 2/3 minutes, puis quittent le réseau.

Dans un élan de pseudo-conscience vaguement professionnelle, j'ai dégainé mon plus beau PuTTY sur un de mes serveurs:

nohup tcpdump -vv -s 0 -w cmon-stupid-fecking-bots.pcap 'tcp[2:2]=6667' &

afin de voir de quoi il en retourne. En moins de 24h, premiers résultats, et concluants avec ça: ils font bien quelque chose, mais c'est au niveau de la couche TCP que ça se passe. La conversation suivant le protocole IRC se résume en effet à un NICK, USER puis un QUIT, mais c'est ce qui se passe avant le QUIT qui est intéressant. J'ai pu en effet observer une totalité de 1342 erreurs de protocole TCP: Bad checksum, SYN, FIN, RST, bad checksum (plus de 30 fois), et re-belote.

On va appeler ça une pitoyable tentative de DoS, car c'est pas avec sa petite bande passante qu'il fera paniquer un serveur. Mais ça mérite quand même un DROP sur les firewalls.

Admins IRC, sus à 212.198.248.33 [212-198-248-33.rev.numericable.fr] et 90.25.50.57 [ANantes-257-1-35-57.w90-25.abo.wanadoo.fr].

Edit: Comme me l'a suggéré Sendell de l'équipe d'EpiKnet, il peut être utile d'avoir recours à des services de blacklist, comme bopm, qui commencent à recenser ces IP devenant visiblement de plus en plus nombreuses, du moins suffisamment pour qu'on commence à s'en soucier.

Le coup de coeur du mois, que dis-je... de l'année, c'est http://pthichat.net/ (présent dans les liens depuis longtemps, mais je suis très à la bourre sur mes billets). Là, vous me demandez, "pourquoi?" "Eh bien, je vais vous le dire!", comme le dit si bien notre grand (*tousse*) ami Nicolas: c'est tout simplement MA référence perso sur tous les trucs et astuces pratiques concernant notre pingouin adoré: développement, patches de modules, administration système en général... Il faut dire que l'auteur de ce site, qui juste comme ça, au passage, est capable de gérer une très grosse plate-forme d'hébergement devant supporter des millions d'utilisateurs (GX-MOD), est celui qui m'a appris les bases de l'administration système (gestions des zones DNS, postfix et j'en passe). Un gars comme on n'en fait plus tellement, malheureusement, car beaucoup trop appréhendent ce travail à la légère.

Sur ce blog il nous fait part de son expérience et de tous les problèmes qu'il a pu rencontrer, et surtout, comment les résoudre ou les contourner SANS FAIRE CA COMME UN PORC (on est tous tentés de passer par là hein, on est humains).

Si le sujet vous intéresse, ça mérite d'emblée un petit Ctrl-D sur sa page d'accueil. J'ai comme l'impression qu'on a tous à y apprendre.

... et c'est pas trop tôt ...

Par souci de simplicité, celui-ci a été fait en Perl; le développement du bot en C++ a donc été suspendu pour le moment. Néanmoins, la version Perl offre déjà certains avantages. Voici une petite liste de ce qu'il sait déjà faire:

• Possibilité d'intégrer des modules; un module comporte en fait plusieurs procédures, chacune gérant un évènement bien particulier (message sur un canal, changement de mode, join/part sur un canal, etc.)
• Lors de la connexion, le bot rejoint un canal. Il est possible de lui en faire joindre d'autres au même moment, mais il est également possible de l'inviter sur un chan. Attention, il est programmé pour rejoindre automatiquement en cas de kick. Par contre, en cas de ban, il n'insistera pas (faut bien pouvoir s'en débarrasser d'une façon ou d'une autre :p)
• Détection des clones sur host

Je fournirai très bientôt un module appelé Eliza, qui est un wrapper du module Perl ChatBot::Eliza. Et puis je ferai une vraie documentation aussi...

Le robot est actuellement en service sur deux réseaux IRC: EpiKnet (#gx-mod.com, #xavbox) et CrystalIRC (irc.crystalirc.net, #crystalshrink).

Télécharger CrystalBot v0.1

Ce nom n'est qu'un "nom de travail"... il fallait bien lui en trouver un afin de savoir de quoi on parle ;-). En résumé, il s'agit d'un robot IRC que j'ai écrit en C++. Après une certaine période d'inactivité, je m'y suis remis comme un acharné ce week-end, et il commence à avoir de l'allure, le bougre. Voici une petite liste de ce qu'il sait faire:

* gère jusqu'à 16 canaux simultanément
* auto-rejoin sur kick
* système de remotes, hardcodées pour le moment; comprend notamment le remote "!charte <numéro> <pseudo>"
* reconnaît les kill serveur/ircop; le processus sera alors terminé automatiquement (merci krib! :D)
* reconnaît les k/g:lines, le processus se terminera également
* ghost recover; si le pseudo du bot est déjà utilisé, il prendra alors un nick temporaire et effectuera un ghost kill
* utilise 2,5 fois moins de mémoire qu'un eggdrop

Il me reste encore quelques fonctions de base à implémenter avant d'effectuer une "mise en production". La suite va venir très bientôt...

Depuis peu, et afin de permettre d'éliminer tous ces Spams que l'ont recoit chaque jour, Microsoft a décidé de lancer un nouveau concept génialissime en adhérant au programme Sender Score.

Ayant décidé que le Sender ID ne suffirait plus (ce dernier empêchant déjà tous les hébergements mutualisés d'envoyer des mails vers MSN/Hotmail), Microsoft a donc recours à ce fameux Sender Score. Quel en est le principe? Très simple: Allez donc faire un tour sur http://www.senderscorecertified.com/ pour vous rendre compte qu'il vous faut donc désormais une certification "Sender Score" qui est bien sûr payante, afin d'être reconnu comme expéditeur légitime.

Pour ceux qui ne sont pas "Sender Score Certified", il faut juste espérer que les mails d'inscriptions aux forums, etc.. passent au travers des mailles du filet.

Pour finir, deux extraits de la conversation que j'ai eue avec eux par e-mail:

"While using the SNDS tool, enrollment in the JMRP or having your IPs registered with Sender ID will not allow emails from your mail servers to bypass our filters, these are in place to help legitimate companies deliver their emails to Hotmail Customers."

"The troubleshooting steps in this email are recommendations only. Microsoft makes no guarantees that following these steps will guarantee deliverability to MSN, Hotmail, or Live.com customers."

En résumé: Microsoft ne GARANTIT PLUS l'acheminement correct des e-mails vers leurs serveurs :(.