Si vous gérez vous-même votre propre serveur, voici un outil baptisé Maltrail qui va surement vous intéresser. Maltrail est un système de détection de trafic malicieux qui utilise des listes noires publiques, des schémas connus ou remontés par les éditeurs d'antivirus qui permettent de traquer les noms de domaine, les URL ou les adresses IP utilisées pour balancer du malware ou mener des attaques. Pour les plus furieux, Maltrail dispose aussi d'un mécanisme optionnel de détection heuristique qui permet de débusquer les nouvelles menaces.

Pour fonctionner, Maltrail s'intercale entre le net et le serveur et surveille tout le trafic entrant ou sortant de celui-ci. Il se compose d'une partie Sensor qui détecte les schémas suspects et d'une partie Server qui permet de centraliser les informations (stats, reporting...etc.). Mais les 2 modules peuvent être installés sur la même machine et si vous souhaitez ne pas utiliser la partir Server, c'est possible. Dans ce cas, il vous faudra analyser les logs manuellement avec un éditeur texte.

Capture d'écran 2015-12-16 15.13.17

Une fois en place, Maltrail va vous permettre de détecter tout ce qui se passe d'étrange au niveau de votre serveur :

  • Détection de scans IP massifs (comme ce que fait Shodan par exemple)
  • Détection des scans de ports
  • Détection d'attaques via TOR (grâce à une liste de noeuds de sortie)
  • Détection d'attaques sur un service particulier (en cas d'arrivée massive de requêtes sur un même port)
  • Détection de malwares
  • Détection des domaines suspicieux
  • Détection des services IP qui permettent à un malware de connaitre l'adresse IP externe d'une machine
  • Détection des téléchargements vérolés
  • Détection des requêtes HTTP suspectes
  • Détection des connexions UDP suspectes
  • Et un système qui permet de passer certaines alertes en faux positifs.

Bref que du bon si vous voulez en savoir un peu plus sur toutes les saloperies qui passent dans vos tuyaux. Toute la doc et le soft sont disponibles sur Github.