Shams Fantar wrote:
Bonsoir,
Je viens d'installer pure-ftpd sur un serveur, je vois que des
adresses DNS tentent toutes les secondes/minutes (à peu près) de se
connecter sur le serveur FTP, un peu de logs pour commencer :
May 7 13:53:22 snurf pure-ftpd: ([EMAIL PROTECTED])
[INFO] New connection from dxb-as13364.alshamil.net.ae
May 7 13:53:22 snurf pure-ftpd: ([EMAIL PROTECTED])
[INFO] Logout.
May 7 13:53:29 snurf pure-ftpd: ([EMAIL PROTECTED])
[INFO] New connection from dxb-as13364.alshamil.net.ae
May 7 13:53:29 snurf pure-ftpd: ([EMAIL PROTECTED])
[INFO] Logout.
May 7 13:53:31 snurf pure-ftpd: ([EMAIL PROTECTED])
[INFO] New connection from dxb-as13364.alshamil.net.ae
May 7 13:53:31 snurf pure-ftpd: ([EMAIL PROTECTED])
[INFO] Logout.
May 7 13:53:35 snurf pure-ftpd: ([EMAIL PROTECTED])
[INFO] New connection from dxb-as13364.alshamil.net.ae
May 7 13:53:35 snurf pure-ftpd: ([EMAIL PROTECTED])
[INFO] Logout.
May 7 13:53:37 snurf pure-ftpd: ([EMAIL PROTECTED])
[INFO] New connection from dxb-as13364.alshamil.net.ae
J'ai tenté un pure-ftpd : dxb-as13364.alshamil.net.ae dans
/etc/hosts.deny, ça n'y change rien, j'ai utilisé une règle iptables
sur l'ip de dxb-as13364.alshamil.net.ae, toujours pareil, ça ne change
rien. Mais de toute manière, la partie 13364 de l'adresse change assez
souvent, donc dur dur de bloquer !
Je pense donc qu'il faut bloquer *.alshamil.net.ae, mais je ne vois
pas comment, est-ce faisable ?
bloque 217.165.128.0/18 (obtenu par whois, donc c'est juste une partie).
tu peux chercher les blocs des emirats arabes et les bloquer:
http://www.ipmaster.org/ranges.php?cc=AE
ou
http://www.proxyserverprivacy.com/ipaddress_range.php
(cherche "United Arab Emirates")
... etc.
bien sur, si tu reçois des conexions legitimes de ce pays, ce n'est
évidemment pas une solution!
Sinon, tu peux aussi contrer les attaques de dictionnaire avec iptables:
http://www.debian-administration.org/articles/187
http://mwolf.net/archive/iptables-against-ssh/
http://www.linux.com/article.pl?sid=05/09/15/1655234
Ca parle de ssh, mais tu peux adapter à ftp.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
