Re: tentative Force Brute sur mon ftp

2009-03-23 Par sujet Revolver Onslaught 
> Bonjour à tous,
Bonjour,

> Utilisant depuis peu un serveur "perso à la maison" voici se que j'ai mis en
> place :
>
> j'utilise fail2ban et pure-ftp, à chaque tentative fail2ban bloque les ip
> pour une heure.

Je confirme. Fail2ban fonctionne très efficacement - si les regex sont
à jour. Au pire, ça n'est pas très difficile à trouver via le
repository volatile (de mémoire).
Pour les attaques SSH, j'utilise denyhost.

R.O.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: tentative Force Brute sur mon ftp

2009-03-22 Par sujet Kevin Hinault 
Le 20 mars 2009 20:39, Pierre  a écrit :

> Bonjour à tous,
>
> Il y a quelques jours,  j'ai installé un serveur FTP (proftpd).
> Depuis, pratiquement chaque jour, je fais l'objet de 1 ou 2 attaques de
> type brute force (Chine, Allemagne, US - si j'en crois les IP affichées dans
> les logs proftpd), qui jusqu'à maintenant n'ont heureusement pas abouti.
> Pour le moment, je me suis contenté d'ajouter une chaîne iptables pour
> dropper les ip concernés, mais bon, je ne vais pas passer mon temps à trier
> les logs (aujourd'hui plus de 12 lignes...) pour rajouter des filtres à
> la main.
> Donc, j'ai regardé la doc de proftpd (rapidement), je n'ai pas vu la
> possibilité de "bruler" une adresse ip.
> J'amagine que l'idéal serait d'utiliser un produit capable de détecter un
> trop grand nombre d'essais infructueux et de bloquer les adresses en
> question, mais je ne sais trop dans quelle direction chercher (Snort?)
>
> Merci d'avance pour vos idées, suggestions et conseils.
>
>
Oui snort + iptables ca me semble pas mal (jamais essayé personnellement).

Si les adresses sont toujours les mêmes tu peux les blacklister manuellement
avec quelques règles iptables.

Sinon il existe aussi la technique du port knocking qui permet de débloquer
un port suite à un "toc toc toc" codé et envoyé sur le serveur.

Et bien sur tu peux aussi ne pas écouter sur le port 21 ce qui devrait
rendre ton serveur invisible à la plupart des bots de scan.

Re: tentative Force Brute sur mon ftp

2009-03-22 Par sujet xorox 
>comment fonctionne ce changement de séquence?
>la nouvelle séquence est-elle envoyée par mail, ou communiquée par une
autre méthode?

Je n'ai pas vu si il y a cette fonctionnalité, mais il dois être possible de
créer un petit truc pour ce faire envoyer la séquence suivante , ou de ce la
faire afficher au début de connexion, voir les deux. :)

-- 
xorox5...@gmail.com
ID: 0x393F4A08
Fingerprint: 9170 4DD5 31D5 4C01 1EF2  9852 0DB1 A9E5 393F 4A08

Re: tentative Force Brute sur mon ftp

2009-03-22 Par sujet le père Léon 

xorox a écrit :
J'utilise port-knocking avec des séquences différente a chaque connexion 
pour éviter qu'elle ne puisse être récupérer.


et comment fonctionne ce changement de séquence?
la nouvelle séquence est-elle envoyée par mail, ou communiquée par une 
autre méthode?


--
Léon.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: tentative Force Brute sur mon ftp

2009-03-22 Par sujet boiteacourriels 

Bonjour à tous,
Utilisant depuis peu un serveur "perso à la maison" voici se que j'ai mis en 
place :

j'utilise fail2ban et pure-ftp, à chaque tentative fail2ban bloque les ip pour 
une heure.
Voici comment je procédé :
Fail2ban bloque l'ip 
Je la récupère dans le log de fail2ban ou le log du ftp

Je me rend ici : http://whois.domaintools.com/
Je recherche avec l'ip donné par fail2ban ou le ftp
Je récupère la plage ip (range)
Je la passe à iptables :
/sbin/iptables -A INPUT -m iprange --src-range *-*** -j DROP

on peux faire de même avec ssh, apache etc.
j'ai eut des tentatives de force brutes venant de Chine, Corée, Liban, Inde, 
Kasackstan, Usa, Allemagne.

Si ça peut aider.

Martin Jean-Fabrice

--
Using Opera's revolutionary e-mail client: http://www.opera.com/mail/



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: tentative Force Brute sur mon ftp

2009-03-22 Par sujet Le poulpe qui bloppe ! 
Attention avec le port knock,
C'est tres efficace, mais effectivement quand on est mobile, ca peux
etre bloquant.
Si un firewall que tu ne maitrise pas est en place sur ton lieu de
connexion, rien ne dit que tu pourra envoyer la sequence d'ouverture.
De plus si tu mets de l'udp en sequence, windows ne pourra plus tapper
(à moins que t'es les outils d'admin avec portquery, ou que tu te
balade avec netcat111.zip )

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: tentative Force Brute sur mon ftp

2009-03-21 Par sujet xorox 
C'est pas pratique car tu dois connaitre la séquence, et si tu est parano,
la séquence change a chaque connexion, mais la sécurité est a ce prix.

Port-knocking est paramétrable a souhaits ... il y a moyen de faire quelque
chose de bien sécuriser ... il suffi de noter les séquences sur un bout de
papier.

J'avais pas mal de tentative de connexion par force brute sur mon serveur
eDonkey, et je dois dire, que c'est la seul technique fiable et simple a
mettre en place que j'ai trouver.

-- 
In The Donkey We Trust.
xorox5...@gmail.com
ID: 0x393F4A08
Fingerprint: 9170 4DD5 31D5 4C01 1EF2  9852 0DB1 A9E5 393F 4A08

Re: tentative Force Brute sur mon ftp

2009-03-21 Par sujet François Boisson 
Le Sat, 21 Mar 2009 22:35:02 +0100
Vincent Besse  a écrit:

> On Sat, 21 Mar 2009 13:53:34 +0100
> dju`  wrote:
> 
> > jul...@nura.eu a écrit :
> > > Salut,
> > > 
> > > As-tu mis un bon mot de passe root ? root123 ?
> 
> C' était un savant mélange de chiffres/minuscules/majuscules
> sur 8 caractères. Ce qui me laisse penser que c' est pas une simple
> force brute de djeuns qui en est venue à bout (mais je peux tout à fait
> pêcher par naïveté). D' où ma question sur comment reconnaitre une
> attaque menée sur plusieurs fronts, si j' ai bien compris F. Boisson. 

Bizarre quand même, j'imagine que tu as changé ton mot de passe et
qu'il est définitevement cramé. Dans l'épisode dont je parle, les gars 
ont essayé des dizaines de milliers de logins avec 2 ou 3 mots de passe,
les chances de tomber sur un mot de passe bon avec le bon login sont
nulles chez moi (mettons comme mes chances de gagner au loto (si
j'y jouais))

Extrait des logs de l'époque (qui étaient kilométrique):

Le 26 Novembre:
   59.6.185.39: 1 time
   carlen/keyboard-interactive/pam: 1 time
59.37.75.23: 4 times
   broderick/keyboard-interactive/pam: 1 time
   cala/keyboard-interactive/pam: 1 time
   carlos/keyboard-interactive/pam: 1 time
   carmen/keyboard-interactive/pam: 1 time
59.124.224.95 (59-124-224-95.HINET-IP.hinet.net): 6 times
   brinley/keyboard-interactive/pam: 1 time
   brody/keyboard-interactive/pam: 1 time
   caitlyn/keyboard-interactive/pam: 1 time
   callista/keyboard-interactive/pam: 1 time
   candra/keyboard-interactive/pam: 1 time
   ceri/keyboard-interactive/pam: 1 time
61.4.210.33: 2 times
   callia/keyboard-interactive/pam: 1 time
   carolos/keyboard-interactive/pam: 1 time
61.47.31.130: 3 times
   bryant/keyboard-interactive/pam: 1 time
   cam/keyboard-interactive/pam: 1 time
   cavan/keyboard-interactive/pam: 1 time
61.135.234.7: 1 time
   capucine/keyboard-interactive/pam: 1 time
61.152.107.62: 1 time
   brittania/keyboard-interactive/pam: 1 time
61.172.200.198: 2 times

le 20 décembre:

71.63.229.140 (c-71-63-229-140.hsd1.mn.comcast.net): 6 times
   nimrod/keyboard-interactive/pam: 1 time
   nituna/keyboard-interactive/pam: 1 time
   niyati/keyboard-interactive/pam: 1 time
   nodin/keyboard-interactive/pam: 1 time
   nora/keyboard-interactive/pam: 1 time
   nu/keyboard-interactive/pam: 1 time
72.66.191.175 (static-72-66-191-175.ronkva.east.verizon.net): 1 time
   noland/keyboard-interactive/pam: 1 time
74.95.165.97 (74-95-165-97-Philadelphia.hfc.comcastbusiness.net): 2 times
   ninon/keyboard-interactive/pam: 1 time
   noma/keyboard-interactive/pam: 1 time
75.22.172.193 (adsl-75-22-172-193.dsl.sndg02.sbcglobal.net): 3 times
   nina/keyboard-interactive/pam: 1 time
   nolan/keyboard-interactive/pam: 1 time
   norton/keyboard-interactive/pam: 1 time
79.120.226.174: 3 times
   ninarika/keyboard-interactive/pam: 1 time
   norris/keyboard-interactive/pam: 1 time
   nox/keyboard-interactive/pam: 1 time
80.34.55.88 (88.Red-80-34-55.staticIP.rima-tde.net): 1 time
   nydia/keyboard-interactive/pam: 1 time
80.38.150.53 (53.Red-80-38-150.staticIP.rima-tde.net): 1 time
   nuala/keyboard-interactive/pam: 1 time

Le 31 décembre
211.138.112.242: 3 times
   skyla/keyboard-interactive/pam: 2 times
   socrates/keyboard-interactive/pam: 1 time
217.96.70.66: 4 times
   skylar/keyboard-interactive/pam: 1 time
   solana/keyboard-interactive/pam: 1 time
   sondra/keyboard-interactive/pam: 1 time
   sonya/keyboard-interactive/pam: 1 time
220.194.201.208: 1 time
   snowy/keyboard-interactive/pam: 1 time
221.8.255.134: 3 times
   skule/keyboard-interactive/pam: 1 time
   sohalia/keyboard-interactive/pam: 1 time
   sonny/keyboard-interactive/pam: 1 time
 
J'ai eu droit à tout l'alphabet. Chaque machine faisait 3 connexions au plus
et les logins étaient concertés (par ordre alphabétique). Ça s'est arrêté au
premier Janvier 2009 pile. 

> 
> > 
> > Il est aussi possible de mettre en place l'accès SSH par clé asymétrique 
> > (RSA ou DSA) et de désactiver l'accès par mot de passe.
> 
> Ca sera quelque chose dans ce goût-là après réinstallation du bouzin.
> Avec sauvegarde de mon trousseau de clefs numériques sur clef USB
> attachée à mon trousseau de clefs physiques. Ca devrait me permettre l'
> accés SSH depuis n' importe où, à condition que j' y sois :)
> 
> Le port-knocking, que je ne connaissais pas, me semble difficilement
> compatible avec des accès mobiles. Me trompe-je?
> 

C'est faisable mais si tu veux pouvoir y accéder à partir d'une machine windows
et putty, c'est faisable (avec telnet pour toquer à la porte) mais pas pratique 
pratique.

François Boisson

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``

Re: tentative Force Brute sur mon ftp

2009-03-21 Par sujet Vincent Besse 
On Sat, 21 Mar 2009 13:53:34 +0100
dju`  wrote:

> jul...@nura.eu a écrit :
> > Salut,
> > 
> > As-tu mis un bon mot de passe root ? root123 ?

C' était un savant mélange de chiffres/minuscules/majuscules
sur 8 caractères. Ce qui me laisse penser que c' est pas une simple
force brute de djeuns qui en est venue à bout (mais je peux tout à fait
pêcher par naïveté). D' où ma question sur comment reconnaitre une
attaque menée sur plusieurs fronts, si j' ai bien compris F. Boisson. 

> 
> Il est aussi possible de mettre en place l'accès SSH par clé asymétrique 
> (RSA ou DSA) et de désactiver l'accès par mot de passe.

Ca sera quelque chose dans ce goût-là après réinstallation du bouzin.
Avec sauvegarde de mon trousseau de clefs numériques sur clef USB
attachée à mon trousseau de clefs physiques. Ca devrait me permettre l'
accés SSH depuis n' importe où, à condition que j' y sois :)

Le port-knocking, que je ne connaissais pas, me semble difficilement
compatible avec des accès mobiles. Me trompe-je?

Vincent

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: tentative Force Brute sur mon ftp

2009-03-21 Par sujet Alain Baeckeroot 
Le 21/03/2009 à 12:50, Vincent Besse a écrit :

> Je viens de me faire péter une Dedibox en Lenny. Accès ssh en root
> depuis une adresse de Hong-Kong.

Il faut interdire le login root (en ssh ou autre)
Pour une attaque force brute connaître un login c'est déjà la moitié du
 travail de fait

donc login root interdit, juste sudo autorisé, et un vrai login (pas toto) 
avec un vrai mot de passe robuste

Alain

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: tentative Force Brute sur mon ftp

2009-03-21 Par sujet xorox 
J'utilise port-knocking avec des séquences différente a chaque connexion
pour éviter qu'elle ne puisse être récupérer.

C'est, pour moi, contre le brute force, simple a mettre en place et très
efficace.

Mort aux script-kiddies ...

-- 
In The Donkey We Trust.
xorox5...@gmail.com
ID: 0x393F4A08
Fingerprint: 9170 4DD5 31D5 4C01 1EF2  9852 0DB1 A9E5 393F 4A08

Re: tentative Force Brute sur mon ftp

2009-03-21 Par sujet Edi Stojicevic 
* dju`  [2009-03-21 13:53:34 +0100] wrote :

> jul...@nura.eu a écrit :
>> Salut,
>>
>> As-tu mis un bon mot de passe root ? root123 ?
>>
>> Si tu est le seul à te connecte en ssh à ton serveur change de port 22  
>> -->  par exemple ça t'évitera des gros log et enfin si tu te  
>> connecte toujours de chez toi (adresse ip fixe) tu peux configurer ton  
>> firewall pour autoriser uniquement cette adresse IP.
>>
>> Julien.
>
> Il est aussi possible de mettre en place l'accès SSH par clé asymétrique  
> (RSA ou DSA) et de désactiver l'accès par mot de passe.

J'allais le dire ... et le coupler à knockd :)


-- 
. ''`.  (\___/) E d i   S T O J I C E V I C
: :'  : (='.'=) http://www.debianworld.org 
`. `~'  (")_(") GPG: 0x1237B032
  `-

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: tentative Force Brute sur mon ftp

2009-03-21 Par sujet Frédéric MASSOT 

Pierre a écrit :

Bonjour à tous,

Il y a quelques jours,  j'ai installé un serveur FTP (proftpd).
Depuis, pratiquement chaque jour, je fais l'objet de 1 ou 2 attaques de 
type brute force (Chine, Allemagne, US - si j'en crois les IP affichées 
dans les logs proftpd), qui jusqu'à maintenant n'ont heureusement pas 
abouti.
Pour le moment, je me suis contenté d'ajouter une chaîne iptables pour 
dropper les ip concernés, mais bon, je ne vais pas passer mon temps à 
trier les logs (aujourd'hui plus de 12 lignes...) pour rajouter des 
filtres à la main.
Donc, j'ai regardé la doc de proftpd (rapidement), je n'ai pas vu la 
possibilité de "bruler" une adresse ip.
J'amagine que l'idéal serait d'utiliser un produit capable de détecter 
un trop grand nombre d'essais infructueux et de bloquer les adresses en 
question, mais je ne sais trop dans quelle direction chercher (Snort?)


Merci d'avance pour vos idées, suggestions et conseils.


Bonjour,

Tu peux utiliser un autre port que le 21 pour ton serveur FTP. Tu 
éviteras ainsi les scans automatisés.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: tentative Force Brute sur mon ftp

2009-03-21 Par sujet dju` 

jul...@nura.eu a écrit :

Salut,

As-tu mis un bon mot de passe root ? root123 ?

Si tu est le seul à te connecte en ssh à ton serveur change de port 22 
-->  par exemple ça t'évitera des gros log et enfin si tu te 
connecte toujours de chez toi (adresse ip fixe) tu peux configurer ton 
firewall pour autoriser uniquement cette adresse IP.


Julien.


Il est aussi possible de mettre en place l'accès SSH par clé asymétrique 
(RSA ou DSA) et de désactiver l'accès par mot de passe.

--
--dju`

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: tentative Force Brute sur mon ftp

2009-03-21 Par sujet Frédéric MASSOT 

Vincent Besse a écrit :


Je viens de me faire péter une Dedibox en Lenny. Accès ssh en root
depuis une adresse de Hong-Kong. Comment peut-on reconnaitre que
diverses tentatives d' accès sont corrélées ? Yatil un moyen autre que
PermitRootLogin à no pour s' en prémunir? Sachant qu' il ne s' agit
dans mon cas que d' un serveur perso, sans données hyper importantes et
que je ne cherche pas la sécurité absolue. Je suppose qu' une stratégie
de sécurité n' est réellement efficace que si elle est maîtrisée, et j'
en suis(était?) encore à faire des conneries dans la configuration de
ssh... 


Bonjour,

L'accès SSH devrait être limité à certaines adresses IP fixes ou bloc 
d'adresses IP via le fichier "hosts.allow", et dans le fichier 
"hosts.deny" il devrait y avoir la ligne "ALL: ALL".


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: tentative Force Brute sur mon ftp

2009-03-21 Par sujet julien 

Salut,

As-tu mis un bon mot de passe root ? root123 ?

Si tu est le seul à te connecte en ssh à ton serveur change de port 22  
-->  par exemple ça t'évitera des gros log et enfin si tu te  
connecte toujours de chez toi (adresse ip fixe) tu peux configurer ton  
firewall pour autoriser uniquement cette adresse IP.


Julien.

Quoting Vincent Besse :


On Fri, 20 Mar 2009 21:31:19 +0100
François Boisson  wrote:

De Novembre à Janvier, j'ai subi chaque jour des milliers d'attaque  
 ssh à partir d'un

botnet de 2000 machines en gros, attaques corrélées avec essai de logins par
ordre alphabétique (le nombre total se chiffre en centaine de   
milliers).. Les IPs sont
bloquées après 3 essais prendant quelques minutes mais chaque   
machine ne faisait
qu'un ou deux essais. J'avais fait de manière automatique un   
message au abuse des IPs
concernées. Il y a eu en gros 1à2% de retour, à chaque fois des   
machines compromises.


Je viens de me faire péter une Dedibox en Lenny. Accès ssh en root
depuis une adresse de Hong-Kong. Comment peut-on reconnaitre que
diverses tentatives d' accès sont corrélées ? Yatil un moyen autre que
PermitRootLogin à no pour s' en prémunir? Sachant qu' il ne s' agit
dans mon cas que d' un serveur perso, sans données hyper importantes et
que je ne cherche pas la sécurité absolue. Je suppose qu' une stratégie
de sécurité n' est réellement efficace que si elle est maîtrisée, et j'
en suis(était?) encore à faire des conneries dans la configuration de
ssh...

Merci d' éclairer ma lanterne,
Vincent

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org





--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: tentative Force Brute sur mon ftp

2009-03-21 Par sujet Vincent Besse 
On Fri, 20 Mar 2009 21:31:19 +0100
François Boisson  wrote:

> De Novembre à Janvier, j'ai subi chaque jour des milliers d'attaque ssh à 
> partir d'un
> botnet de 2000 machines en gros, attaques corrélées avec essai de logins par
> ordre alphabétique (le nombre total se chiffre en centaine de milliers).. Les 
> IPs sont
> bloquées après 3 essais prendant quelques minutes mais chaque machine ne 
> faisait
> qu'un ou deux essais. J'avais fait de manière automatique un message au abuse 
> des IPs
> concernées. Il y a eu en gros 1à2% de retour, à chaque fois des machines 
> compromises.

Je viens de me faire péter une Dedibox en Lenny. Accès ssh en root
depuis une adresse de Hong-Kong. Comment peut-on reconnaitre que
diverses tentatives d' accès sont corrélées ? Yatil un moyen autre que
PermitRootLogin à no pour s' en prémunir? Sachant qu' il ne s' agit
dans mon cas que d' un serveur perso, sans données hyper importantes et
que je ne cherche pas la sécurité absolue. Je suppose qu' une stratégie
de sécurité n' est réellement efficace que si elle est maîtrisée, et j'
en suis(était?) encore à faire des conneries dans la configuration de
ssh... 

Merci d' éclairer ma lanterne,
Vincent

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: tentative Force Brute sur mon ftp

2009-03-20 Par sujet François Boisson 
Le Fri, 20 Mar 2009 20:27:11 +0100
Pierre  a écrit:

> Bonjour à tous,
> 
> Il y a quelques jours,  j'ai installé un serveur FTP (proftpd).
> Depuis, pratiquement chaque jour, je fais l'objet de 1 ou 2 attaques de 
> type brute force (Chine, Allemagne, US - si j'en crois les IP affichées 
> dans les logs proftpd), qui jusqu'à maintenant n'ont heureusement pas 
> abouti.
> Pour le moment, je me suis contenté d'ajouter une chaîne iptables pour 
> dropper les ip concernés, mais bon, je ne vais pas passer mon temps à 
> trier les logs (aujourd'hui plus de 12 lignes...) pour rajouter des 
> filtres à la main.
> Donc, j'ai regardé la doc de proftpd (rapidement), je n'ai pas vu la 
> possibilité de "bruler" une adresse ip.

iptables -A INPUT  -p tcp --dport 21 -m state --state NEW  -m recent 
--set
iptables -I INPUT  -p tcp --dport 21 -m state --state NEW -m recent 
--update --seconds 90 --hitcount 10 -j DROP


> J'amagine que l'idéal serait d'utiliser un produit capable de détecter 
> un trop grand nombre d'essais infructueux et de bloquer les adresses en 
> question, mais je ne sais trop dans quelle direction chercher (Snort?)
> 

Voilà.

> Merci d'avance pour vos idées, suggestions et conseils.
> 

François Boisson


> Ah encore une question (Peut-on considérer que les adresses utilisées 
> pour m'attaquer (211.90.25.230, 69.94.8.15, 212.40.162.11) sont de vrais 
> adresses, ou bien des adresses usurpées ?
> 
> 
De Novembre à Janvier, j'ai subi chaque jour des milliers d'attaque ssh à 
partir d'un
botnet de 2000 machines en gros, attaques corrélées avec essai de logins par
ordre alphabétique (le nombre total se chiffre en centaine de milliers). Les 
IPs sont
bloquées après 3 essais prendant quelques minutes mais chaque machine ne faisait
qu'un ou deux essais. J'avais fait de manière automatique un message au abuse 
des IPs
concernées. Il y a eu en gros 1à2% de retour, à chaque fois des machines 
compromises.



-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Re: tentative Force Brute sur mon ftp

2009-03-20 Par sujet Jérémy Verda 
Bonsoir,

Il me semble que Fail2ban te permet de bloquer des ip tentant trop
d'essais infructueux :

Voilà ce que je lis comme description dans mon gestionnaire de paquet :

"bans IPs that cause multiple authentication errors

Monitors log files (e.g. /var/log/auth.log,
 /var/log/apache/access.log) and temporarily or persistently bans
failure-prone addresses by updating existing firewall rules. The
software was completely rewritten at version 0.7.0 and now allows
easy specification of different actions to be taken such as to ban an
IP using iptables or hostsdeny rules, or simply to send a
notification email. Currently, by default, supports ssh/apache/vsftpd
but configuration can be easily extended for monitoring any other ASCII
file. All filters and actions are given in the config files, thus
fail2ban can be adopted to be used with a variety of files and
firewalls."

Cordialement,

Jérémy

Pierre a écrit :
> Bonjour à tous,
> 
> Il y a quelques jours,  j'ai installé un serveur FTP (proftpd).
> Depuis, pratiquement chaque jour, je fais l'objet de 1 ou 2 attaques de
> type brute force (Chine, Allemagne, US - si j'en crois les IP affichées
> dans les logs proftpd), qui jusqu'à maintenant n'ont heureusement pas
> abouti.
> Pour le moment, je me suis contenté d'ajouter une chaîne iptables pour
> dropper les ip concernés, mais bon, je ne vais pas passer mon temps à
> trier les logs (aujourd'hui plus de 12 lignes...) pour rajouter des
> filtres à la main.
> Donc, j'ai regardé la doc de proftpd (rapidement), je n'ai pas vu la
> possibilité de "bruler" une adresse ip.
> J'amagine que l'idéal serait d'utiliser un produit capable de détecter
> un trop grand nombre d'essais infructueux et de bloquer les adresses en
> question, mais je ne sais trop dans quelle direction chercher (Snort?)
> 
> Merci d'avance pour vos idées, suggestions et conseils.
> 
> Ah encore une question (Peut-on considérer que les adresses utilisées
> pour m'attaquer (211.90.25.230, 69.94.8.15, 212.40.162.11) sont de vrais
> adresses, ou bien des adresses usurpées ?
> 
> 
> 

-- 

Blog : http://blog.v-jeremy.net

begin:vcard
fn;quoted-printable:J=C3=A9r=C3=A9my Verda
n;quoted-printable:Verda;J=C3=A9r=C3=A9my
email;internet:s...@v-jeremy.net
x-mozilla-html:FALSE
url:http://blog.v-jeremy.net
version:2.1
end:vcard