Re: tentative Force Brute sur mon ftp
> Bonjour à tous, Bonjour, > Utilisant depuis peu un serveur "perso à la maison" voici se que j'ai mis en > place : > > j'utilise fail2ban et pure-ftp, à chaque tentative fail2ban bloque les ip > pour une heure. Je confirme. Fail2ban fonctionne très efficacement - si les regex sont à jour. Au pire, ça n'est pas très difficile à trouver via le repository volatile (de mémoire). Pour les attaques SSH, j'utilise denyhost. R.O. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: tentative Force Brute sur mon ftp
Le 20 mars 2009 20:39, Pierre a écrit : > Bonjour à tous, > > Il y a quelques jours, j'ai installé un serveur FTP (proftpd). > Depuis, pratiquement chaque jour, je fais l'objet de 1 ou 2 attaques de > type brute force (Chine, Allemagne, US - si j'en crois les IP affichées dans > les logs proftpd), qui jusqu'à maintenant n'ont heureusement pas abouti. > Pour le moment, je me suis contenté d'ajouter une chaîne iptables pour > dropper les ip concernés, mais bon, je ne vais pas passer mon temps à trier > les logs (aujourd'hui plus de 12 lignes...) pour rajouter des filtres à > la main. > Donc, j'ai regardé la doc de proftpd (rapidement), je n'ai pas vu la > possibilité de "bruler" une adresse ip. > J'amagine que l'idéal serait d'utiliser un produit capable de détecter un > trop grand nombre d'essais infructueux et de bloquer les adresses en > question, mais je ne sais trop dans quelle direction chercher (Snort?) > > Merci d'avance pour vos idées, suggestions et conseils. > > Oui snort + iptables ca me semble pas mal (jamais essayé personnellement). Si les adresses sont toujours les mêmes tu peux les blacklister manuellement avec quelques règles iptables. Sinon il existe aussi la technique du port knocking qui permet de débloquer un port suite à un "toc toc toc" codé et envoyé sur le serveur. Et bien sur tu peux aussi ne pas écouter sur le port 21 ce qui devrait rendre ton serveur invisible à la plupart des bots de scan.
Re: tentative Force Brute sur mon ftp
>comment fonctionne ce changement de séquence? >la nouvelle séquence est-elle envoyée par mail, ou communiquée par une autre méthode? Je n'ai pas vu si il y a cette fonctionnalité, mais il dois être possible de créer un petit truc pour ce faire envoyer la séquence suivante , ou de ce la faire afficher au début de connexion, voir les deux. :) -- xorox5...@gmail.com ID: 0x393F4A08 Fingerprint: 9170 4DD5 31D5 4C01 1EF2 9852 0DB1 A9E5 393F 4A08
Re: tentative Force Brute sur mon ftp
xorox a écrit : J'utilise port-knocking avec des séquences différente a chaque connexion pour éviter qu'elle ne puisse être récupérer. et comment fonctionne ce changement de séquence? la nouvelle séquence est-elle envoyée par mail, ou communiquée par une autre méthode? -- Léon. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: tentative Force Brute sur mon ftp
Bonjour à tous, Utilisant depuis peu un serveur "perso à la maison" voici se que j'ai mis en place : j'utilise fail2ban et pure-ftp, à chaque tentative fail2ban bloque les ip pour une heure. Voici comment je procédé : Fail2ban bloque l'ip Je la récupère dans le log de fail2ban ou le log du ftp Je me rend ici : http://whois.domaintools.com/ Je recherche avec l'ip donné par fail2ban ou le ftp Je récupère la plage ip (range) Je la passe à iptables : /sbin/iptables -A INPUT -m iprange --src-range *-*** -j DROP on peux faire de même avec ssh, apache etc. j'ai eut des tentatives de force brutes venant de Chine, Corée, Liban, Inde, Kasackstan, Usa, Allemagne. Si ça peut aider. Martin Jean-Fabrice -- Using Opera's revolutionary e-mail client: http://www.opera.com/mail/ -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: tentative Force Brute sur mon ftp
Attention avec le port knock, C'est tres efficace, mais effectivement quand on est mobile, ca peux etre bloquant. Si un firewall que tu ne maitrise pas est en place sur ton lieu de connexion, rien ne dit que tu pourra envoyer la sequence d'ouverture. De plus si tu mets de l'udp en sequence, windows ne pourra plus tapper (à moins que t'es les outils d'admin avec portquery, ou que tu te balade avec netcat111.zip ) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: tentative Force Brute sur mon ftp
C'est pas pratique car tu dois connaitre la séquence, et si tu est parano, la séquence change a chaque connexion, mais la sécurité est a ce prix. Port-knocking est paramétrable a souhaits ... il y a moyen de faire quelque chose de bien sécuriser ... il suffi de noter les séquences sur un bout de papier. J'avais pas mal de tentative de connexion par force brute sur mon serveur eDonkey, et je dois dire, que c'est la seul technique fiable et simple a mettre en place que j'ai trouver. -- In The Donkey We Trust. xorox5...@gmail.com ID: 0x393F4A08 Fingerprint: 9170 4DD5 31D5 4C01 1EF2 9852 0DB1 A9E5 393F 4A08
Re: tentative Force Brute sur mon ftp
Le Sat, 21 Mar 2009 22:35:02 +0100 Vincent Besse a écrit: > On Sat, 21 Mar 2009 13:53:34 +0100 > dju` wrote: > > > jul...@nura.eu a écrit : > > > Salut, > > > > > > As-tu mis un bon mot de passe root ? root123 ? > > C' était un savant mélange de chiffres/minuscules/majuscules > sur 8 caractères. Ce qui me laisse penser que c' est pas une simple > force brute de djeuns qui en est venue à bout (mais je peux tout à fait > pêcher par naïveté). D' où ma question sur comment reconnaitre une > attaque menée sur plusieurs fronts, si j' ai bien compris F. Boisson. Bizarre quand même, j'imagine que tu as changé ton mot de passe et qu'il est définitevement cramé. Dans l'épisode dont je parle, les gars ont essayé des dizaines de milliers de logins avec 2 ou 3 mots de passe, les chances de tomber sur un mot de passe bon avec le bon login sont nulles chez moi (mettons comme mes chances de gagner au loto (si j'y jouais)) Extrait des logs de l'époque (qui étaient kilométrique): Le 26 Novembre: 59.6.185.39: 1 time carlen/keyboard-interactive/pam: 1 time 59.37.75.23: 4 times broderick/keyboard-interactive/pam: 1 time cala/keyboard-interactive/pam: 1 time carlos/keyboard-interactive/pam: 1 time carmen/keyboard-interactive/pam: 1 time 59.124.224.95 (59-124-224-95.HINET-IP.hinet.net): 6 times brinley/keyboard-interactive/pam: 1 time brody/keyboard-interactive/pam: 1 time caitlyn/keyboard-interactive/pam: 1 time callista/keyboard-interactive/pam: 1 time candra/keyboard-interactive/pam: 1 time ceri/keyboard-interactive/pam: 1 time 61.4.210.33: 2 times callia/keyboard-interactive/pam: 1 time carolos/keyboard-interactive/pam: 1 time 61.47.31.130: 3 times bryant/keyboard-interactive/pam: 1 time cam/keyboard-interactive/pam: 1 time cavan/keyboard-interactive/pam: 1 time 61.135.234.7: 1 time capucine/keyboard-interactive/pam: 1 time 61.152.107.62: 1 time brittania/keyboard-interactive/pam: 1 time 61.172.200.198: 2 times le 20 décembre: 71.63.229.140 (c-71-63-229-140.hsd1.mn.comcast.net): 6 times nimrod/keyboard-interactive/pam: 1 time nituna/keyboard-interactive/pam: 1 time niyati/keyboard-interactive/pam: 1 time nodin/keyboard-interactive/pam: 1 time nora/keyboard-interactive/pam: 1 time nu/keyboard-interactive/pam: 1 time 72.66.191.175 (static-72-66-191-175.ronkva.east.verizon.net): 1 time noland/keyboard-interactive/pam: 1 time 74.95.165.97 (74-95-165-97-Philadelphia.hfc.comcastbusiness.net): 2 times ninon/keyboard-interactive/pam: 1 time noma/keyboard-interactive/pam: 1 time 75.22.172.193 (adsl-75-22-172-193.dsl.sndg02.sbcglobal.net): 3 times nina/keyboard-interactive/pam: 1 time nolan/keyboard-interactive/pam: 1 time norton/keyboard-interactive/pam: 1 time 79.120.226.174: 3 times ninarika/keyboard-interactive/pam: 1 time norris/keyboard-interactive/pam: 1 time nox/keyboard-interactive/pam: 1 time 80.34.55.88 (88.Red-80-34-55.staticIP.rima-tde.net): 1 time nydia/keyboard-interactive/pam: 1 time 80.38.150.53 (53.Red-80-38-150.staticIP.rima-tde.net): 1 time nuala/keyboard-interactive/pam: 1 time Le 31 décembre 211.138.112.242: 3 times skyla/keyboard-interactive/pam: 2 times socrates/keyboard-interactive/pam: 1 time 217.96.70.66: 4 times skylar/keyboard-interactive/pam: 1 time solana/keyboard-interactive/pam: 1 time sondra/keyboard-interactive/pam: 1 time sonya/keyboard-interactive/pam: 1 time 220.194.201.208: 1 time snowy/keyboard-interactive/pam: 1 time 221.8.255.134: 3 times skule/keyboard-interactive/pam: 1 time sohalia/keyboard-interactive/pam: 1 time sonny/keyboard-interactive/pam: 1 time J'ai eu droit à tout l'alphabet. Chaque machine faisait 3 connexions au plus et les logins étaient concertés (par ordre alphabétique). Ça s'est arrêté au premier Janvier 2009 pile. > > > > > Il est aussi possible de mettre en place l'accès SSH par clé asymétrique > > (RSA ou DSA) et de désactiver l'accès par mot de passe. > > Ca sera quelque chose dans ce goût-là après réinstallation du bouzin. > Avec sauvegarde de mon trousseau de clefs numériques sur clef USB > attachée à mon trousseau de clefs physiques. Ca devrait me permettre l' > accés SSH depuis n' importe où, à condition que j' y sois :) > > Le port-knocking, que je ne connaissais pas, me semble difficilement > compatible avec des accès mobiles. Me trompe-je? > C'est faisable mais si tu veux pouvoir y accéder à partir d'une machine windows et putty, c'est faisable (avec telnet pour toquer à la porte) mais pas pratique pratique. François Boisson -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``
Re: tentative Force Brute sur mon ftp
On Sat, 21 Mar 2009 13:53:34 +0100 dju` wrote: > jul...@nura.eu a écrit : > > Salut, > > > > As-tu mis un bon mot de passe root ? root123 ? C' était un savant mélange de chiffres/minuscules/majuscules sur 8 caractères. Ce qui me laisse penser que c' est pas une simple force brute de djeuns qui en est venue à bout (mais je peux tout à fait pêcher par naïveté). D' où ma question sur comment reconnaitre une attaque menée sur plusieurs fronts, si j' ai bien compris F. Boisson. > > Il est aussi possible de mettre en place l'accès SSH par clé asymétrique > (RSA ou DSA) et de désactiver l'accès par mot de passe. Ca sera quelque chose dans ce goût-là après réinstallation du bouzin. Avec sauvegarde de mon trousseau de clefs numériques sur clef USB attachée à mon trousseau de clefs physiques. Ca devrait me permettre l' accés SSH depuis n' importe où, à condition que j' y sois :) Le port-knocking, que je ne connaissais pas, me semble difficilement compatible avec des accès mobiles. Me trompe-je? Vincent -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: tentative Force Brute sur mon ftp
Le 21/03/2009 à 12:50, Vincent Besse a écrit : > Je viens de me faire péter une Dedibox en Lenny. Accès ssh en root > depuis une adresse de Hong-Kong. Il faut interdire le login root (en ssh ou autre) Pour une attaque force brute connaître un login c'est déjà la moitié du travail de fait donc login root interdit, juste sudo autorisé, et un vrai login (pas toto) avec un vrai mot de passe robuste Alain -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: tentative Force Brute sur mon ftp
J'utilise port-knocking avec des séquences différente a chaque connexion pour éviter qu'elle ne puisse être récupérer. C'est, pour moi, contre le brute force, simple a mettre en place et très efficace. Mort aux script-kiddies ... -- In The Donkey We Trust. xorox5...@gmail.com ID: 0x393F4A08 Fingerprint: 9170 4DD5 31D5 4C01 1EF2 9852 0DB1 A9E5 393F 4A08
Re: tentative Force Brute sur mon ftp
* dju` [2009-03-21 13:53:34 +0100] wrote : > jul...@nura.eu a écrit : >> Salut, >> >> As-tu mis un bon mot de passe root ? root123 ? >> >> Si tu est le seul à te connecte en ssh à ton serveur change de port 22 >> --> par exemple ça t'évitera des gros log et enfin si tu te >> connecte toujours de chez toi (adresse ip fixe) tu peux configurer ton >> firewall pour autoriser uniquement cette adresse IP. >> >> Julien. > > Il est aussi possible de mettre en place l'accès SSH par clé asymétrique > (RSA ou DSA) et de désactiver l'accès par mot de passe. J'allais le dire ... et le coupler à knockd :) -- . ''`. (\___/) E d i S T O J I C E V I C : :' : (='.'=) http://www.debianworld.org `. `~' (")_(") GPG: 0x1237B032 `- -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: tentative Force Brute sur mon ftp
Pierre a écrit : Bonjour à tous, Il y a quelques jours, j'ai installé un serveur FTP (proftpd). Depuis, pratiquement chaque jour, je fais l'objet de 1 ou 2 attaques de type brute force (Chine, Allemagne, US - si j'en crois les IP affichées dans les logs proftpd), qui jusqu'à maintenant n'ont heureusement pas abouti. Pour le moment, je me suis contenté d'ajouter une chaîne iptables pour dropper les ip concernés, mais bon, je ne vais pas passer mon temps à trier les logs (aujourd'hui plus de 12 lignes...) pour rajouter des filtres à la main. Donc, j'ai regardé la doc de proftpd (rapidement), je n'ai pas vu la possibilité de "bruler" une adresse ip. J'amagine que l'idéal serait d'utiliser un produit capable de détecter un trop grand nombre d'essais infructueux et de bloquer les adresses en question, mais je ne sais trop dans quelle direction chercher (Snort?) Merci d'avance pour vos idées, suggestions et conseils. Bonjour, Tu peux utiliser un autre port que le 21 pour ton serveur FTP. Tu éviteras ainsi les scans automatisés. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: tentative Force Brute sur mon ftp
jul...@nura.eu a écrit : Salut, As-tu mis un bon mot de passe root ? root123 ? Si tu est le seul à te connecte en ssh à ton serveur change de port 22 --> par exemple ça t'évitera des gros log et enfin si tu te connecte toujours de chez toi (adresse ip fixe) tu peux configurer ton firewall pour autoriser uniquement cette adresse IP. Julien. Il est aussi possible de mettre en place l'accès SSH par clé asymétrique (RSA ou DSA) et de désactiver l'accès par mot de passe. -- --dju` -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: tentative Force Brute sur mon ftp
Vincent Besse a écrit : Je viens de me faire péter une Dedibox en Lenny. Accès ssh en root depuis une adresse de Hong-Kong. Comment peut-on reconnaitre que diverses tentatives d' accès sont corrélées ? Yatil un moyen autre que PermitRootLogin à no pour s' en prémunir? Sachant qu' il ne s' agit dans mon cas que d' un serveur perso, sans données hyper importantes et que je ne cherche pas la sécurité absolue. Je suppose qu' une stratégie de sécurité n' est réellement efficace que si elle est maîtrisée, et j' en suis(était?) encore à faire des conneries dans la configuration de ssh... Bonjour, L'accès SSH devrait être limité à certaines adresses IP fixes ou bloc d'adresses IP via le fichier "hosts.allow", et dans le fichier "hosts.deny" il devrait y avoir la ligne "ALL: ALL". -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: tentative Force Brute sur mon ftp
Salut, As-tu mis un bon mot de passe root ? root123 ? Si tu est le seul à te connecte en ssh à ton serveur change de port 22 --> par exemple ça t'évitera des gros log et enfin si tu te connecte toujours de chez toi (adresse ip fixe) tu peux configurer ton firewall pour autoriser uniquement cette adresse IP. Julien. Quoting Vincent Besse : On Fri, 20 Mar 2009 21:31:19 +0100 François Boisson wrote: De Novembre à Janvier, j'ai subi chaque jour des milliers d'attaque ssh à partir d'un botnet de 2000 machines en gros, attaques corrélées avec essai de logins par ordre alphabétique (le nombre total se chiffre en centaine de milliers).. Les IPs sont bloquées après 3 essais prendant quelques minutes mais chaque machine ne faisait qu'un ou deux essais. J'avais fait de manière automatique un message au abuse des IPs concernées. Il y a eu en gros 1à2% de retour, à chaque fois des machines compromises. Je viens de me faire péter une Dedibox en Lenny. Accès ssh en root depuis une adresse de Hong-Kong. Comment peut-on reconnaitre que diverses tentatives d' accès sont corrélées ? Yatil un moyen autre que PermitRootLogin à no pour s' en prémunir? Sachant qu' il ne s' agit dans mon cas que d' un serveur perso, sans données hyper importantes et que je ne cherche pas la sécurité absolue. Je suppose qu' une stratégie de sécurité n' est réellement efficace que si elle est maîtrisée, et j' en suis(était?) encore à faire des conneries dans la configuration de ssh... Merci d' éclairer ma lanterne, Vincent -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: tentative Force Brute sur mon ftp
On Fri, 20 Mar 2009 21:31:19 +0100 François Boisson wrote: > De Novembre à Janvier, j'ai subi chaque jour des milliers d'attaque ssh à > partir d'un > botnet de 2000 machines en gros, attaques corrélées avec essai de logins par > ordre alphabétique (le nombre total se chiffre en centaine de milliers).. Les > IPs sont > bloquées après 3 essais prendant quelques minutes mais chaque machine ne > faisait > qu'un ou deux essais. J'avais fait de manière automatique un message au abuse > des IPs > concernées. Il y a eu en gros 1à2% de retour, à chaque fois des machines > compromises. Je viens de me faire péter une Dedibox en Lenny. Accès ssh en root depuis une adresse de Hong-Kong. Comment peut-on reconnaitre que diverses tentatives d' accès sont corrélées ? Yatil un moyen autre que PermitRootLogin à no pour s' en prémunir? Sachant qu' il ne s' agit dans mon cas que d' un serveur perso, sans données hyper importantes et que je ne cherche pas la sécurité absolue. Je suppose qu' une stratégie de sécurité n' est réellement efficace que si elle est maîtrisée, et j' en suis(était?) encore à faire des conneries dans la configuration de ssh... Merci d' éclairer ma lanterne, Vincent -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: tentative Force Brute sur mon ftp
Le Fri, 20 Mar 2009 20:27:11 +0100 Pierre a écrit: > Bonjour à tous, > > Il y a quelques jours, j'ai installé un serveur FTP (proftpd). > Depuis, pratiquement chaque jour, je fais l'objet de 1 ou 2 attaques de > type brute force (Chine, Allemagne, US - si j'en crois les IP affichées > dans les logs proftpd), qui jusqu'à maintenant n'ont heureusement pas > abouti. > Pour le moment, je me suis contenté d'ajouter une chaîne iptables pour > dropper les ip concernés, mais bon, je ne vais pas passer mon temps à > trier les logs (aujourd'hui plus de 12 lignes...) pour rajouter des > filtres à la main. > Donc, j'ai regardé la doc de proftpd (rapidement), je n'ai pas vu la > possibilité de "bruler" une adresse ip. iptables -A INPUT -p tcp --dport 21 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 21 -m state --state NEW -m recent --update --seconds 90 --hitcount 10 -j DROP > J'amagine que l'idéal serait d'utiliser un produit capable de détecter > un trop grand nombre d'essais infructueux et de bloquer les adresses en > question, mais je ne sais trop dans quelle direction chercher (Snort?) > Voilà. > Merci d'avance pour vos idées, suggestions et conseils. > François Boisson > Ah encore une question (Peut-on considérer que les adresses utilisées > pour m'attaquer (211.90.25.230, 69.94.8.15, 212.40.162.11) sont de vrais > adresses, ou bien des adresses usurpées ? > > De Novembre à Janvier, j'ai subi chaque jour des milliers d'attaque ssh à partir d'un botnet de 2000 machines en gros, attaques corrélées avec essai de logins par ordre alphabétique (le nombre total se chiffre en centaine de milliers). Les IPs sont bloquées après 3 essais prendant quelques minutes mais chaque machine ne faisait qu'un ou deux essais. J'avais fait de manière automatique un message au abuse des IPs concernées. Il y a eu en gros 1à2% de retour, à chaque fois des machines compromises. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: tentative Force Brute sur mon ftp
Bonsoir, Il me semble que Fail2ban te permet de bloquer des ip tentant trop d'essais infructueux : Voilà ce que je lis comme description dans mon gestionnaire de paquet : "bans IPs that cause multiple authentication errors Monitors log files (e.g. /var/log/auth.log, /var/log/apache/access.log) and temporarily or persistently bans failure-prone addresses by updating existing firewall rules. The software was completely rewritten at version 0.7.0 and now allows easy specification of different actions to be taken such as to ban an IP using iptables or hostsdeny rules, or simply to send a notification email. Currently, by default, supports ssh/apache/vsftpd but configuration can be easily extended for monitoring any other ASCII file. All filters and actions are given in the config files, thus fail2ban can be adopted to be used with a variety of files and firewalls." Cordialement, Jérémy Pierre a écrit : > Bonjour à tous, > > Il y a quelques jours, j'ai installé un serveur FTP (proftpd). > Depuis, pratiquement chaque jour, je fais l'objet de 1 ou 2 attaques de > type brute force (Chine, Allemagne, US - si j'en crois les IP affichées > dans les logs proftpd), qui jusqu'à maintenant n'ont heureusement pas > abouti. > Pour le moment, je me suis contenté d'ajouter une chaîne iptables pour > dropper les ip concernés, mais bon, je ne vais pas passer mon temps à > trier les logs (aujourd'hui plus de 12 lignes...) pour rajouter des > filtres à la main. > Donc, j'ai regardé la doc de proftpd (rapidement), je n'ai pas vu la > possibilité de "bruler" une adresse ip. > J'amagine que l'idéal serait d'utiliser un produit capable de détecter > un trop grand nombre d'essais infructueux et de bloquer les adresses en > question, mais je ne sais trop dans quelle direction chercher (Snort?) > > Merci d'avance pour vos idées, suggestions et conseils. > > Ah encore une question (Peut-on considérer que les adresses utilisées > pour m'attaquer (211.90.25.230, 69.94.8.15, 212.40.162.11) sont de vrais > adresses, ou bien des adresses usurpées ? > > > -- Blog : http://blog.v-jeremy.net begin:vcard fn;quoted-printable:J=C3=A9r=C3=A9my Verda n;quoted-printable:Verda;J=C3=A9r=C3=A9my email;internet:s...@v-jeremy.net x-mozilla-html:FALSE url:http://blog.v-jeremy.net version:2.1 end:vcard