[FRnOG] Re: [FRnOG] Re: [FRnOG] Comment vous protégez vous ?

2010-06-24 Par sujet Jérémie Pogeant

 [snip]
 Citez moi un serveur SFTP qui est capable de :
 - faire des soft quota
 - trouver ses uid/gid/login/pass/clef publique depuis une db ou un annuaire
 ldap
 - qui soit évidement opensource et portable ailleurs que sur du linux...
 [/snip]


proFTPd avec mod_sftphttp://www.castaglia.org/proftpd/modules/mod_sftp.htmlet
mod_sql (pour la base des users).
Il est compatible avec la gestion des quotas. Par contre je ne sais pas pour
le stockage de la clé publique dans la db.

--
Jérémie Pogeant


[FRnOG] Re: [FRnOG] Comment vous protégez vous ?

2010-06-24 Par sujet Michel Py
 Nina Popravkanina.popra...@gmail.com a écrit :
 Pas de brute force, très certainement un keylogger, et très
 vraisemblablement rentré par une faille d' _acrobat reader_

 Rémi Bouhl a ecrit:
 Hem. Et pourquoi pas Flash tant qu'on y est? C'est pas comme si les
 produits de Adobe étaient connus pour être de vraies passoires..

En fait il y a eu bien des trous récemment dans Acrobat Reader et Flash.
http://www.adobe.com/support/security/advisories/apsa10-01.html

Gros troll velu
C'est Apple qui se cache derrière les virus, pour prouver
leur point qu'il ne faut pas utiliser Flash :P
/Gros troll velu

Michel.

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Comment vous protégez vous ?

2010-06-23 Par sujet Xavier Beaudouin
Hello,

Le 22 juin 2010 à 23:58, Jérémy Martin a écrit :

 Merci à tous pour vos retours.
 Il y a en effet un certain nombre de solutions existantes, certaines sont un 
 peu délicates, d'autres sont très simples à première vue.
 
 Je pense qu'on va partir sur une solution telle que celle ci :
 1) Les sessions FTP sont bloqués par défaut
 2) Quand un client veut ouvrir une session FTP, il doit aller demander que 
 celle ci soit autorisée dans son espace client (d'ou il ne peut se connecter 
 qu'avec une IP = au pays déclaré sur le dossier client).
 3) La session dure un certain temps et est automatiquement rebloqué à l'issue.
 
 Avec deux trois scripts qui check les comptes à débloquer ou à bloquer qui 
 passent toutes les minutes sur une liste texte, ça pourrait le faire.
 
 Je devrait pouvoir me rendre à la réunion de Vendredi, c'est avec plaisir que 
 je pourrais donc en discuter de vive voix parmi vous :)

Je pense que tu vas avoir du client au téléphone aussi grâce à ça...  Mais bon 
aucune solutions n'est parfaite... :)

Xavier

  
 Cordialement,
 Jérémy Martin
 Directeur Technique FirstHeberg.com
 
 
 Le 22/06/2010 12:41, Jérémy Martin a écrit :
 Oui, en effet.
 On as déjà rajouté pas mal de mails automatiques à la connexion, un peu 
 comme le fait OVH pour faire de la prévention et rappeler aux clients de 
 checker ou sont stockés leurs password et/ou comment ils se connectent.
 
 Mais les faits sont là, on a plusieurs milliers de clients aujourd'hui, dont 
 90 % de particuliers, et pour vous donner une image, j'ai encore bloqué 23 
 comptes ce matin car le gentils pirate s'amuse à faire du phishing ou du 
 spam dessus.
 
 Je pense que la géolocalisation de l'ip serait une bonne solution, hormis 
 les proxy qu'il pourrait y avoir en France bien entendu, mais de ce que j'ai 
 vu, la majorité des IP sont étrangères. 
 La question étant de savoir si ça existe pour ce type d'usage...
  
 Cordialement,
 Jérémy Martin
 Directeur Technique FirstHeberg.com
 
 
 Le 22/06/2010 12:32, Rémi Bouhl a écrit :
 Bonjour,
 
 Le problème se situant entre la chaise et le clavier, c'est peut-être
 là qu'il faut chercher la solution, non?
 
 
 
 Le 22/06/10, Jérémy Martin
 li...@freeheberg.com
  a écrit :
   
 
 Bonjour à tous,
 
 Comme la volonté du FRnOG est de (je cite) : Améliorer la qualité
 d'internet et autres services IP en France, je viens vers vous pour
 avoir votre ressentit et discuter autour d'un sujet sur lequel on débat
 en interne depuis quelques jours. On a pour vocation de rester très
 petit comme hébergeur (ça contraste un peu sur ce marché :) ), donc pour
 le coup, cette liste est la bienvenue.
 
 Depuis plusieurs mois, on a de plus en plus de cas de comptes FTP
 (hébergement mutualisés) qui se font hack via une connexion tout à fait
 normale (password ok, pas de brute force). Après analyse auprès de
 quelques clients qu'on a pu contacter, il apparait que la cause est
 toujours la même : un magnifique trojan (on a vu un peu tout ce qui
 traine sur le net) qui logue le clavier, et qui renvoi le password FTP
 de notre client vers le pirate.
 
 Alors, vu qu'on réfléchit à refaire notre infra depuis quelques
 semaines, me vient une question qui peut paraitre bête. Comment se
 protéger de connexion non autorisés de ce type en FTP ?
 
 On a bien pensé à un filtrage d'ip, mais quid des IP dynamique ? De
 plus, un proxy sur le poste infecté remet le problème à jour.
 On a pensé aussi à géolocaliser les IP se connectant avant de lancer la
 session de login. Mais vu le nombre de requêtes, ça peut poser problème,
 d'autant que le client est bridé à une connexion franco-française dans
 ce type de situation.
 
 Et vous, rencontrez vous la même problématique ? Avez vous trouvé des
 solutions ?
 
 --
 Cordialement,
 Jérémy Martin
 Directeur Technique FirstHeberg.com
 
 
 
 __
 FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle !
 PHP + Mysql + Espace 2 à 20 Go
 
 
 
   

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Comment vous protégez vous ?

2010-06-23 Par sujet Sébastien Namèche

Le 22 juin 2010 à 12:15, Jérémy Martin a écrit :
 Alors, vu qu'on réfléchit à refaire notre infra depuis quelques semaines, me 
 vient une question qui peut paraitre bête. Comment se protéger de connexion 
 non autorisés de ce type en FTP ?

Moi, j'aime bien OpenVPN. Facile à installer. Pas trop contraignant, faut juste 
cliquer pour ouvrir le tunnel. Une petite PKI par là-dessus. Et cerise sur le 
pompon, les adresses IP des serveurs FTP peuvent être en adressage privé: ils 
deviennent difficilement accessibles, même depuis des pays exotiques.


-- 
Sébastien Namèche
Société Netensia

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Comment vous protégez vous ?

2010-06-23 Par sujet Maisonneuve Informatique contact
Cela n'empêche pas de récupérer les certificats d'authentification du 
VPN par l'intermédiaire d'un TROJAN et d'utiliser le VPN pour accéder au 
serveur (Déjà vu chez un client, revocation du certificat, création d'un 
nouveau certificat, suppression du trojan sur le pc client).
La sécurité est une question très complexe dans les entreprises et 
encore plus chez le particulier.
Le problème n'étant pas le système informatique mais les personnes qui 
l'utilisent.


MAISONNEUVE Informatique
Dépannage sur site PRO et Particulier
Vente de matériel informatique
Formation / Conseil / Audit
Création et maintenance de logiciel
RM / RCS BOURG EN BRESSE 519 206 403
Tel: 06 07 81 98 93
Les Couluires / Moulin des Ponts
01270 Villemotier
http://www.maisonneuve-info.fr/



Le 23/06/2010 11:27, Sébastien Namèche a écrit :

Le 22 juin 2010 à 12:15, Jérémy Martin a écrit :
   

Alors, vu qu'on réfléchit à refaire notre infra depuis quelques semaines, me 
vient une question qui peut paraitre bête. Comment se protéger de connexion non 
autorisés de ce type en FTP ?
 

Moi, j'aime bien OpenVPN. Facile à installer. Pas trop contraignant, faut juste cliquer 
pour ouvrir le tunnel. Une petite PKI par là-dessus. Et cerise sur le pompon, les 
adresses IP des serveurs FTP peuvent être en adressage privé: ils deviennent 
difficilement accessibles, même depuis des pays exotiques.


   

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Comment vous protégez vous ?

2010-06-23 Par sujet Gregory Agerba
Jérémy Martin wrote:

 Et vous, rencontrez vous la même problématique ? Avez vous trouvé des
 solutions ?

En ce qui concerne le mandat d’hébergeur, à mon avis il s’arrête à
fournir un service de qualité, lutter contre les attaques, maintenir les
infrastructures à jour, consolider les données des clients et garder des
logs des activités.

La protection et les risques liés aux end-points sort définitivement du
mandat et la responsabilité de l’hébergeur et revient exclusivement aux
clients. Vouloir tendre la main à ses clients et leur mettre à
disposition des clients des protocoles et des outils sécurisés tels que
FTPS ou VPN, pourquoi pas.

Gregory
---
Liste de diffusion du FRnOG
http://www.frnog.org/



[FRnOG] Re: [FRnOG] Comment vous protégez vous ?

2010-06-23 Par sujet Rémi Bouhl
Le 23/06/10, Gregory Agerbag...@agerba.net a écrit :
 Jérémy Martin wrote:

 Et vous, rencontrez vous la même problématique ? Avez vous trouvé des
 solutions ?

 En ce qui concerne le mandat d’hébergeur, à mon avis il s’arrête à
 fournir un service de qualité, lutter contre les attaques, maintenir les
 infrastructures à jour, consolider les données des clients et garder des
 logs des activités.

Si c'était aussi simple.. dans la vraie vie, c'est l'hébergeur qui se
fait blacklister sa plateforme d'hébergement mutualisé (pénalisant les
clients propres) en cas d'envoi massif de spams.

Vivement IPv6 on vous dit!
---
Liste de diffusion du FRnOG
http://www.frnog.org/



[FRnOG] Re: [FRnOG] Comment vous protégez vous ?

2010-06-23 Par sujet Nina Popravka
Le 22 juin 2010 12:15, Jérémy Martin li...@freeheberg.com a écrit :


 Depuis plusieurs mois, on a de plus en plus de cas de comptes FTP
 (hébergement mutualisés) qui se font hack via une connexion tout à fait
 normale (password ok, pas de brute force). Après analyse auprès de quelques
 clients qu'on a pu contacter, il apparait que la cause est toujours la même
 : un magnifique trojan (on a vu un peu tout ce qui traine sur le net) qui
 logue le clavier, et qui renvoi le password FTP de notre client vers le
 pirate.

 Et vous, rencontrez vous la même problématique ? Avez vous trouvé des
 solutions ?


Excellente question, et je parle de l'autre côté de la barrière, m'enfin je
suis quand même pas une totale incompétente, ni une totale évaporée niveau
sécurité, et je me suis fait trouer 2 serveurs dédiés il y a 2 mois.
Pas de brute force, très certainement un keylogger, et très
vraisemblablement rentré par une faille d'acrobat reader, et sur ma machine
(l'antimachin s'est réveillé 3 semaines après suite à une maj pourtant
journalière)

Alors j'ai tout remonté en mode paranoïaque (maj win quotidiennes, et t'as
pas le choix, ellle s'applique et tu redémarres, antimachin de la mort qui
tue mis à jour toutes les 2 heures, dès qu'il y a une maj du moindre
applicatif, hop elle se déploie etc...)

Même comme ça, je ne suis plus rassurée, le FarWest était une promenade de
santé face au naininternet de nos jours :-/
Alors oui, j'ai la même problématique, et je cherche d'autres solutions,
m'enfin si il faut déclarer des listes d'IP autorisées et n'autoriser
l'accès qu'à certaines versions de BSD, l'exploitation va devenir très
difficile, forcément :-)

Ca me déprime, tiens...

-- 
Nina


Re: [FRnOG] Re: [FRnOG] Comment vous protégez vous ?

2010-06-23 Par sujet Olivier Bonvalet

Le 23/06/2010 22:34, Nina Popravka a écrit :



Le 22 juin 2010 12:15, Jérémy Martin li...@freeheberg.com 
mailto:li...@freeheberg.com a écrit :



Depuis plusieurs mois, on a de plus en plus de cas de comptes FTP
(hébergement mutualisés) qui se font hack via une connexion tout à
fait normale (password ok, pas de brute force). Après analyse
auprès de quelques clients qu'on a pu contacter, il apparait que
la cause est toujours la même : un magnifique trojan (on a vu un
peu tout ce qui traine sur le net) qui logue le clavier, et qui
renvoi le password FTP de notre client vers le pirate.

Et vous, rencontrez vous la même problématique ? Avez vous trouvé
des solutions ?


Excellente question, et je parle de l'autre côté de la barrière, 
m'enfin je suis quand même pas une totale incompétente, ni une totale 
évaporée niveau sécurité, et je me suis fait trouer 2 serveurs dédiés 
il y a 2 mois.
Pas de brute force, très certainement un keylogger, et très 
vraisemblablement rentré par une faille d'acrobat reader, et sur ma 
machine (l'antimachin s'est réveillé 3 semaines après suite à une maj 
pourtant journalière)


Alors j'ai tout remonté en mode paranoïaque (maj win quotidiennes, et 
t'as pas le choix, ellle s'applique et tu redémarres, antimachin de la 
mort qui tue mis à jour toutes les 2 heures, dès qu'il y a une maj du 
moindre applicatif, hop elle se déploie etc...)


Même comme ça, je ne suis plus rassurée, le FarWest était une 
promenade de santé face au naininternet de nos jours :-/
Alors oui, j'ai la même problématique, et je cherche d'autres 
solutions, m'enfin si il faut déclarer des listes d'IP autorisées et 
n'autoriser l'accès qu'à certaines versions de BSD, l'exploitation va 
devenir très difficile, forcément :-)


Ca me déprime, tiens...

--
Nina


Coté utilisateur on pourrait citer l'utilisation de SFTP à la place du 
FTP, couplé à l'utilisation impérative d'une clé SSH avec passphrase. Ca 
ne fait certainement pas tout, mais déjà ça évite les problèmes de 
sniffing et coté malware il faut un soft qui face keylogger + 
récupération de la clé RSA sur le disque.
Je suis probablement naïf, mais je me dis que ça limite déjà un peu les 
problèmes.


Dommage que ce genre de chose n'est pas aussi simplement intégré à 
Windows que sur un desktop Linux ; à moins qu'il y ait des outils 
simples permettant ça ? J'entends par là que sous Linux/Gnome la 
passphrase de l'utilisateur lui est automatiquement demandée 
graphiquement (et mémorisée pendant toute la session ou X minutes), et 
que la plupart des softs type SFTP vont également utiliser cette clé SSH 
par défaut. Dans mes souvenirs sous Windows faut installer PuttyAgent, 
le configurer pour se lancer au démarrage, lui faire précharger la clé 
(et donc demander le pass dès le démarrage), puis espérer que le soft 
passera par PuttyAgent ; non ?


Mais la suggestion de Spyou de whitelister uniquement les réseaux 
susceptibles d'être utilisés par les clients / la société, ça me botte 
bien aussi. En complément bien sûr.


Maintenant sans verser dans le troll, ne pas utiliser de produit Adobe 
peut-être une solution relativement efficace également :)
En passant, le poste Windows en question, il n'a pas de firewall ? Et le 
réseau local non plus ? Parce que le keylogger, il les envoi bien 
quelque part les infos récupérées, non ?


Olivier


[FRnOG] Re: [FRnOG] Re: [FRnOG] Comment vous protégez vous ?

2010-06-23 Par sujet Rémi Bouhl
Le 23/06/10, Nina Popravkanina.popra...@gmail.com a écrit :
 Le 22 juin 2010 12:15, Jérémy Martin li...@freeheberg.com a écrit :


 Excellente question, et je parle de l'autre côté de la barrière, m'enfin je
 suis quand même pas une totale incompétente, ni une totale évaporée niveau
 sécurité, et je me suis fait trouer 2 serveurs dédiés il y a 2 mois.
 Pas de brute force, très certainement un keylogger, et très
 vraisemblablement rentré par une faille d' _acrobat reader_

Hem. Et pourquoi pas Flash tant qu'on y est? C'est pas comme si les
produits de Adobe étaient connus pour être de vraies passoires..
---
Liste de diffusion du FRnOG
http://www.frnog.org/



[FRnOG] Comment vous protégez vous ?

2010-06-22 Par sujet Jérémy Martin

Bonjour à tous,

Comme la volonté du FRnOG est de (je cite) : Améliorer la qualité 
d'internet et autres services IP en France, je viens vers vous pour 
avoir votre ressentit et discuter autour d'un sujet sur lequel on débat 
en interne depuis quelques jours. On a pour vocation de rester très 
petit comme hébergeur (ça contraste un peu sur ce marché :) ), donc pour 
le coup, cette liste est la bienvenue.


Depuis plusieurs mois, on a de plus en plus de cas de comptes FTP 
(hébergement mutualisés) qui se font hack via une connexion tout à fait 
normale (password ok, pas de brute force). Après analyse auprès de 
quelques clients qu'on a pu contacter, il apparait que la cause est 
toujours la même : un magnifique trojan (on a vu un peu tout ce qui 
traine sur le net) qui logue le clavier, et qui renvoi le password FTP 
de notre client vers le pirate.


Alors, vu qu'on réfléchit à refaire notre infra depuis quelques 
semaines, me vient une question qui peut paraitre bête. Comment se 
protéger de connexion non autorisés de ce type en FTP ?


On a bien pensé à un filtrage d'ip, mais quid des IP dynamique ? De 
plus, un proxy sur le poste infecté remet le problème à jour.
On a pensé aussi à géolocaliser les IP se connectant avant de lancer la 
session de login. Mais vu le nombre de requêtes, ça peut poser problème, 
d'autant que le client est bridé à une connexion franco-française dans 
ce type de situation.


Et vous, rencontrez vous la même problématique ? Avez vous trouvé des 
solutions ?


--
Cordialement,
Jérémy Martin
Directeur Technique FirstHeberg.com



__
FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle !
PHP + Mysql + Espace 2 à 20 Go


[FRnOG] Re: [FRnOG] Comment vous protégez vous ?

2010-06-22 Par sujet Rémi Bouhl
Bonjour,

Le problème se situant entre la chaise et le clavier, c'est peut-être
là qu'il faut chercher la solution, non?



Le 22/06/10, Jérémy Martinli...@freeheberg.com a écrit :
 Bonjour à tous,

 Comme la volonté du FRnOG est de (je cite) : Améliorer la qualité
 d'internet et autres services IP en France, je viens vers vous pour
 avoir votre ressentit et discuter autour d'un sujet sur lequel on débat
 en interne depuis quelques jours. On a pour vocation de rester très
 petit comme hébergeur (ça contraste un peu sur ce marché :) ), donc pour
 le coup, cette liste est la bienvenue.

 Depuis plusieurs mois, on a de plus en plus de cas de comptes FTP
 (hébergement mutualisés) qui se font hack via une connexion tout à fait
 normale (password ok, pas de brute force). Après analyse auprès de
 quelques clients qu'on a pu contacter, il apparait que la cause est
 toujours la même : un magnifique trojan (on a vu un peu tout ce qui
 traine sur le net) qui logue le clavier, et qui renvoi le password FTP
 de notre client vers le pirate.

 Alors, vu qu'on réfléchit à refaire notre infra depuis quelques
 semaines, me vient une question qui peut paraitre bête. Comment se
 protéger de connexion non autorisés de ce type en FTP ?

 On a bien pensé à un filtrage d'ip, mais quid des IP dynamique ? De
 plus, un proxy sur le poste infecté remet le problème à jour.
 On a pensé aussi à géolocaliser les IP se connectant avant de lancer la
 session de login. Mais vu le nombre de requêtes, ça peut poser problème,
 d'autant que le client est bridé à une connexion franco-française dans
 ce type de situation.

 Et vous, rencontrez vous la même problématique ? Avez vous trouvé des
 solutions ?

 --
 Cordialement,
 Jérémy Martin
 Directeur Technique FirstHeberg.com



 __
 FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle !
 PHP + Mysql + Espace 2 à 20 Go

---
Liste de diffusion du FRnOG
http://www.frnog.org/



[FRnOG] Re: [FRnOG] Comment vous protégez vous ?

2010-06-22 Par sujet stefan
Salut !

C'est pas tres IP tout ca, j'imagine que tu va te faire flamer.

Tu pourrais mettre en place un systeme de whitelisting temporaire des
IPs: par defaut personne ne peut se connecter au port FTP, et un passage sur
l'interface web de gestion du compte valide l'IP client pendant 1h/12h/24h.

Probablement pas applicable pour ta clientiele/business model, mais bon,
regarde quand meme Yubikey, qui est un genre d'alternative aux tokens RSA.
http://www.yubico.com/products/yubikey/

Stefan


2010/6/22 Jérémy Martin li...@freeheberg.com

  Bonjour à tous,

 Comme la volonté du FRnOG est de (je cite) : Améliorer la qualité
 d'internet et autres services IP en France, je viens vers vous pour avoir
 votre ressentit et discuter autour d'un sujet sur lequel on débat en interne
 depuis quelques jours. On a pour vocation de rester très petit comme
 hébergeur (ça contraste un peu sur ce marché :) ), donc pour le coup, cette
 liste est la bienvenue.

 Depuis plusieurs mois, on a de plus en plus de cas de comptes FTP
 (hébergement mutualisés) qui se font hack via une connexion tout à fait
 normale (password ok, pas de brute force). Après analyse auprès de quelques
 clients qu'on a pu contacter, il apparait que la cause est toujours la même
 : un magnifique trojan (on a vu un peu tout ce qui traine sur le net) qui
 logue le clavier, et qui renvoi le password FTP de notre client vers le
 pirate.

 Alors, vu qu'on réfléchit à refaire notre infra depuis quelques semaines,
 me vient une question qui peut paraitre bête. Comment se protéger de
 connexion non autorisés de ce type en FTP ?

 On a bien pensé à un filtrage d'ip, mais quid des IP dynamique ? De plus,
 un proxy sur le poste infecté remet le problème à jour.
 On a pensé aussi à géolocaliser les IP se connectant avant de lancer la
 session de login. Mais vu le nombre de requêtes, ça peut poser problème,
 d'autant que le client est bridé à une connexion franco-française dans ce
 type de situation.

 Et vous, rencontrez vous la même problématique ? Avez vous trouvé des
 solutions ?

 --
 Cordialement,
 Jérémy Martin
 Directeur Technique FirstHeberg.com



 __
 FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle !
 PHP + Mysql + Espace 2 à 20 Go


Re: [FRnOG] Comment vous protégez vous ?

2010-06-22 Par sujet Jérémy Martin

Oui, en effet.
On as déjà rajouté pas mal de mails automatiques à la connexion, un peu 
comme le fait OVH pour faire de la prévention et rappeler aux clients de 
checker ou sont stockés leurs password et/ou comment ils se connectent.


Mais les faits sont là, on a plusieurs milliers de clients aujourd'hui, 
dont 90 % de particuliers, et pour vous donner une image, j'ai encore 
bloqué 23 comptes ce matin car le gentils pirate s'amuse à faire du 
phishing ou du spam dessus.


Je pense que la géolocalisation de l'ip serait une bonne solution, 
hormis les proxy qu'il pourrait y avoir en France bien entendu, mais de 
ce que j'ai vu, la majorité des IP sont étrangères.

La question étant de savoir si ça existe pour ce type d'usage...

Cordialement,
Jérémy Martin
Directeur Technique FirstHeberg.com


Le 22/06/2010 12:32, Rémi Bouhl a écrit :

Bonjour,

Le problème se situant entre la chaise et le clavier, c'est peut-être
là qu'il faut chercher la solution, non?



Le 22/06/10, Jérémy Martinli...@freeheberg.com  a écrit :
   

Bonjour à tous,

Comme la volonté du FRnOG est de (je cite) : Améliorer la qualité
d'internet et autres services IP en France, je viens vers vous pour
avoir votre ressentit et discuter autour d'un sujet sur lequel on débat
en interne depuis quelques jours. On a pour vocation de rester très
petit comme hébergeur (ça contraste un peu sur ce marché :) ), donc pour
le coup, cette liste est la bienvenue.

Depuis plusieurs mois, on a de plus en plus de cas de comptes FTP
(hébergement mutualisés) qui se font hack via une connexion tout à fait
normale (password ok, pas de brute force). Après analyse auprès de
quelques clients qu'on a pu contacter, il apparait que la cause est
toujours la même : un magnifique trojan (on a vu un peu tout ce qui
traine sur le net) qui logue le clavier, et qui renvoi le password FTP
de notre client vers le pirate.

Alors, vu qu'on réfléchit à refaire notre infra depuis quelques
semaines, me vient une question qui peut paraitre bête. Comment se
protéger de connexion non autorisés de ce type en FTP ?

On a bien pensé à un filtrage d'ip, mais quid des IP dynamique ? De
plus, un proxy sur le poste infecté remet le problème à jour.
On a pensé aussi à géolocaliser les IP se connectant avant de lancer la
session de login. Mais vu le nombre de requêtes, ça peut poser problème,
d'autant que le client est bridé à une connexion franco-française dans
ce type de situation.

Et vous, rencontrez vous la même problématique ? Avez vous trouvé des
solutions ?

--
Cordialement,
Jérémy Martin
Directeur Technique FirstHeberg.com



__
FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle !
PHP + Mysql + Espace 2 à 20 Go

 
   


Re: [FRnOG] Comment vous protégez vous ?

2010-06-22 Par sujet Gilles PIETRI

Le 22/06/2010 12:41, Jérémy Martin a écrit :

Oui, en effet.
On as déjà rajouté pas mal de mails automatiques à la connexion, un peu
comme le fait OVH pour faire de la prévention et rappeler aux clients de
checker ou sont stockés leurs password et/ou comment ils se connectent.

Mais les faits sont là, on a plusieurs milliers de clients aujourd'hui,
dont 90 % de particuliers, et pour vous donner une image, j'ai encore
bloqué 23 comptes ce matin car le gentils pirate s'amuse à faire du
phishing ou du spam dessus.

Je pense que la géolocalisation de l'ip serait une bonne solution,
hormis les proxy qu'il pourrait y avoir en France bien entendu, mais de
ce que j'ai vu, la majorité des IP sont étrangères.
La question étant de savoir si ça existe pour ce type d'usage...




Typiquement, ce genre de vol de mot de passe se fait par un troyen ou un 
sniffeur qui récupère le pass en clair lors de la connexion FTP. C'est 
au final, et pour diverses raisons, assez rare que ça soit un keylogger.


Passe ton serveur FTP en FTPS / TLS whatever, tu n'auras probablement 
plus ce genre de problème. Si tu chiffrais déjà, alors tu as une 
population d'utilisateurs dangereuse...


@+
Gilou

---
Liste de diffusion du FRnOG
http://www.frnog.org/



[FRnOG] Re: [FRnOG] Comment vous protégez vous ?

2010-06-22 Par sujet Rémi Bouhl
Le 22/06/10, Gilles PIETRIcontact+fr...@gilouweb.com a écrit :


 Typiquement, ce genre de vol de mot de passe se fait par un troyen ou un
 sniffeur qui récupère le pass en clair lors de la connexion FTP. C'est
 au final, et pour diverses raisons, assez rare que ça soit un keylogger.

Il y a aussi les stealers qui vont récupérer les mots de passe
enregistrés dans les clients FTP les plus courants.

Je doute que les pirates infectent les sites à la main, est-ce qu'il
n'est pas possible de repérer (via les logs du FTP) un profil type de
connexion pirate, reconnaissable à une suite de commandes toujours
identiques, à un rythme d'envoi de celles-ci, etc..?
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Comment vous protégez vous ?

2010-06-22 Par sujet Antoine Drochon

Salut,

Le 22 juin 10 à 12:15, Jérémy Martin a écrit :


[couic]
Depuis plusieurs mois, on a de plus en plus de cas de comptes FTP  
(hébergement mutualisés) qui se font hack via une connexion tout à  
fait normale (password ok, pas de brute force). Après analyse auprès  
de quelques clients qu'on a pu contacter, il apparait que la cause  
est toujours la même : un magnifique trojan (on a vu un peu tout ce  
qui traine sur le net) qui logue le clavier, et qui renvoi le  
password FTP de notre client vers le pirate.


Alors, vu qu'on réfléchit à refaire notre infra depuis quelques  
semaines, me vient une question qui peut paraitre bête. Comment se  
protéger de connexion non autorisés de ce type en FTP ?

[recouic]
Et vous, rencontrez vous la même problématique ? Avez vous trouvé  
des solutions ?


Comme indiqué plus haut, c'est plus un problème de sécurité au sein  
même des clients qu'autre chose.


Malgré tout, quelques pistes :

- rendre le FTP uniquement utilisable en read-only
- rendre l'accès sécurité SFTP (et autres protocoles en tant soit peu  
sécurisés)
- laisser passer les exceptions FTP read-write après moult  
explications qui font comprendre que l'accès d'un poste utilisateur,  
c'est pas tip top. Par contre un process sur une machine de prod  
supervisée, je peux comprendre que conserver le FTP ça a du sens (et  
surtout un coup d'upgrader à du SFTP et consors).


Ca ne stoppera pas l'hémorragie chez certains mais bon, ça fait  
effectivement des bons devoir de l'hébergeur.


++
Antoine---
Liste de diffusion du FRnOG
http://www.frnog.org/



[FRnOG] Re: [FRnOG] Comment vous protégez vous ?

2010-06-22 Par sujet Mehdi Badreddine
Lu,

En ce qui concerne les clients SFTP, tu peux aussi avoir recours à une clé
(rsa,dsa,) pour l'authentification, que tu peux doubler par un mot de passe.

Mehdi

Le 22 juin 2010 13:48, Antoine Drochon anto...@drochon.net a écrit :

 Salut,

 Le 22 juin 10 à 12:15, Jérémy Martin a écrit :

  [couic]

 Depuis plusieurs mois, on a de plus en plus de cas de comptes FTP
 (hébergement mutualisés) qui se font hack via une connexion tout à fait
 normale (password ok, pas de brute force). Après analyse auprès de quelques
 clients qu'on a pu contacter, il apparait que la cause est toujours la même
 : un magnifique trojan (on a vu un peu tout ce qui traine sur le net) qui
 logue le clavier, et qui renvoi le password FTP de notre client vers le
 pirate.

 Alors, vu qu'on réfléchit à refaire notre infra depuis quelques semaines,
 me vient une question qui peut paraitre bête. Comment se protéger de
 connexion non autorisés de ce type en FTP ?
 [recouic]

 Et vous, rencontrez vous la même problématique ? Avez vous trouvé des
 solutions ?


 Comme indiqué plus haut, c'est plus un problème de sécurité au sein même
 des clients qu'autre chose.

 Malgré tout, quelques pistes :

 - rendre le FTP uniquement utilisable en read-only
 - rendre l'accès sécurité SFTP (et autres protocoles en tant soit peu
 sécurisés)
 - laisser passer les exceptions FTP read-write après moult explications qui
 font comprendre que l'accès d'un poste utilisateur, c'est pas tip top. Par
 contre un process sur une machine de prod supervisée, je peux comprendre que
 conserver le FTP ça a du sens (et surtout un coup d'upgrader à du SFTP et
 consors).

 Ca ne stoppera pas l'hémorragie chez certains mais bon, ça fait
 effectivement des bons devoir de l'hébergeur.

 ++
 Antoine---

 Liste de diffusion du FRnOG
 http://www.frnog.org/




Re: [FRnOG] Comment vous protégez vous ?

2010-06-22 Par sujet Spyou
Le 22/06/2010 12:15, Jérémy Martin a écrit :
 Depuis plusieurs mois, on a de plus en plus de cas de comptes FTP
 (hébergement mutualisés) qui se font hack via une connexion tout à fait
 normale (password ok, pas de brute force). Après analyse auprès de
 quelques clients qu'on a pu contacter, il apparait que la cause est
 toujours la même : un magnifique trojan (on a vu un peu tout ce qui
 traine sur le net) qui logue le clavier, et qui renvoi le password FTP
 de notre client vers le pirate.
 
 Alors, vu qu'on réfléchit à refaire notre infra depuis quelques
 semaines, me vient une question qui peut paraitre bête. Comment se
 protéger de connexion non autorisés de ce type en FTP ?

Pour notre part, on a constaté que la totalité de ces tentatives venait de pays 
exotiques
ou nous n'avons pas de client.

C'est un peu casse noix mais nous avons pris le parti de firewaller le FTP et 
d'ouvrir par
AS (en récupérant les préfixes concernés avec un peval)

Pour ceux que ca interesse, voila la liste d'AS que nous avons retenu et 
alimenté au fil
du temps avec les remarques clients :

AS174
AS286
AS702
AS1273
AS1836
AS1849
AS2119
AS2134
AS2200
AS2482
AS2486
AS2529
AS2856
AS3209
AS3215
AS3259
AS3269
AS3292
AS3320
AS3324
AS3344
AS3352
AS3955
AS4589
AS5378
AS5410
AS5432
AS5501
AS5511
AS5533
AS5560
AS5669
AS6461
AS6678
AS6713
AS6774
AS6805
AS6838
AS6848
AS8196
AS8218
AS8220
AS8228
AS8228
AS8272
AS8304
AS8311
AS8399
AS8426
AS8452
AS8527
AS8565
AS8677
AS8687
AS8784
AS8839
AS8864
AS8922
AS8928
AS8972
AS9003
AS9013
AS9029
AS9036
AS9057
AS9078
AS9153
AS9595
AS10806
AS12322
AS12392
AS12566
AS12626
AS12628
AS12641
AS12670
AS12670
AS12826
AS12844
AS12876
AS13035
AS13037
AS13128
AS13193
AS13237
AS13270
AS13273
AS15399
AS15404
AS15436
AS15522
AS15557
AS15569
AS15570
AS15600
AS15657
AS15830
AS16211
AS16276
AS20529
AS20563
AS20704
AS20760
AS21000
AS21449
AS21458
AS21498
AS21502
AS23889
AS24292
AS24632
AS24640
AS24653
AS24776
AS24798
AS24961
AS25049
AS25261
AS25273
AS25493
AS25562
AS28694
AS28877
AS29075
AS29152
AS29204
AS29322
AS29372
AS29608
AS30741
AS30781
AS30972
AS31103
AS31167
AS31178
AS31197
AS31216
AS31221
AS31414
AS31449
AS33779
AS34002
AS34006
AS34177
AS34308
AS34391
AS34453
AS34536
AS34861
AS34997
AS35189
AS35217
AS35244
AS35283
AS35393
AS35632
AS35655
AS35701
AS35716
AS35822
AS35830
AS36408
AS37054
AS38943
AS39196
AS39720
AS39771
AS39894
AS40999
AS41020
AS41514
AS41523
AS41526
AS41690
AS41886
AS42761
AS43150
AS43254
AS43424
AS44494
AS44944
AS47400
AS47427
AS47518
AS47612
AS48789
AS49430
AS47732


plus quelques classes IP qui n'ont pas l'objet route: qui va bien pour les lier 
a un AS :

196.192.40.0/24
81.200.176.0/20
193.248.0.0/14
193.252.0.0/15
194.2.0.0/16
194.51.0.0/18
194.3.0.0/16
194.206.0.0/16
194.51.128.0/17
194.51.64.0/18
194.250.0.0/16
195.6.0.0/16
195.25.0.0/16
195.101.0.0/16
62.160.0.0/16
212.234.0.0/16
62.161.0.0/16
213.56.0.0/16
217.108.0.0/15
217.128.0.0/16
217.167.0.0/16
80.8.0.0/13
81.48.0.0/13
81.80.0.0/16
81.248.0.0/13
82.120.0.0/13
83.112.0.0/14
83.192.0.0/12
86.192.0.0/10
90.0.0.0/9
92.128.0.0/10
195.20.198.0/23
92.61.163.0/24
83.112.0.0/16
173.161.144.145/32
41.190.237.0/24
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Comment vous protégez vous ?

2010-06-22 Par sujet DELOBEL Gary

j'adore la liste d'AS venant de pays *exotique*, on est déjà vendredi?

Le 22/06/2010 19:58, Spyou a écrit :

Le 22/06/2010 12:15, Jérémy Martin a écrit :
   

Depuis plusieurs mois, on a de plus en plus de cas de comptes FTP
(hébergement mutualisés) qui se font hack via une connexion tout à fait
normale (password ok, pas de brute force). Après analyse auprès de
quelques clients qu'on a pu contacter, il apparait que la cause est
toujours la même : un magnifique trojan (on a vu un peu tout ce qui
traine sur le net) qui logue le clavier, et qui renvoi le password FTP
de notre client vers le pirate.

Alors, vu qu'on réfléchit à refaire notre infra depuis quelques
semaines, me vient une question qui peut paraitre bête. Comment se
protéger de connexion non autorisés de ce type en FTP ?
 

Pour notre part, on a constaté que la totalité de ces tentatives venait de pays 
exotiques
ou nous n'avons pas de client.

C'est un peu casse noix mais nous avons pris le parti de firewaller le FTP et 
d'ouvrir par
AS (en récupérant les préfixes concernés avec un peval)

Pour ceux que ca interesse, voila la liste d'AS que nous avons retenu et 
alimenté au fil
du temps avec les remarques clients :

AS174
AS286
AS702
AS1273
AS1836
AS1849
AS2119
AS2134
AS2200
AS2482
AS2486
AS2529
AS2856
AS3209
AS3215
AS3259
AS3269
AS3292
AS3320
AS3324
AS3344
AS3352
AS3955
AS4589
AS5378
AS5410
AS5432
AS5501
AS5511
AS5533
AS5560
AS5669
AS6461
AS6678
AS6713
AS6774
AS6805
AS6838
AS6848
AS8196
AS8218
AS8220
AS8228
AS8228
AS8272
AS8304
AS8311
AS8399
AS8426
AS8452
AS8527
AS8565
AS8677
AS8687
AS8784
AS8839
AS8864
AS8922
AS8928
AS8972
AS9003
AS9013
AS9029
AS9036
AS9057
AS9078
AS9153
AS9595
AS10806
AS12322
AS12392
AS12566
AS12626
AS12628
AS12641
AS12670
AS12670
AS12826
AS12844
AS12876
AS13035
AS13037
AS13128
AS13193
AS13237
AS13270
AS13273
AS15399
AS15404
AS15436
AS15522
AS15557
AS15569
AS15570
AS15600
AS15657
AS15830
AS16211
AS16276
AS20529
AS20563
AS20704
AS20760
AS21000
AS21449
AS21458
AS21498
AS21502
AS23889
AS24292
AS24632
AS24640
AS24653
AS24776
AS24798
AS24961
AS25049
AS25261
AS25273
AS25493
AS25562
AS28694
AS28877
AS29075
AS29152
AS29204
AS29322
AS29372
AS29608
AS30741
AS30781
AS30972
AS31103
AS31167
AS31178
AS31197
AS31216
AS31221
AS31414
AS31449
AS33779
AS34002
AS34006
AS34177
AS34308
AS34391
AS34453
AS34536
AS34861
AS34997
AS35189
AS35217
AS35244
AS35283
AS35393
AS35632
AS35655
AS35701
AS35716
AS35822
AS35830
AS36408
AS37054
AS38943
AS39196
AS39720
AS39771
AS39894
AS40999
AS41020
AS41514
AS41523
AS41526
AS41690
AS41886
AS42761
AS43150
AS43254
AS43424
AS44494
AS44944
AS47400
AS47427
AS47518
AS47612
AS48789
AS49430
AS47732


plus quelques classes IP qui n'ont pas l'objet route: qui va bien pour les lier 
a un AS :

196.192.40.0/24
81.200.176.0/20
193.248.0.0/14
193.252.0.0/15
194.2.0.0/16
194.51.0.0/18
194.3.0.0/16
194.206.0.0/16
194.51.128.0/17
194.51.64.0/18
194.250.0.0/16
195.6.0.0/16
195.25.0.0/16
195.101.0.0/16
62.160.0.0/16
212.234.0.0/16
62.161.0.0/16
213.56.0.0/16
217.108.0.0/15
217.128.0.0/16
217.167.0.0/16
80.8.0.0/13
81.48.0.0/13
81.80.0.0/16
81.248.0.0/13
82.120.0.0/13
83.112.0.0/14
83.192.0.0/12
86.192.0.0/10
90.0.0.0/9
92.128.0.0/10
195.20.198.0/23
92.61.163.0/24
83.112.0.0/16
173.161.144.145/32
41.190.237.0/24
---
Liste de diffusion du FRnOG
http://www.frnog.org/


   

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Comment vous protégez vous ?

2010-06-22 Par sujet Jérôme Nicolle
Le mardi 22 juin 2010 à 21:20 +0200, DELOBEL Gary a écrit :
 j'adore la liste d'AS venant de pays *exotique*, on est déjà vendredi?

C'est la whitelist :O

Et puis vendredi, comme on sera en live, il faut préparer un peu
l'ambiance ;)

-- 
Jérôme Nicolle


signature.asc
Description: Ceci est une partie de message numériquement signée


[FRnOG] Re: [FRnOG] Comment vous protégez vous ?

2010-06-22 Par sujet Mehdi Badreddine
vous utilisez dnsbl ?

Le 22 juin 2010 23:06, Jérôme Nicolle jer...@ceriz.fr a écrit :

 Le mardi 22 juin 2010 à 21:20 +0200, DELOBEL Gary a écrit :
  j'adore la liste d'AS venant de pays *exotique*, on est déjà vendredi?

 C'est la whitelist :O

 Et puis vendredi, comme on sera en live, il faut préparer un peu
 l'ambiance ;)

 --
 Jérôme Nicolle



[FRnOG] Re: [FRnOG] Re: [FRnOG] Comment vous protégez vous ?

2010-06-22 Par sujet Thomas Lopez
Bonsoir,

je trouve qu'un des problèmes majeurs et très difficile à résoudre reste la
sécurité du poste de travail utilisateur.
On peut facilement imaginer un poste infecté qui sert de
proxy/passerelle pour accéder au services.

Dans ce domaine il y a encore plus de solutions, souvent peu fonctionnelles,
mais il est difficile d'interdire la sauvegarde automatique des mots de
passe, et tout ce genre de choses...

Je sais pas pourquoi mais je sens le troll arrivé...


Re: [FRnOG] Comment vous protégez vous ?

2010-06-22 Par sujet Jérémy Martin

Merci à tous pour vos retours.
Il y a en effet un certain nombre de solutions existantes, certaines 
sont un peu délicates, d'autres sont très simples à première vue.


Je pense qu'on va partir sur une solution telle que celle ci :
1) Les sessions FTP sont bloqués par défaut
2) Quand un client veut ouvrir une session FTP, il doit aller demander 
que celle ci soit autorisée dans son espace client (d'ou il ne peut se 
connecter qu'avec une IP = au pays déclaré sur le dossier client).
3) La session dure un certain temps et est automatiquement rebloqué à 
l'issue.


Avec deux trois scripts qui check les comptes à débloquer ou à bloquer 
qui passent toutes les minutes sur une liste texte, ça pourrait le faire.


Je devrait pouvoir me rendre à la réunion de Vendredi, c'est avec 
plaisir que je pourrais donc en discuter de vive voix parmi vous :)


Cordialement,
Jérémy Martin
Directeur Technique FirstHeberg.com


Le 22/06/2010 12:41, Jérémy Martin a écrit :

Oui, en effet.
On as déjà rajouté pas mal de mails automatiques à la connexion, un 
peu comme le fait OVH pour faire de la prévention et rappeler aux 
clients de checker ou sont stockés leurs password et/ou comment ils se 
connectent.


Mais les faits sont là, on a plusieurs milliers de clients 
aujourd'hui, dont 90 % de particuliers, et pour vous donner une image, 
j'ai encore bloqué 23 comptes ce matin car le gentils pirate s'amuse à 
faire du phishing ou du spam dessus.


Je pense que la géolocalisation de l'ip serait une bonne solution, 
hormis les proxy qu'il pourrait y avoir en France bien entendu, mais 
de ce que j'ai vu, la majorité des IP sont étrangères.

La question étant de savoir si ça existe pour ce type d'usage...
Cordialement,
Jérémy Martin
Directeur Technique FirstHeberg.com

Le 22/06/2010 12:32, Rémi Bouhl a écrit :

Bonjour,

Le problème se situant entre la chaise et le clavier, c'est peut-être
là qu'il faut chercher la solution, non?



Le 22/06/10, Jérémy Martinli...@freeheberg.com  a écrit :
   

Bonjour à tous,

Comme la volonté du FRnOG est de (je cite) : Améliorer la qualité
d'internet et autres services IP en France, je viens vers vous pour
avoir votre ressentit et discuter autour d'un sujet sur lequel on débat
en interne depuis quelques jours. On a pour vocation de rester très
petit comme hébergeur (ça contraste un peu sur ce marché :) ), donc pour
le coup, cette liste est la bienvenue.

Depuis plusieurs mois, on a de plus en plus de cas de comptes FTP
(hébergement mutualisés) qui se font hack via une connexion tout à fait
normale (password ok, pas de brute force). Après analyse auprès de
quelques clients qu'on a pu contacter, il apparait que la cause est
toujours la même : un magnifique trojan (on a vu un peu tout ce qui
traine sur le net) qui logue le clavier, et qui renvoi le password FTP
de notre client vers le pirate.

Alors, vu qu'on réfléchit à refaire notre infra depuis quelques
semaines, me vient une question qui peut paraitre bête. Comment se
protéger de connexion non autorisés de ce type en FTP ?

On a bien pensé à un filtrage d'ip, mais quid des IP dynamique ? De
plus, un proxy sur le poste infecté remet le problème à jour.
On a pensé aussi à géolocaliser les IP se connectant avant de lancer la
session de login. Mais vu le nombre de requêtes, ça peut poser problème,
d'autant que le client est bridé à une connexion franco-française dans
ce type de situation.

Et vous, rencontrez vous la même problématique ? Avez vous trouvé des
solutions ?

--
Cordialement,
Jérémy Martin
Directeur Technique FirstHeberg.com



__
FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle !
PHP + Mysql + Espace 2 à 20 Go