Forums Sécurité Sécurité

Attaque serveur FTP

Le vendredi 14 Juillet 2006 à 19:17

cf_la_signature

bonsoir,
depuis hier soir sur mon serveur FTP j'ai des tentative de connections
(1567 tentatives) en provenance d'une unique IP (61.129.72.174). Les
tentative de connections se font avec comme loggin 'Administrator' et
des mots de passe qui semble choisi dans un dictionnaire.

un cours extrait du log donne :

*****
(000333) 14/07/2006 03:39:36 - (not logged in) (61.129.72.174)>
Connected, sending welcome message
(000333) 14/07/2006 03:39:41 - (not logged in) (61.129.72.174)> USER
Administrator
(000333) 14/07/2006 03:39:41 - (not logged in) (61.129.72.174)> 331
Password required for administrator
(000333) 14/07/2006 03:39:47 - (not logged in) (61.129.72.174)> USER
Administrator
(000333) 14/07/2006 03:39:47 - (not logged in) (61.129.72.174)> 331
Password required for administrator
(000333) 14/07/2006 03:39:55 - (not logged in) (61.129.72.174)> PASS
natasha
(000333) 14/07/2006 03:39:55 - (not logged in) (61.129.72.174)> 530
Login or password incorrect!
(000333) 14/07/2006 03:40:06 - (not logged in) (61.129.72.174)> 421
Login time exceeded. Closing control connection.
(000333) 14/07/2006 03:40:06 - (not logged in) (61.129.72.174)>
disconnected.

(000334) 14/07/2006 03:40:07 - (not logged in) (61.129.72.174)>
Connected, sending welcome message
*****

Un whois sur http://ws.arin.net donne :

*****
OrgName: Asia Pacific Network Information Centre
OrgID: APNIC
Address: PO Box 2131
City: Milton
StateProv: QLD
PostalCode: 4064
Country: AU

ReferralServer: whois://whois.apnic.net

NetRange: 61.0.0.0 - 61.255.255.255
CIDR: 61.0.0.0/8
NetName: APNIC3
NetHandle: NET-61-0-0-0-1
Parent:
NetType: Allocated to APNIC
NameServer: NS1.APNIC.NET
NameServer: NS3.APNIC.NET
NameServer: NS4.APNIC.NET
NameServer: NS-SEC.RIPE.NET
NameServer: TINNIE.ARIN.NET
Comment: This IP address range is not registered in the ARIN
database.
Comment: For details, refer to the APNIC Whois Database via
Comment: WHOIS.APNIC.NET or http://www.apnic.net/apnic-bin/whois2.pl
Comment: ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment: for the Asia Pacific region. APNIC does not operate networks
Comment: using this IP address range and is not able to investigate
Comment: spam or abuse reports relating to these addresses. For more
Comment: help, refer to http://www.apnic.net/info/faq/abuse
Comment:
RegDate: 1997-04-25
Updated: 2005-05-20

OrgTechHandle: AWC12-ARIN
OrgTechName: APNIC Whois Contact
OrgTechPhone: +61 7 3858 3100
OrgTechEmail: search-apnic-not-arin@apnic.net
*****

J'ai bloqué l'acces à toute la plage IP 61.*.*.*, mais y a t'il d'autres
choses à faire ou à mettre en place ?
Merci pour vos contributions.

--
xnf03l9p8buaylo@jetable.net (valide jusqu'au 08/08/06)

Questions / Réponses high-tech

Poser une question

Vidéos High-Tech et Jeu Vidéo

Sleeping Dogs : les combats à Hong-Kong
Square Enix nous propose un nouveau trailer de Sleeping Dogs, un GTA-like qui semble...
Far Cry 3 : vidéo de jeu inédite
Voici une vidéo de gameplay exclusive de Far Cry 3, présentant une phase de jeu...

Plus de vidéos

Téléchargements

Internet

Fling : un utilitaire d'automatisation de mise en ligne pour...
Si vous travaillez dans l'élaboration d'un blog ou d'un site web, il est fort probable...
Internet

Cerberus FTP Server : un serveur FTP vraiment complet
Cerberus FTP Server est un serveur FTP particulièrement performant avec lequel il sera...

Plus de téléchargements

Suivez GNT

Vos réponses Page 1 / 6

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !

Trier par : date / pertinence

Julien Salgado

Le 15/07/2006 à 01:10 #842726

Frederic Salach a écrit :

bonsoir,

Bonsoir,

depuis hier soir sur mon serveur FTP j'ai des tentative de connections
(1567 tentatives) en provenance d'une unique IP (61.129.72.174). Les
tentative de connections se font avec comme loggin 'Administrator' et
des mots de passe qui semble choisi dans un dictionnaire.

un cours extrait du log donne :

[...SNIP LOG...]

Un whois sur http://ws.arin.net donne :

[...SNIP la réponse de arin...]

L'ARIN ne gère pas cette zone... c'est l'APNIC, on y apprend que c'est
un range appartenant à une société Chinoise :

inetnum: 61.129.72.144 - 61.129.72.191
netname: CNLINK-NETWORK
descr: China Link Network Technology Limited
country: CN
admin-c: DWJ4-AP
tech-c: WJ194-AP
mnt-by: MAINT-CHINANET-SH
changed: 20030210
status: ASSIGNED NON-PORTABLE
source: APNIC

person: Dai Wen Jing
address: 333 Wusheng Road,Shanghai 200003
country: CN
phone: +86-21-63270333-4376
fax-no: +86-21-63592785
e-mail:
nic-hdl: DWJ4-AP
mnt-by: MAINT-CN-SHTELE-CHANGTU
changed: 20030225
source: APNIC

person: Wang Jian
address: 333 Wusheng Road,Shanghai 200003
country: CN
phone: +86-21-63270333-1179
fax-no: +86-21-63592785
e-mail:
nic-hdl: WJ194-AP
mnt-by: MAINT-CN-SHTELE-CHANGTU
changed: 20021007
source: APNIC

J'ai bloqué l'acces à toute la plage IP 61.*.*.*, mais y a t'il d'autres
choses à faire ou à mettre en place ?

Informer le gestionnaire de ce réseau me semble au moins une bonne idée,
il est possible que son réseau soit compromis.

Merci pour vos contributions.

--
Julien

-1 Répondre en citant

cf_la_signature

Le 15/07/2006 à 10:36 #842723

Julien Salgado

L'ARIN ne gère pas cette zone... c'est l'APNIC, on y apprend que c'est
un range appartenant à une société Chinoise :

Merci pour les informations.

J'ai bloqué l'acces à toute la plage IP 61.*.*.*, mais y a t'il d'autres
choses à faire ou à mettre en place ?

Informer le gestionnaire de ce réseau me semble au moins une bonne idée,
il est possible que son réseau soit compromis.

C'est une pratique qui se fait ? Je ne suis pas professionel c'est juste
un serveur FTP perso. Sous quelle forme doit être réaliser ce mail ?

--
(valide jusqu'au 08/08/06)

-1 Répondre en citant

Xavier Roche

Le 15/07/2006 à 15:10 #842721

C'est une pratique qui se fait ? Je ne suis pas professionel

Qu'entendez-vous par "professionnel" ? Vous gérez un serveur ftp, vous
êtes déja un "professionnel" quelque part. Le fait que ce soit votre
métier, et/ou que vous possédez un joli diplôme en carton ne change pas
grand chose.

c'est juste un serveur FTP perso. Sous quelle forme doit être réaliser ce mail ?

En anglais pas trop élaboré, courtois, mais allant droit au but, en
copie au moins deux ou trois personnes du whois (le abuse@ et quasiment
jamais lu)

Maintenant je ne voudrais pas vous décourager, mais cela ne servira
probablement pas à grand chose.

Dear postmasters,

The machine XXX (which is part of your ip block XXX, and which may be
compromised) has been trying to brute-force my ftp server (see logs
below). Please take immediate actions to prevent your customers from
perpetrating this kind of abuse.

logs:
..

-1 Répondre en citant

ALBATOR

Le 17/07/2006 à 12:09 #885344

"Frederic Salach" message de news: 1hih71c.cg6mkip2x8pcN%

bonsoir,
depuis hier soir sur mon serveur FTP j'ai des tentative de connections
(1567 tentatives) en provenance d'une unique IP (61.129.72.174). Les
tentative de connections se font avec comme loggin 'Administrator' et
des mots de passe qui semble choisi dans un dictionnaire.

changer le port d'écoute de votre serveur ftp est bien mieux que de
bloquer l'ip, le seul désagrément est d'avertir vos clients actuel du
changement du port, mais suivant votre mode d'administration ce n'est
pas une grosse difficulté.

-1 Répondre en citant

Pascal Hambourg

Le 17/07/2006 à 13:07 #885141

Salut,

changer le port d'écoute de votre serveur ftp est bien mieux que de
bloquer l'ip, le seul désagrément est d'avertir vos clients actuel du
changement du port

Et les firewalls/NAT incapables de se débrouiller avec du FTP sur un
port non standard, ça ne risque pas d'être un gros désagrément ?

-1 Répondre en citant

Publicité

‹ 123456 › »

Suivre les réponses

Poster une réponse