Bloquer *.alshamil.net.ae

Le
Shams Fantar
Bonsoir,

Je viens d'installer pure-ftpd sur un serveur, je vois que des adresses
DNS tentent toutes les secondes/minutes (à peu près) de se connecter sur
le serveur FTP, un peu de logs pour commencer :

May 7 13:53:22 snurf pure-ftpd: (?@dxb-as13364.alshamil.net.ae) [INFO]
New connection from dxb-as13364.alshamil.net.ae
May 7 13:53:22 snurf pure-ftpd: (?@dxb-as13364.alshamil.net.ae) [INFO]
Logout.
May 7 13:53:29 snurf pure-ftpd: (?@dxb-as13364.alshamil.net.ae) [INFO]
New connection from dxb-as13364.alshamil.net.ae
May 7 13:53:29 snurf pure-ftpd: (?@dxb-as13364.alshamil.net.ae) [INFO]
Logout.
May 7 13:53:31 snurf pure-ftpd: (?@dxb-as13364.alshamil.net.ae) [INFO]
New connection from dxb-as13364.alshamil.net.ae
May 7 13:53:31 snurf pure-ftpd: (?@dxb-as13364.alshamil.net.ae) [INFO]
Logout.
May 7 13:53:35 snurf pure-ftpd: (?@dxb-as13364.alshamil.net.ae) [INFO]
New connection from dxb-as13364.alshamil.net.ae
May 7 13:53:35 snurf pure-ftpd: (?@dxb-as13364.alshamil.net.ae) [INFO]
Logout.
May 7 13:53:37 snurf pure-ftpd: (?@dxb-as13364.alshamil.net.ae) [INFO]
New connection from dxb-as13364.alshamil.net.ae

J'ai tenté un pure-ftpd : dxb-as13364.alshamil.net.ae dans
/etc/hosts.deny, ça n'y change rien, j'ai utilisé une règle iptables sur
l'ip de dxb-as13364.alshamil.net.ae, toujours pareil, ça ne change rien.
Mais de toute manière, la partie 13364 de l'adresse change assez
souvent, donc dur dur de bloquer !

Je pense donc qu'il faut bloquer *.alshamil.net.ae, mais je ne vois pas
comment, est-ce faisable ?

Amicalement,

--
Shams Fantar (http://snurf.info)


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
mouss
Le #9539221
Shams Fantar wrote:
Bonsoir,

Je viens d'installer pure-ftpd sur un serveur, je vois que des
adresses DNS tentent toutes les secondes/minutes (à peu près) de se
connecter sur le serveur FTP, un peu de logs pour commencer :

May 7 13:53:22 snurf pure-ftpd: (?@dxb-as13364.alshamil.net.ae)
[INFO] New connection from dxb-as13364.alshamil.net.ae
May 7 13:53:22 snurf pure-ftpd: (?@dxb-as13364.alshamil.net.ae)
[INFO] Logout.
May 7 13:53:29 snurf pure-ftpd: (?@dxb-as13364.alshamil.net.ae)
[INFO] New connection from dxb-as13364.alshamil.net.ae
May 7 13:53:29 snurf pure-ftpd: (?@dxb-as13364.alshamil.net.ae)
[INFO] Logout.
May 7 13:53:31 snurf pure-ftpd: (?@dxb-as13364.alshamil.net.ae)
[INFO] New connection from dxb-as13364.alshamil.net.ae
May 7 13:53:31 snurf pure-ftpd: (?@dxb-as13364.alshamil.net.ae)
[INFO] Logout.
May 7 13:53:35 snurf pure-ftpd: (?@dxb-as13364.alshamil.net.ae)
[INFO] New connection from dxb-as13364.alshamil.net.ae
May 7 13:53:35 snurf pure-ftpd: (?@dxb-as13364.alshamil.net.ae)
[INFO] Logout.
May 7 13:53:37 snurf pure-ftpd: (?@dxb-as13364.alshamil.net.ae)
[INFO] New connection from dxb-as13364.alshamil.net.ae

J'ai tenté un pure-ftpd : dxb-as13364.alshamil.net.ae dans
/etc/hosts.deny, ça n'y change rien, j'ai utilisé une règle iptables
sur l'ip de dxb-as13364.alshamil.net.ae, toujours pareil, ça ne change
rien. Mais de toute manière, la partie 13364 de l'adresse change assez
souvent, donc dur dur de bloquer !

Je pense donc qu'il faut bloquer *.alshamil.net.ae, mais je ne vois
pas comment, est-ce faisable ?



bloque 217.165.128.0/18 (obtenu par whois, donc c'est juste une partie).
tu peux chercher les blocs des emirats arabes et les bloquer:
http://www.ipmaster.org/ranges.php?cc®
ou
http://www.proxyserverprivacy.com/ipaddress_range.php
(cherche "United Arab Emirates")
... etc.

bien sur, si tu reçois des conexions legitimes de ce pays, ce n'est
évidemment pas une solution!

Sinon, tu peux aussi contrer les attaques de dictionnaire avec iptables:
http://www.debian-administration.org/articles/187
http://mwolf.net/archive/iptables-against-ssh/
http://www.linux.com/article.pl?sid/09/15/1655234

Ca parle de ssh, mais tu peux adapter à ftp.



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Shams Fantar
Le #9539171
Merci bien, je n'y avais pas pensé de bloquer des blocs d'ips, donc
problème réglé apparemment.

bye

--
Shams Fantar (http://snurf.info)


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Franck Joncourt
Le #9539061
--IMjqdzrDRly81ofr
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

On Tue, May 08, 2007 at 10:36:57AM +0200, Shams Fantar wrote:

Bonjour,

Merci bien, je n'y avais pas pensé de bloquer des blocs d'ips, donc
problème réglé apparemment.

bye



iptables ne permet pas de bloquer des adresses *dynamique*.
Cepandant, la methode que mouss a propose a l'avantage de mettre en
place une regle qui s'adapte a la situation ; si on depasse le quota de
nouvelles connexions alors on est place en liste noir.

--
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE

--IMjqdzrDRly81ofr
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQFGQFIVxJBTTnXAif4RApYDAJ415cg2XtS0XaTSHdWhnIeMZmYTXQCdFZ7h
Md8SIBuJCLItEnCJCWRm+wY =aJCp
-----END PGP SIGNATURE-----

--IMjqdzrDRly81ofr--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Franck Joncourt
Le #9539051
--3XA6nns4nE4KvaS/
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

On Tue, May 08, 2007 at 12:33:57PM +0200, Franck Joncourt wrote:
On Tue, May 08, 2007 at 10:36:57AM +0200, Shams Fantar wrote:

Bonjour,

> Merci bien, je n'y avais pas pensé de bloquer des blocs d'ips, don c
> problème réglé apparemment.
>
> bye

iptables ne permet pas de bloquer des adresses *dynamique*.
Cepandant, la methode que mouss a propose a l'avantage de mettre en
place une regle qui s'adapte a la situation ; si on depasse le quota de
nouvelles connexions alors on est place en liste noir.




Desole pour les fautes, le reveil a ete difficile :p!

--
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE

--3XA6nns4nE4KvaS/
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQFGQFS7xJBTTnXAif4RAqDPAKCYfJgfIL/yz1CEl/VWe2WYGEaUWQCgxmhh
bvJu9iXye+lOZVllkW6jd3k =L4L8
-----END PGP SIGNATURE-----

--3XA6nns4nE4KvaS/--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme