Bonjour à tous,
Il y a quelques jours, j'ai installé un serveur FTP (proftpd).
Depuis, pratiquement chaque jour, je fais l'objet de 1 ou 2 attaques de
type brute force (Chine, Allemagne, US - si j'en crois les IP affichées
dans les logs proftpd), qui jusqu'à maintenant n'ont heureusement pas
abouti.
Pour le moment, je me suis contenté d'ajouter une chaîne iptables pour
dropper les ip concernés, mais bon, je ne vais pas passer mon temps à
trier les logs (aujourd'hui plus de 120000 lignes...) pour rajouter des
filtres à la main.
Donc, j'ai regardé la doc de proftpd (rapidement), je n'ai pas vu la
possibilité de "bruler" une adresse ip.
J'amagine que l'idéal serait d'utiliser un produit capable de détecter
un trop grand nombre d'essais infructueux et de bloquer les adresses en
question, mais je ne sais trop dans quelle direction chercher (Snort?)
Merci d'avance pour vos idées, suggestions et conseils.
Ah encore une question (Peut-on considérer que les adresses utilisées
pour m'attaquer (211.90.25.230, 69.94.8.15, 212.40.162.11) sont de vrais
adresses, ou bien des adresses usurpées ?
Bonjour à tous,
Il y a quelques jours, j'ai installé un serveur FTP (proftpd).
Depuis, pratiquement chaque jour, je fais l'objet de 1 ou 2 attaques de
type brute force (Chine, Allemagne, US - si j'en crois les IP affichées
dans les logs proftpd), qui jusqu'à maintenant n'ont heureusement pas
abouti.
Pour le moment, je me suis contenté d'ajouter une chaîne iptables pour
dropper les ip concernés, mais bon, je ne vais pas passer mon temps à
trier les logs (aujourd'hui plus de 120000 lignes...) pour rajouter des
filtres à la main.
Donc, j'ai regardé la doc de proftpd (rapidement), je n'ai pas vu la
possibilité de "bruler" une adresse ip.
J'amagine que l'idéal serait d'utiliser un produit capable de détecter
un trop grand nombre d'essais infructueux et de bloquer les adresses en
question, mais je ne sais trop dans quelle direction chercher (Snort?)
Merci d'avance pour vos idées, suggestions et conseils.
Ah encore une question (Peut-on considérer que les adresses utilisées
pour m'attaquer (211.90.25.230, 69.94.8.15, 212.40.162.11) sont de vrais
adresses, ou bien des adresses usurpées ?
Bonjour à tous,
Il y a quelques jours, j'ai installé un serveur FTP (proftpd).
Depuis, pratiquement chaque jour, je fais l'objet de 1 ou 2 attaques de
type brute force (Chine, Allemagne, US - si j'en crois les IP affichées
dans les logs proftpd), qui jusqu'à maintenant n'ont heureusement pas
abouti.
Pour le moment, je me suis contenté d'ajouter une chaîne iptables pour
dropper les ip concernés, mais bon, je ne vais pas passer mon temps à
trier les logs (aujourd'hui plus de 120000 lignes...) pour rajouter des
filtres à la main.
Donc, j'ai regardé la doc de proftpd (rapidement), je n'ai pas vu la
possibilité de "bruler" une adresse ip.
J'amagine que l'idéal serait d'utiliser un produit capable de détecter
un trop grand nombre d'essais infructueux et de bloquer les adresses en
question, mais je ne sais trop dans quelle direction chercher (Snort?)
Merci d'avance pour vos idées, suggestions et conseils.
Ah encore une question (Peut-on considérer que les adresses utilisées
pour m'attaquer (211.90.25.230, 69.94.8.15, 212.40.162.11) sont de vrais
adresses, ou bien des adresses usurpées ?
De Novembre à Janvier, j'ai subi chaque jour des milliers d'attaque ssh à partir d'un
botnet de 2000 machines en gros, attaques corrélées avec essai de log ins par
ordre alphabétique (le nombre total se chiffre en centaine de milliers) .. Les IPs sont
bloquées après 3 essais prendant quelques minutes mais chaque machine ne faisait
qu'un ou deux essais. J'avais fait de manière automatique un message au abuse des IPs
concernées. Il y a eu en gros 1à2% de retour, à chaque fois des mac hines compromises.
De Novembre à Janvier, j'ai subi chaque jour des milliers d'attaque ssh à partir d'un
botnet de 2000 machines en gros, attaques corrélées avec essai de log ins par
ordre alphabétique (le nombre total se chiffre en centaine de milliers) .. Les IPs sont
bloquées après 3 essais prendant quelques minutes mais chaque machine ne faisait
qu'un ou deux essais. J'avais fait de manière automatique un message au abuse des IPs
concernées. Il y a eu en gros 1à2% de retour, à chaque fois des mac hines compromises.
De Novembre à Janvier, j'ai subi chaque jour des milliers d'attaque ssh à partir d'un
botnet de 2000 machines en gros, attaques corrélées avec essai de log ins par
ordre alphabétique (le nombre total se chiffre en centaine de milliers) .. Les IPs sont
bloquées après 3 essais prendant quelques minutes mais chaque machine ne faisait
qu'un ou deux essais. J'avais fait de manière automatique un message au abuse des IPs
concernées. Il y a eu en gros 1à2% de retour, à chaque fois des mac hines compromises.
On Fri, 20 Mar 2009 21:31:19 +0100
François Boisson wrote:De Novembre à Janvier, j'ai subi chaque jour des milliers d'attaque
ssh à partir d'un
botnet de 2000 machines en gros, attaques corrélées avec essai de logins par
ordre alphabétique (le nombre total se chiffre en centaine de
milliers).. Les IPs sont
bloquées après 3 essais prendant quelques minutes mais chaque
machine ne faisait
qu'un ou deux essais. J'avais fait de manière automatique un
message au abuse des IPs
concernées. Il y a eu en gros 1à 2% de retour, à chaque foi s des
machines compromises.
Je viens de me faire péter une Dedibox en Lenny. Accès ssh en ro ot
depuis une adresse de Hong-Kong. Comment peut-on reconnaitre que
diverses tentatives d' accès sont corrélées ? Yatil un moye n autre que
PermitRootLogin à no pour s' en prémunir? Sachant qu' il ne s' a git
dans mon cas que d' un serveur perso, sans données hyper importantes et
que je ne cherche pas la sécurité absolue. Je suppose qu' une st ratégie
de sécurité n' est réellement efficace que si elle est ma îtrisée, et j'
en suis(était?) encore à faire des conneries dans la configurati on de
ssh...
Merci d' éclairer ma lanterne,
Vincent
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
On Fri, 20 Mar 2009 21:31:19 +0100
François Boisson <user.anti-spam@maison.homelinux.net> wrote:
De Novembre à Janvier, j'ai subi chaque jour des milliers d'attaque
ssh à partir d'un
botnet de 2000 machines en gros, attaques corrélées avec essai de logins par
ordre alphabétique (le nombre total se chiffre en centaine de
milliers).. Les IPs sont
bloquées après 3 essais prendant quelques minutes mais chaque
machine ne faisait
qu'un ou deux essais. J'avais fait de manière automatique un
message au abuse des IPs
concernées. Il y a eu en gros 1à 2% de retour, à chaque foi s des
machines compromises.
Je viens de me faire péter une Dedibox en Lenny. Accès ssh en ro ot
depuis une adresse de Hong-Kong. Comment peut-on reconnaitre que
diverses tentatives d' accès sont corrélées ? Yatil un moye n autre que
PermitRootLogin à no pour s' en prémunir? Sachant qu' il ne s' a git
dans mon cas que d' un serveur perso, sans données hyper importantes et
que je ne cherche pas la sécurité absolue. Je suppose qu' une st ratégie
de sécurité n' est réellement efficace que si elle est ma îtrisée, et j'
en suis(était?) encore à faire des conneries dans la configurati on de
ssh...
Merci d' éclairer ma lanterne,
Vincent
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
On Fri, 20 Mar 2009 21:31:19 +0100
François Boisson wrote:De Novembre à Janvier, j'ai subi chaque jour des milliers d'attaque
ssh à partir d'un
botnet de 2000 machines en gros, attaques corrélées avec essai de logins par
ordre alphabétique (le nombre total se chiffre en centaine de
milliers).. Les IPs sont
bloquées après 3 essais prendant quelques minutes mais chaque
machine ne faisait
qu'un ou deux essais. J'avais fait de manière automatique un
message au abuse des IPs
concernées. Il y a eu en gros 1à 2% de retour, à chaque foi s des
machines compromises.
Je viens de me faire péter une Dedibox en Lenny. Accès ssh en ro ot
depuis une adresse de Hong-Kong. Comment peut-on reconnaitre que
diverses tentatives d' accès sont corrélées ? Yatil un moye n autre que
PermitRootLogin à no pour s' en prémunir? Sachant qu' il ne s' a git
dans mon cas que d' un serveur perso, sans données hyper importantes et
que je ne cherche pas la sécurité absolue. Je suppose qu' une st ratégie
de sécurité n' est réellement efficace que si elle est ma îtrisée, et j'
en suis(était?) encore à faire des conneries dans la configurati on de
ssh...
Merci d' éclairer ma lanterne,
Vincent
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Je viens de me faire péter une Dedibox en Lenny. Accès ssh en root
depuis une adresse de Hong-Kong. Comment peut-on reconnaitre que
diverses tentatives d' accès sont corrélées ? Yatil un moyen autre que
PermitRootLogin à no pour s' en prémunir? Sachant qu' il ne s' agit
dans mon cas que d' un serveur perso, sans données hyper importantes et
que je ne cherche pas la sécurité absolue. Je suppose qu' une stratégie
de sécurité n' est réellement efficace que si elle est maîtrisée, et j'
en suis(était?) encore à faire des conneries dans la configuration de
ssh...
Je viens de me faire péter une Dedibox en Lenny. Accès ssh en root
depuis une adresse de Hong-Kong. Comment peut-on reconnaitre que
diverses tentatives d' accès sont corrélées ? Yatil un moyen autre que
PermitRootLogin à no pour s' en prémunir? Sachant qu' il ne s' agit
dans mon cas que d' un serveur perso, sans données hyper importantes et
que je ne cherche pas la sécurité absolue. Je suppose qu' une stratégie
de sécurité n' est réellement efficace que si elle est maîtrisée, et j'
en suis(était?) encore à faire des conneries dans la configuration de
ssh...
Je viens de me faire péter une Dedibox en Lenny. Accès ssh en root
depuis une adresse de Hong-Kong. Comment peut-on reconnaitre que
diverses tentatives d' accès sont corrélées ? Yatil un moyen autre que
PermitRootLogin à no pour s' en prémunir? Sachant qu' il ne s' agit
dans mon cas que d' un serveur perso, sans données hyper importantes et
que je ne cherche pas la sécurité absolue. Je suppose qu' une stratégie
de sécurité n' est réellement efficace que si elle est maîtrisée, et j'
en suis(était?) encore à faire des conneries dans la configuration de
ssh...
a écrit :Salut,
As-tu mis un bon mot de passe root ? root123 ?
Si tu est le seul à te connecte en ssh à ton serveur change de port 22
--> 2222 par exemple ça t'évitera des gros log et enfin si tu te
connecte toujours de chez toi (adresse ip fixe) tu peux configurer ton
firewall pour autoriser uniquement cette adresse IP.
Julien.
Il est aussi possible de mettre en place l'accès SSH par clé asymétrique
(RSA ou DSA) et de désactiver l'accès par mot de passe.
julien@nura.eu a écrit :
Salut,
As-tu mis un bon mot de passe root ? root123 ?
Si tu est le seul à te connecte en ssh à ton serveur change de port 22
--> 2222 par exemple ça t'évitera des gros log et enfin si tu te
connecte toujours de chez toi (adresse ip fixe) tu peux configurer ton
firewall pour autoriser uniquement cette adresse IP.
Julien.
Il est aussi possible de mettre en place l'accès SSH par clé asymétrique
(RSA ou DSA) et de désactiver l'accès par mot de passe.
a écrit :Salut,
As-tu mis un bon mot de passe root ? root123 ?
Si tu est le seul à te connecte en ssh à ton serveur change de port 22
--> 2222 par exemple ça t'évitera des gros log et enfin si tu te
connecte toujours de chez toi (adresse ip fixe) tu peux configurer ton
firewall pour autoriser uniquement cette adresse IP.
Julien.
Il est aussi possible de mettre en place l'accès SSH par clé asymétrique
(RSA ou DSA) et de désactiver l'accès par mot de passe.
Bonjour à tous,
Il y a quelques jours, j'ai installé un serveur FTP (proftpd).
Depuis, pratiquement chaque jour, je fais l'objet de 1 ou 2 attaques de
type brute force (Chine, Allemagne, US - si j'en crois les IP affichées
dans les logs proftpd), qui jusqu'à maintenant n'ont heureusement pas
abouti.
Pour le moment, je me suis contenté d'ajouter une chaîne iptables pour
dropper les ip concernés, mais bon, je ne vais pas passer mon temps à
trier les logs (aujourd'hui plus de 120000 lignes...) pour rajouter des
filtres à la main.
Donc, j'ai regardé la doc de proftpd (rapidement), je n'ai pas vu la
possibilité de "bruler" une adresse ip.
J'amagine que l'idéal serait d'utiliser un produit capable de détecter
un trop grand nombre d'essais infructueux et de bloquer les adresses en
question, mais je ne sais trop dans quelle direction chercher (Snort?)
Merci d'avance pour vos idées, suggestions et conseils.
Bonjour à tous,
Il y a quelques jours, j'ai installé un serveur FTP (proftpd).
Depuis, pratiquement chaque jour, je fais l'objet de 1 ou 2 attaques de
type brute force (Chine, Allemagne, US - si j'en crois les IP affichées
dans les logs proftpd), qui jusqu'à maintenant n'ont heureusement pas
abouti.
Pour le moment, je me suis contenté d'ajouter une chaîne iptables pour
dropper les ip concernés, mais bon, je ne vais pas passer mon temps à
trier les logs (aujourd'hui plus de 120000 lignes...) pour rajouter des
filtres à la main.
Donc, j'ai regardé la doc de proftpd (rapidement), je n'ai pas vu la
possibilité de "bruler" une adresse ip.
J'amagine que l'idéal serait d'utiliser un produit capable de détecter
un trop grand nombre d'essais infructueux et de bloquer les adresses en
question, mais je ne sais trop dans quelle direction chercher (Snort?)
Merci d'avance pour vos idées, suggestions et conseils.
Bonjour à tous,
Il y a quelques jours, j'ai installé un serveur FTP (proftpd).
Depuis, pratiquement chaque jour, je fais l'objet de 1 ou 2 attaques de
type brute force (Chine, Allemagne, US - si j'en crois les IP affichées
dans les logs proftpd), qui jusqu'à maintenant n'ont heureusement pas
abouti.
Pour le moment, je me suis contenté d'ajouter une chaîne iptables pour
dropper les ip concernés, mais bon, je ne vais pas passer mon temps à
trier les logs (aujourd'hui plus de 120000 lignes...) pour rajouter des
filtres à la main.
Donc, j'ai regardé la doc de proftpd (rapidement), je n'ai pas vu la
possibilité de "bruler" une adresse ip.
J'amagine que l'idéal serait d'utiliser un produit capable de détecter
un trop grand nombre d'essais infructueux et de bloquer les adresses en
question, mais je ne sais trop dans quelle direction chercher (Snort?)
Merci d'avance pour vos idées, suggestions et conseils.
Salut,
As-tu mis un bon mot de passe root ? root123 ?
Si tu est le seul à te connecte en ssh à ton serveur change de port 22
--> 2222 par exemple ça t'évitera des gros log et enfin si tu te
connecte toujours de chez toi (adresse ip fixe) tu peux configurer ton
firewall pour autoriser uniquement cette adresse IP.
Julien.
Salut,
As-tu mis un bon mot de passe root ? root123 ?
Si tu est le seul à te connecte en ssh à ton serveur change de port 22
--> 2222 par exemple ça t'évitera des gros log et enfin si tu te
connecte toujours de chez toi (adresse ip fixe) tu peux configurer ton
firewall pour autoriser uniquement cette adresse IP.
Julien.
Salut,
As-tu mis un bon mot de passe root ? root123 ?
Si tu est le seul à te connecte en ssh à ton serveur change de port 22
--> 2222 par exemple ça t'évitera des gros log et enfin si tu te
connecte toujours de chez toi (adresse ip fixe) tu peux configurer ton
firewall pour autoriser uniquement cette adresse IP.
Julien.
Je viens de me faire péter une Dedibox en Lenny. Accès ssh en root
depuis une adresse de Hong-Kong.
Je viens de me faire péter une Dedibox en Lenny. Accès ssh en root
depuis une adresse de Hong-Kong.
Je viens de me faire péter une Dedibox en Lenny. Accès ssh en root
depuis une adresse de Hong-Kong.
a écrit :
> Salut,
>
> As-tu mis un bon mot de passe root ? root123 ?
Il est aussi possible de mettre en place l'accès SSH par clé asymét rique
(RSA ou DSA) et de désactiver l'accès par mot de passe.
julien@nura.eu a écrit :
> Salut,
>
> As-tu mis un bon mot de passe root ? root123 ?
Il est aussi possible de mettre en place l'accès SSH par clé asymét rique
(RSA ou DSA) et de désactiver l'accès par mot de passe.
a écrit :
> Salut,
>
> As-tu mis un bon mot de passe root ? root123 ?
Il est aussi possible de mettre en place l'accès SSH par clé asymét rique
(RSA ou DSA) et de désactiver l'accès par mot de passe.