tentative Force Brute sur mon ftp

Le
Pierre
Bonjour à tous,

Il y a quelques jours, j'ai installé un serveur FTP (proftpd).
Depuis, pratiquement chaque jour, je fais l'objet de 1 ou 2 attaques de
type brute force (Chine, Allemagne, US - si j'en crois les IP affichées
dans les logs proftpd), qui jusqu'à maintenant n'ont heureusement pas
abouti.
Pour le moment, je me suis contenté d'ajouter une chaîne iptables pour
dropper les ip concernés, mais bon, je ne vais pas passer mon temps à
trier les logs (aujourd'hui plus de 120000 lignes) pour rajouter des
filtres à la main.
Donc, j'ai regardé la doc de proftpd (rapidement), je n'ai pas vu la
possibilité de "bruler" une adresse ip.
J'amagine que l'idéal serait d'utiliser un produit capable de détecter
un trop grand nombre d'essais infructueux et de bloquer les adresses en
question, mais je ne sais trop dans quelle direction chercher (Snort?)

Merci d'avance pour vos idées, suggestions et conseils.

Ah encore une question (Peut-on considérer que les adresses utilisées
pour m'attaquer (211.90.25.230, 69.94.8.15, 212.40.162.11) sont de vrais
adresses, ou bien des adresses usurpées ?



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
François Boisson
Le #18946131
Le Fri, 20 Mar 2009 20:27:11 +0100
Pierre
Bonjour à tous,

Il y a quelques jours, j'ai installé un serveur FTP (proftpd).
Depuis, pratiquement chaque jour, je fais l'objet de 1 ou 2 attaques de
type brute force (Chine, Allemagne, US - si j'en crois les IP affichées
dans les logs proftpd), qui jusqu'à maintenant n'ont heureusement pas
abouti.
Pour le moment, je me suis contenté d'ajouter une chaîne iptables pour
dropper les ip concernés, mais bon, je ne vais pas passer mon temps à
trier les logs (aujourd'hui plus de 120000 lignes...) pour rajouter des
filtres à la main.
Donc, j'ai regardé la doc de proftpd (rapidement), je n'ai pas vu la
possibilité de "bruler" une adresse ip.



iptables -A INPUT -p tcp --dport 21 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 21 -m state --state NEW -m recent --update --seconds 90 --hitcount 10 -j DROP


J'amagine que l'idéal serait d'utiliser un produit capable de détecter
un trop grand nombre d'essais infructueux et de bloquer les adresses en
question, mais je ne sais trop dans quelle direction chercher (Snort?)




Voilà.

Merci d'avance pour vos idées, suggestions et conseils.




François Boisson


Ah encore une question (Peut-on considérer que les adresses utilisées
pour m'attaquer (211.90.25.230, 69.94.8.15, 212.40.162.11) sont de vrais
adresses, ou bien des adresses usurpées ?




De Novembre à Janvier, j'ai subi chaque jour des milliers d'attaque ssh à partir d'un
botnet de 2000 machines en gros, attaques corrélées avec essai de logins par
ordre alphabétique (le nombre total se chiffre en centaine de milliers). Les IPs sont
bloquées après 3 essais prendant quelques minutes mais chaque machine ne faisait
qu'un ou deux essais. J'avais fait de manière automatique un message au abuse des IPs
concernées. Il y a eu en gros 1à2% de retour, à chaque fois des machines compromises.



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Vincent Besse
Le #18949061
On Fri, 20 Mar 2009 21:31:19 +0100
François Boisson
De Novembre à Janvier, j'ai subi chaque jour des milliers d'attaque ssh à partir d'un
botnet de 2000 machines en gros, attaques corrélées avec essai de log ins par
ordre alphabétique (le nombre total se chiffre en centaine de milliers) .. Les IPs sont
bloquées après 3 essais prendant quelques minutes mais chaque machine ne faisait
qu'un ou deux essais. J'avais fait de manière automatique un message au abuse des IPs
concernées. Il y a eu en gros 1à2% de retour, à chaque fois des mac hines compromises.



Je viens de me faire péter une Dedibox en Lenny. Accès ssh en root
depuis une adresse de Hong-Kong. Comment peut-on reconnaitre que
diverses tentatives d' accès sont corrélées ? Yatil un moyen autre que
PermitRootLogin à no pour s' en prémunir? Sachant qu' il ne s' agit
dans mon cas que d' un serveur perso, sans données hyper importantes et
que je ne cherche pas la sécurité absolue. Je suppose qu' une stratég ie
de sécurité n' est réellement efficace que si elle est maîtrisée, et j'
en suis(était?) encore à faire des conneries dans la configuration de
ssh...

Merci d' éclairer ma lanterne,
Vincent

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
julien
Le #18949371
Salut,

As-tu mis un bon mot de passe root ? root123 ?

Si tu est le seul à te connecte en ssh à ton serveur change de por t 22
--> 2222 par exemple ça t'évitera des gros log et enfin si tu te
connecte toujours de chez toi (adresse ip fixe) tu peux configurer ton
firewall pour autoriser uniquement cette adresse IP.

Julien.

Quoting Vincent Besse
On Fri, 20 Mar 2009 21:31:19 +0100
François Boisson
De Novembre à Janvier, j'ai subi chaque jour des milliers d'attaque
ssh à partir d'un
botnet de 2000 machines en gros, attaques corrélées avec essai de logins par
ordre alphabétique (le nombre total se chiffre en centaine de
milliers).. Les IPs sont
bloquées après 3 essais prendant quelques minutes mais chaque
machine ne faisait
qu'un ou deux essais. J'avais fait de manière automatique un
message au abuse des IPs
concernées. Il y a eu en gros 1à2% de retour, à chaque foi s des
machines compromises.



Je viens de me faire péter une Dedibox en Lenny. Accès ssh en ro ot
depuis une adresse de Hong-Kong. Comment peut-on reconnaitre que
diverses tentatives d' accès sont corrélées ? Yatil un moye n autre que
PermitRootLogin à no pour s' en prémunir? Sachant qu' il ne s' a git
dans mon cas que d' un serveur perso, sans données hyper importantes et
que je ne cherche pas la sécurité absolue. Je suppose qu' une st ratégie
de sécurité n' est réellement efficace que si elle est ma îtrisée, et j'
en suis(était?) encore à faire des conneries dans la configurati on de
ssh...

Merci d' éclairer ma lanterne,
Vincent

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS






--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Frédéric MASSOT
Le #18949601
Vincent Besse a écrit :

Je viens de me faire péter une Dedibox en Lenny. Accès ssh en root
depuis une adresse de Hong-Kong. Comment peut-on reconnaitre que
diverses tentatives d' accès sont corrélées ? Yatil un moyen autre que
PermitRootLogin à no pour s' en prémunir? Sachant qu' il ne s' agit
dans mon cas que d' un serveur perso, sans données hyper importantes et
que je ne cherche pas la sécurité absolue. Je suppose qu' une stratégie
de sécurité n' est réellement efficace que si elle est maîtrisée, et j'
en suis(était?) encore à faire des conneries dans la configuration de
ssh...



Bonjour,

L'accès SSH devrait être limité à certaines adresses IP fixes ou bloc
d'adresses IP via le fichier "hosts.allow", et dans le fichier
"hosts.deny" il devrait y avoir la ligne "ALL: ALL".

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Edi Stojicevic
Le #18949581
* dju`
a écrit :
Salut,

As-tu mis un bon mot de passe root ? root123 ?

Si tu est le seul à te connecte en ssh à ton serveur change de port 22
--> 2222 par exemple ça t'évitera des gros log et enfin si tu te
connecte toujours de chez toi (adresse ip fixe) tu peux configurer ton
firewall pour autoriser uniquement cette adresse IP.

Julien.



Il est aussi possible de mettre en place l'accès SSH par clé asymétrique
(RSA ou DSA) et de désactiver l'accès par mot de passe.



J'allais le dire ... et le coupler à knockd :)


--
. ''`. (___/) E d i S T O J I C E V I C
: :' : (='.'=) http://www.debianworld.org
`. `~' (")_(") GPG: 0x1237B032
`-

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Frédéric MASSOT
Le #18949591
Pierre a écrit :
Bonjour à tous,

Il y a quelques jours, j'ai installé un serveur FTP (proftpd).
Depuis, pratiquement chaque jour, je fais l'objet de 1 ou 2 attaques de
type brute force (Chine, Allemagne, US - si j'en crois les IP affichées
dans les logs proftpd), qui jusqu'à maintenant n'ont heureusement pas
abouti.
Pour le moment, je me suis contenté d'ajouter une chaîne iptables pour
dropper les ip concernés, mais bon, je ne vais pas passer mon temps à
trier les logs (aujourd'hui plus de 120000 lignes...) pour rajouter des
filtres à la main.
Donc, j'ai regardé la doc de proftpd (rapidement), je n'ai pas vu la
possibilité de "bruler" une adresse ip.
J'amagine que l'idéal serait d'utiliser un produit capable de détecter
un trop grand nombre d'essais infructueux et de bloquer les adresses en
question, mais je ne sais trop dans quelle direction chercher (Snort?)

Merci d'avance pour vos idées, suggestions et conseils.



Bonjour,

Tu peux utiliser un autre port que le 21 pour ton serveur FTP. Tu
éviteras ainsi les scans automatisés.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
dju`
Le #18949571
a écrit :
Salut,

As-tu mis un bon mot de passe root ? root123 ?

Si tu est le seul à te connecte en ssh à ton serveur change de port 22
--> 2222 par exemple ça t'évitera des gros log et enfin si tu te
connecte toujours de chez toi (adresse ip fixe) tu peux configurer ton
firewall pour autoriser uniquement cette adresse IP.

Julien.



Il est aussi possible de mettre en place l'accès SSH par clé asymétrique
(RSA ou DSA) et de désactiver l'accès par mot de passe.
--
--dju`

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
xorox
Le #18950121
--001636c5b0ee10cd590465a182cc
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

J'utilise port-knocking avec des séquences différente a chaque connexio n
pour éviter qu'elle ne puisse être récupérer.

C'est, pour moi, contre le brute force, simple a mettre en place et très
efficace.

Mort aux script-kiddies ...

--
In The Donkey We Trust.

ID: 0x393F4A08
Fingerprint: 9170 4DD5 31D5 4C01 1EF2 9852 0DB1 A9E5 393F 4A08

--001636c5b0ee10cd590465a182cc
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

J'utilise port-knocking avec des séquences différente a chaque conn exion pour éviter qu'elle ne puisse être récupérer.

--001636c5b0ee10cd590465a182cc--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Alain Baeckeroot
Le #18950641
Le 21/03/2009 à 12:50, Vincent Besse a écrit :

Je viens de me faire péter une Dedibox en Lenny. Accès ssh en root
depuis une adresse de Hong-Kong.



Il faut interdire le login root (en ssh ou autre)
Pour une attaque force brute connaître un login c'est déjà la moiti é du
travail de fait

donc login root interdit, juste sudo autorisé, et un vrai login (pas toto )
avec un vrai mot de passe robuste

Alain

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Vincent Besse
Le #18952781
On Sat, 21 Mar 2009 13:53:34 +0100
dju`
a écrit :
> Salut,
>
> As-tu mis un bon mot de passe root ? root123 ?



C' était un savant mélange de chiffres/minuscules/majuscules
sur 8 caractères. Ce qui me laisse penser que c' est pas une simple
force brute de djeuns qui en est venue à bout (mais je peux tout à fait
pêcher par naïveté). D' où ma question sur comment reconnaitre une
attaque menée sur plusieurs fronts, si j' ai bien compris F. Boisson.


Il est aussi possible de mettre en place l'accès SSH par clé asymét rique
(RSA ou DSA) et de désactiver l'accès par mot de passe.



Ca sera quelque chose dans ce goût-là après réinstallation du bouzi n.
Avec sauvegarde de mon trousseau de clefs numériques sur clef USB
attachée à mon trousseau de clefs physiques. Ca devrait me permettre l'
accés SSH depuis n' importe où, à condition que j' y sois :)

Le port-knocking, que je ne connaissais pas, me semble difficilement
compatible avec des accès mobiles. Me trompe-je?

Vincent

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Publicité
Poster une réponse
Anonyme