tentative Force Brute sur mon ftp

Le
Pierre
Bonjour à tous,

Il y a quelques jours, j'ai installé un serveur FTP (proftpd).
Depuis, pratiquement chaque jour, je fais l'objet de 1 ou 2 attaques de
type brute force (Chine, Allemagne, US - si j'en crois les IP affichées
dans les logs proftpd), qui jusqu'à maintenant n'ont heureusement pas
abouti.
Pour le moment, je me suis contenté d'ajouter une chaîne iptables pour
dropper les ip concernés, mais bon, je ne vais pas passer mon temps à
trier les logs (aujourd'hui plus de 120000 lignes) pour rajouter des
filtres à la main.
Donc, j'ai regardé la doc de proftpd (rapidement), je n'ai pas vu la
possibilité de "bruler" une adresse ip.
J'amagine que l'idéal serait d'utiliser un produit capable de détecter
un trop grand nombre d'essais infructueux et de bloquer les adresses en
question, mais je ne sais trop dans quelle direction chercher (Snort?)

Merci d'avance pour vos idées, suggestions et conseils.

Ah encore une question (Peut-on considérer que les adresses utilisées
pour m'attaquer (211.90.25.230, 69.94.8.15, 212.40.162.11) sont de vrais
adresses, ou bien des adresses usurpées ?

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Kevin Hinault
Le #18959141
--0015174c436caa13cc0465bd9b3b
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Le 20 mars 2009 20:39, Pierre
Bonjour à tous,

Il y a quelques jours, j'ai installé un serveur FTP (proftpd).
Depuis, pratiquement chaque jour, je fais l'objet de 1 ou 2 attaques de
type brute force (Chine, Allemagne, US - si j'en crois les IP affichées dans
les logs proftpd), qui jusqu'à maintenant n'ont heureusement pas abouti .
Pour le moment, je me suis contenté d'ajouter une chaîne iptables pou r
dropper les ip concernés, mais bon, je ne vais pas passer mon temps à trier
les logs (aujourd'hui plus de 120000 lignes...) pour rajouter des filtres à
la main.
Donc, j'ai regardé la doc de proftpd (rapidement), je n'ai pas vu la
possibilité de "bruler" une adresse ip.
J'amagine que l'idéal serait d'utiliser un produit capable de détecte r un
trop grand nombre d'essais infructueux et de bloquer les adresses en
question, mais je ne sais trop dans quelle direction chercher (Snort?)

Merci d'avance pour vos idées, suggestions et conseils.




Oui snort + iptables ca me semble pas mal (jamais essayé personnellement) .

Si les adresses sont toujours les mêmes tu peux les blacklister manuellem ent
avec quelques règles iptables.

Sinon il existe aussi la technique du port knocking qui permet de débloqu er
un port suite à un "toc toc toc" codé et envoyé sur le serveur.

Et bien sur tu peux aussi ne pas écouter sur le port 21 ce qui devrait
rendre ton serveur invisible à la plupart des bots de scan.

--0015174c436caa13cc0465bd9b3b
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour à tous,<br>
<br>
Il y a quelques jours,  j&#39;ai installé un serveur FTP (proftpd).<br>
Depuis, pratiquement chaque jour, je fais l&#39;objet de 1 ou 2 attaques de type brute force (Chine, Allemagne, US - si j&#39;en crois les IP affich ées dans les logs proftpd), qui jusqu&#39;à maintenant n&#39;ont heureu sement pas abouti.<br>

Pour le moment, je me suis contenté d&#39;ajouter une chaîne iptables p our dropper les ip concernés, mais bon, je ne vais pas passer mon temps à trier les logs (aujourd&#39;hui plus de 120000 lignes...) pour rajouter des filtres à la main.<br>

Donc, j&#39;ai regardé la doc de proftpd (rapidement), je n&#39;ai pas vu la possibilité de &quot;bruler&quot; une adresse ip.<br>
J&#39;amagine que l&#39;idéal serait d&#39;utiliser un produit capable de détecter un trop grand nombre d&#39;essais infructueux et de bloquer les adresses en question, mais je ne sais trop dans quelle direction chercher (Snort?)<br>

<br>
Merci d&#39;avance pour vos idées, suggestions et conseils.<br>


--0015174c436caa13cc0465bd9b3b--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Publicité
Poster une réponse
Anonyme