Il y a quelques jours, j'ai installé un serveur FTP (proftpd).
Depuis, pratiquement chaque jour, je fais l'objet de 1 ou 2 attaques de
type brute force (Chine, Allemagne, US - si j'en crois les IP affichées
dans les logs proftpd), qui jusqu'à maintenant n'ont heureusement pas
abouti.
Pour le moment, je me suis contenté d'ajouter une chaîne iptables pour
dropper les ip concernés, mais bon, je ne vais pas passer mon temps à
trier les logs (aujourd'hui plus de 120000 lignes...) pour rajouter des
filtres à la main.
Donc, j'ai regardé la doc de proftpd (rapidement), je n'ai pas vu la
possibilité de "bruler" une adresse ip.
J'amagine que l'idéal serait d'utiliser un produit capable de détecter
un trop grand nombre d'essais infructueux et de bloquer les adresses en
question, mais je ne sais trop dans quelle direction chercher (Snort?)
Merci d'avance pour vos idées, suggestions et conseils.
Ah encore une question (Peut-on considérer que les adresses utilisées
pour m'attaquer (211.90.25.230, 69.94.8.15, 212.40.162.11) sont de vrais
adresses, ou bien des adresses usurpées ?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Il y a quelques jours, j'ai installé un serveur FTP (proftpd). Depuis, pratiquement chaque jour, je fais l'objet de 1 ou 2 attaques de type brute force (Chine, Allemagne, US - si j'en crois les IP affichées dans les logs proftpd), qui jusqu'à maintenant n'ont heureusement pas abouti . Pour le moment, je me suis contenté d'ajouter une chaîne iptables pou r dropper les ip concernés, mais bon, je ne vais pas passer mon temps à trier les logs (aujourd'hui plus de 120000 lignes...) pour rajouter des filtres à la main. Donc, j'ai regardé la doc de proftpd (rapidement), je n'ai pas vu la possibilité de "bruler" une adresse ip. J'amagine que l'idéal serait d'utiliser un produit capable de détecte r un trop grand nombre d'essais infructueux et de bloquer les adresses en question, mais je ne sais trop dans quelle direction chercher (Snort?)
Merci d'avance pour vos idées, suggestions et conseils.
Oui snort + iptables ca me semble pas mal (jamais essayé personnellement) .
Si les adresses sont toujours les mêmes tu peux les blacklister manuellem ent avec quelques règles iptables.
Sinon il existe aussi la technique du port knocking qui permet de débloqu er un port suite à un "toc toc toc" codé et envoyé sur le serveur.
Et bien sur tu peux aussi ne pas écouter sur le port 21 ce qui devrait rendre ton serveur invisible à la plupart des bots de scan.
<br><div class="gmail_quote">Le 20 mars 2009 20:39, Pierre <span dir="l tr"><<a href="mailto:"></a>></spa n> a écrit :<br><blockquote class="gmail_quote" style="border-left: 1 px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;" > Bonjour à tous,<br> <br> Il y a quelques jours, j'ai installé un serveur FTP (proftpd).<br> Depuis, pratiquement chaque jour, je fais l'objet de 1 ou 2 attaques de type brute force (Chine, Allemagne, US - si j'en crois les IP affich ées dans les logs proftpd), qui jusqu'à maintenant n'ont heureu sement pas abouti.<br>
Pour le moment, je me suis contenté d'ajouter une chaîne iptables p our dropper les ip concernés, mais bon, je ne vais pas passer mon temps à trier les logs (aujourd'hui plus de 120000 lignes...) pour rajouter des filtres à la main.<br>
Donc, j'ai regardé la doc de proftpd (rapidement), je n'ai pas vu la possibilité de "bruler" une adresse ip.<br> J'amagine que l'idéal serait d'utiliser un produit capable de détecter un trop grand nombre d'essais infructueux et de bloquer les adresses en question, mais je ne sais trop dans quelle direction chercher (Snort?)<br>
<br> Merci d'avance pour vos idées, suggestions et conseils.<br> <br></blockquote></div><br>Oui snort + iptables ca me semble pas mal (jamai s essayé personnellement). <br><br>Si les adresses sont toujours les mê mes tu peux les blacklister manuellement avec quelques règles iptables.<b r> <br>Sinon il existe aussi la technique du port knocking qui permet de déb loquer un port suite à un "toc toc toc" codé et envoyé sur le serveur.<br><br>Et bien sur tu peux aussi ne pas écouter sur le port 2 1 ce qui devrait rendre ton serveur invisible à la plupart des bots de sc an.<br>
--0015174c436caa13cc0465bd9b3b--
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Le 20 mars 2009 20:39, Pierre <phdb2@laposte.net> a écrit :
Bonjour à tous,
Il y a quelques jours, j'ai installé un serveur FTP (proftpd).
Depuis, pratiquement chaque jour, je fais l'objet de 1 ou 2 attaques de
type brute force (Chine, Allemagne, US - si j'en crois les IP affichées dans
les logs proftpd), qui jusqu'à maintenant n'ont heureusement pas abouti .
Pour le moment, je me suis contenté d'ajouter une chaîne iptables pou r
dropper les ip concernés, mais bon, je ne vais pas passer mon temps à trier
les logs (aujourd'hui plus de 120000 lignes...) pour rajouter des filtres à
la main.
Donc, j'ai regardé la doc de proftpd (rapidement), je n'ai pas vu la
possibilité de "bruler" une adresse ip.
J'amagine que l'idéal serait d'utiliser un produit capable de détecte r un
trop grand nombre d'essais infructueux et de bloquer les adresses en
question, mais je ne sais trop dans quelle direction chercher (Snort?)
Merci d'avance pour vos idées, suggestions et conseils.
Oui snort + iptables ca me semble pas mal (jamais essayé personnellement) .
Si les adresses sont toujours les mêmes tu peux les blacklister manuellem ent
avec quelques règles iptables.
Sinon il existe aussi la technique du port knocking qui permet de débloqu er
un port suite à un "toc toc toc" codé et envoyé sur le serveur.
Et bien sur tu peux aussi ne pas écouter sur le port 21 ce qui devrait
rendre ton serveur invisible à la plupart des bots de scan.
<br><div class="gmail_quote">Le 20 mars 2009 20:39, Pierre <span dir="l tr"><<a href="mailto:phdb2@laposte.net">phdb2@laposte.net</a>></spa n> a écrit :<br><blockquote class="gmail_quote" style="border-left: 1 px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;" >
Bonjour à tous,<br>
<br>
Il y a quelques jours, j'ai installé un serveur FTP (proftpd).<br>
Depuis, pratiquement chaque jour, je fais l'objet de 1 ou 2 attaques de type brute force (Chine, Allemagne, US - si j'en crois les IP affich ées dans les logs proftpd), qui jusqu'à maintenant n'ont heureu sement pas abouti.<br>
Pour le moment, je me suis contenté d'ajouter une chaîne iptables p our dropper les ip concernés, mais bon, je ne vais pas passer mon temps à trier les logs (aujourd'hui plus de 120000 lignes...) pour rajouter des filtres à la main.<br>
Donc, j'ai regardé la doc de proftpd (rapidement), je n'ai pas vu la possibilité de "bruler" une adresse ip.<br>
J'amagine que l'idéal serait d'utiliser un produit capable de détecter un trop grand nombre d'essais infructueux et de bloquer les adresses en question, mais je ne sais trop dans quelle direction chercher (Snort?)<br>
<br>
Merci d'avance pour vos idées, suggestions et conseils.<br>
<br></blockquote></div><br>Oui snort + iptables ca me semble pas mal (jamai s essayé personnellement). <br><br>Si les adresses sont toujours les mê mes tu peux les blacklister manuellement avec quelques règles iptables.<b r>
<br>Sinon il existe aussi la technique du port knocking qui permet de déb loquer un port suite à un "toc toc toc" codé et envoyé sur le serveur.<br><br>Et bien sur tu peux aussi ne pas écouter sur le port 2 1 ce qui devrait rendre ton serveur invisible à la plupart des bots de sc an.<br>
--0015174c436caa13cc0465bd9b3b--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Il y a quelques jours, j'ai installé un serveur FTP (proftpd). Depuis, pratiquement chaque jour, je fais l'objet de 1 ou 2 attaques de type brute force (Chine, Allemagne, US - si j'en crois les IP affichées dans les logs proftpd), qui jusqu'à maintenant n'ont heureusement pas abouti . Pour le moment, je me suis contenté d'ajouter une chaîne iptables pou r dropper les ip concernés, mais bon, je ne vais pas passer mon temps à trier les logs (aujourd'hui plus de 120000 lignes...) pour rajouter des filtres à la main. Donc, j'ai regardé la doc de proftpd (rapidement), je n'ai pas vu la possibilité de "bruler" une adresse ip. J'amagine que l'idéal serait d'utiliser un produit capable de détecte r un trop grand nombre d'essais infructueux et de bloquer les adresses en question, mais je ne sais trop dans quelle direction chercher (Snort?)
Merci d'avance pour vos idées, suggestions et conseils.
Oui snort + iptables ca me semble pas mal (jamais essayé personnellement) .
Si les adresses sont toujours les mêmes tu peux les blacklister manuellem ent avec quelques règles iptables.
Sinon il existe aussi la technique du port knocking qui permet de débloqu er un port suite à un "toc toc toc" codé et envoyé sur le serveur.
Et bien sur tu peux aussi ne pas écouter sur le port 21 ce qui devrait rendre ton serveur invisible à la plupart des bots de scan.
<br><div class="gmail_quote">Le 20 mars 2009 20:39, Pierre <span dir="l tr"><<a href="mailto:"></a>></spa n> a écrit :<br><blockquote class="gmail_quote" style="border-left: 1 px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;" > Bonjour à tous,<br> <br> Il y a quelques jours, j'ai installé un serveur FTP (proftpd).<br> Depuis, pratiquement chaque jour, je fais l'objet de 1 ou 2 attaques de type brute force (Chine, Allemagne, US - si j'en crois les IP affich ées dans les logs proftpd), qui jusqu'à maintenant n'ont heureu sement pas abouti.<br>
Pour le moment, je me suis contenté d'ajouter une chaîne iptables p our dropper les ip concernés, mais bon, je ne vais pas passer mon temps à trier les logs (aujourd'hui plus de 120000 lignes...) pour rajouter des filtres à la main.<br>
Donc, j'ai regardé la doc de proftpd (rapidement), je n'ai pas vu la possibilité de "bruler" une adresse ip.<br> J'amagine que l'idéal serait d'utiliser un produit capable de détecter un trop grand nombre d'essais infructueux et de bloquer les adresses en question, mais je ne sais trop dans quelle direction chercher (Snort?)<br>
<br> Merci d'avance pour vos idées, suggestions et conseils.<br> <br></blockquote></div><br>Oui snort + iptables ca me semble pas mal (jamai s essayé personnellement). <br><br>Si les adresses sont toujours les mê mes tu peux les blacklister manuellement avec quelques règles iptables.<b r> <br>Sinon il existe aussi la technique du port knocking qui permet de déb loquer un port suite à un "toc toc toc" codé et envoyé sur le serveur.<br><br>Et bien sur tu peux aussi ne pas écouter sur le port 2 1 ce qui devrait rendre ton serveur invisible à la plupart des bots de sc an.<br>
--0015174c436caa13cc0465bd9b3b--
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
