bonsoir,
depuis hier soir sur mon serveur FTP j'ai des tentative de connections
(1567 tentatives) en provenance d'une unique IP (61.129.72.174). Les
tentative de connections se font avec comme loggin 'Administrator' et
des mots de passe qui semble choisi dans un dictionnaire.
*****
OrgName: Asia Pacific Network Information Centre
OrgID: APNIC
Address: PO Box 2131
City: Milton
StateProv: QLD
PostalCode: 4064
Country: AU
ReferralServer: whois://whois.apnic.net
NetRange: 61.0.0.0 - 61.255.255.255
CIDR: 61.0.0.0/8
NetName: APNIC3
NetHandle: NET-61-0-0-0-1
Parent:
NetType: Allocated to APNIC
NameServer: NS1.APNIC.NET
NameServer: NS3.APNIC.NET
NameServer: NS4.APNIC.NET
NameServer: NS-SEC.RIPE.NET
NameServer: TINNIE.ARIN.NET
Comment: This IP address range is not registered in the ARIN
database.
Comment: For details, refer to the APNIC Whois Database via
Comment: WHOIS.APNIC.NET or http://www.apnic.net/apnic-bin/whois2.pl
Comment: ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment: for the Asia Pacific region. APNIC does not operate networks
Comment: using this IP address range and is not able to investigate
Comment: spam or abuse reports relating to these addresses. For more
Comment: help, refer to http://www.apnic.net/info/faq/abuse
Comment:
RegDate: 1997-04-25
Updated: 2005-05-20
depuis hier soir sur mon serveur FTP j'ai des tentative de connections (1567 tentatives) en provenance d'une unique IP (61.129.72.174). Les tentative de connections se font avec comme loggin 'Administrator' et des mots de passe qui semble choisi dans un dictionnaire.
un cours extrait du log donne :
[...SNIP LOG...]
Un whois sur http://ws.arin.net donne :
[...SNIP la réponse de arin...]
L'ARIN ne gère pas cette zone... c'est l'APNIC, on y apprend que c'est un range appartenant à une société Chinoise :
J'ai bloqué l'acces à toute la plage IP 61.*.*.*, mais y a t'il d'autres choses à faire ou à mettre en place ?
Informer le gestionnaire de ce réseau me semble au moins une bonne idée, il est possible que son réseau soit compromis.
Merci pour vos contributions.
-- Julien
Frederic Salach a écrit :
bonsoir,
Bonsoir,
depuis hier soir sur mon serveur FTP j'ai des tentative de connections
(1567 tentatives) en provenance d'une unique IP (61.129.72.174). Les
tentative de connections se font avec comme loggin 'Administrator' et
des mots de passe qui semble choisi dans un dictionnaire.
un cours extrait du log donne :
[...SNIP LOG...]
Un whois sur http://ws.arin.net donne :
[...SNIP la réponse de arin...]
L'ARIN ne gère pas cette zone... c'est l'APNIC, on y apprend que c'est
un range appartenant à une société Chinoise :
depuis hier soir sur mon serveur FTP j'ai des tentative de connections (1567 tentatives) en provenance d'une unique IP (61.129.72.174). Les tentative de connections se font avec comme loggin 'Administrator' et des mots de passe qui semble choisi dans un dictionnaire.
un cours extrait du log donne :
[...SNIP LOG...]
Un whois sur http://ws.arin.net donne :
[...SNIP la réponse de arin...]
L'ARIN ne gère pas cette zone... c'est l'APNIC, on y apprend que c'est un range appartenant à une société Chinoise :
L'ARIN ne gère pas cette zone... c'est l'APNIC, on y apprend que c'est un range appartenant à une société Chinoise :
Merci pour les informations.
J'ai bloqué l'acces à toute la plage IP 61.*.*.*, mais y a t'il d'autres choses à faire ou à mettre en place ?
Informer le gestionnaire de ce réseau me semble au moins une bonne idée, il est possible que son réseau soit compromis.
C'est une pratique qui se fait ? Je ne suis pas professionel c'est juste un serveur FTP perso. Sous quelle forme doit être réaliser ce mail ?
-- (valide jusqu'au 08/08/06)
Xavier Roche
C'est une pratique qui se fait ? Je ne suis pas professionel
Qu'entendez-vous par "professionnel" ? Vous gérez un serveur ftp, vous êtes déja un "professionnel" quelque part. Le fait que ce soit votre métier, et/ou que vous possédez un joli diplôme en carton ne change pas grand chose.
c'est juste un serveur FTP perso. Sous quelle forme doit être réaliser ce mail ?
En anglais pas trop élaboré, courtois, mais allant droit au but, en copie au moins deux ou trois personnes du whois (le abuse@ et quasiment jamais lu)
Maintenant je ne voudrais pas vous décourager, mais cela ne servira probablement pas à grand chose.
Dear postmasters,
The machine XXX (which is part of your ip block XXX, and which may be compromised) has been trying to brute-force my ftp server (see logs below). Please take immediate actions to prevent your customers from perpetrating this kind of abuse.
logs: ..
C'est une pratique qui se fait ? Je ne suis pas professionel
Qu'entendez-vous par "professionnel" ? Vous gérez un serveur ftp, vous
êtes déja un "professionnel" quelque part. Le fait que ce soit votre
métier, et/ou que vous possédez un joli diplôme en carton ne change pas
grand chose.
c'est juste un serveur FTP perso. Sous quelle forme doit être réaliser ce mail ?
En anglais pas trop élaboré, courtois, mais allant droit au but, en
copie au moins deux ou trois personnes du whois (le abuse@ et quasiment
jamais lu)
Maintenant je ne voudrais pas vous décourager, mais cela ne servira
probablement pas à grand chose.
Dear postmasters,
The machine XXX (which is part of your ip block XXX, and which may be
compromised) has been trying to brute-force my ftp server (see logs
below). Please take immediate actions to prevent your customers from
perpetrating this kind of abuse.
C'est une pratique qui se fait ? Je ne suis pas professionel
Qu'entendez-vous par "professionnel" ? Vous gérez un serveur ftp, vous êtes déja un "professionnel" quelque part. Le fait que ce soit votre métier, et/ou que vous possédez un joli diplôme en carton ne change pas grand chose.
c'est juste un serveur FTP perso. Sous quelle forme doit être réaliser ce mail ?
En anglais pas trop élaboré, courtois, mais allant droit au but, en copie au moins deux ou trois personnes du whois (le abuse@ et quasiment jamais lu)
Maintenant je ne voudrais pas vous décourager, mais cela ne servira probablement pas à grand chose.
Dear postmasters,
The machine XXX (which is part of your ip block XXX, and which may be compromised) has been trying to brute-force my ftp server (see logs below). Please take immediate actions to prevent your customers from perpetrating this kind of abuse.
logs: ..
ALBATOR
"Frederic Salach" a écrit dans le message de news: 1hih71c.cg6mkip2x8pcN%
bonsoir, depuis hier soir sur mon serveur FTP j'ai des tentative de connections (1567 tentatives) en provenance d'une unique IP (61.129.72.174). Les tentative de connections se font avec comme loggin 'Administrator' et des mots de passe qui semble choisi dans un dictionnaire.
changer le port d'écoute de votre serveur ftp est bien mieux que de bloquer l'ip, le seul désagrément est d'avertir vos clients actuel du changement du port, mais suivant votre mode d'administration ce n'est pas une grosse difficulté.
"Frederic Salach" <cf_la_signature@email.jetable> a écrit dans le
message de news: 1hih71c.cg6mkip2x8pcN%cf_la_signature@email.jetable...
bonsoir,
depuis hier soir sur mon serveur FTP j'ai des tentative de connections
(1567 tentatives) en provenance d'une unique IP (61.129.72.174). Les
tentative de connections se font avec comme loggin 'Administrator' et
des mots de passe qui semble choisi dans un dictionnaire.
changer le port d'écoute de votre serveur ftp est bien mieux que de
bloquer l'ip, le seul désagrément est d'avertir vos clients actuel du
changement du port, mais suivant votre mode d'administration ce n'est
pas une grosse difficulté.
"Frederic Salach" a écrit dans le message de news: 1hih71c.cg6mkip2x8pcN%
bonsoir, depuis hier soir sur mon serveur FTP j'ai des tentative de connections (1567 tentatives) en provenance d'une unique IP (61.129.72.174). Les tentative de connections se font avec comme loggin 'Administrator' et des mots de passe qui semble choisi dans un dictionnaire.
changer le port d'écoute de votre serveur ftp est bien mieux que de bloquer l'ip, le seul désagrément est d'avertir vos clients actuel du changement du port, mais suivant votre mode d'administration ce n'est pas une grosse difficulté.
Pascal Hambourg
Salut,
changer le port d'écoute de votre serveur ftp est bien mieux que de bloquer l'ip, le seul désagrément est d'avertir vos clients actuel du changement du port
Et les firewalls/NAT incapables de se débrouiller avec du FTP sur un port non standard, ça ne risque pas d'être un gros désagrément ?
Salut,
changer le port d'écoute de votre serveur ftp est bien mieux que de
bloquer l'ip, le seul désagrément est d'avertir vos clients actuel du
changement du port
Et les firewalls/NAT incapables de se débrouiller avec du FTP sur un
port non standard, ça ne risque pas d'être un gros désagrément ?
changer le port d'écoute de votre serveur ftp est bien mieux que de bloquer l'ip, le seul désagrément est d'avertir vos clients actuel du changement du port
Et les firewalls/NAT incapables de se débrouiller avec du FTP sur un port non standard, ça ne risque pas d'être un gros désagrément ?
Fabien LE LEZ
On 17 Jul 2006 11:07:29 GMT, Pascal Hambourg :
Et les firewalls/NAT incapables de se débrouiller avec du FTP sur un port non standard
Ça existe, ça ?
On 17 Jul 2006 11:07:29 GMT, Pascal Hambourg
<boite-a-spam@plouf.fr.eu.org>:
Et les firewalls/NAT incapables de se débrouiller avec du FTP sur un
port non standard
Et les firewalls/NAT incapables de se débrouiller avec du FTP sur un port non standard
Ça existe, ça ?
Vincent Bernat
OoO Lors de la soirée naissante du lundi 17 juillet 2006, vers 18:41, Fabien LE LEZ disait:
Et les firewalls/NAT incapables de se débrouiller avec du FTP sur un port non standard
Ça existe, ça ?
Netfilter par exemple. Au chargement du module, on doit lui indiquer les ports pour le FTP. C'est loin d'être trivial pour un utilisateur lambda. -- I WILL NOT SPIN THE TURTLE I WILL NOT SPIN THE TURTLE I WILL NOT SPIN THE TURTLE -+- Bart Simpson on chalkboard in episode 8F21
OoO Lors de la soirée naissante du lundi 17 juillet 2006, vers 18:41,
Fabien LE LEZ <gramster@gramster.com> disait:
Et les firewalls/NAT incapables de se débrouiller avec du FTP sur un
port non standard
Ça existe, ça ?
Netfilter par exemple. Au chargement du module, on doit lui indiquer
les ports pour le FTP. C'est loin d'être trivial pour un utilisateur
lambda.
--
I WILL NOT SPIN THE TURTLE
I WILL NOT SPIN THE TURTLE
I WILL NOT SPIN THE TURTLE
-+- Bart Simpson on chalkboard in episode 8F21
OoO Lors de la soirée naissante du lundi 17 juillet 2006, vers 18:41, Fabien LE LEZ disait:
Et les firewalls/NAT incapables de se débrouiller avec du FTP sur un port non standard
Ça existe, ça ?
Netfilter par exemple. Au chargement du module, on doit lui indiquer les ports pour le FTP. C'est loin d'être trivial pour un utilisateur lambda. -- I WILL NOT SPIN THE TURTLE I WILL NOT SPIN THE TURTLE I WILL NOT SPIN THE TURTLE -+- Bart Simpson on chalkboard in episode 8F21
Jeremy JUST
Le 17 Jul 2006 10:09:16 GMT,
depuis hier soir sur mon serveur FTP j'ai des tentative de connections (1567 tentatives) en provenance d'une unique IP (61.129.72.174). changer le port d'écoute de votre serveur ftp est bien mieux que de
bloquer l'ip, le seul désagrément est d'avertir vos clients actuel du changement du port
En quoi est-ce mieux?
J'avoue que spontanément, j'aurais plutôt conseillé de bloquer les IP hostiles (ça ne pénalise qu'elles) plutôt que d'obliger tous les clients à changer leur configuration de façon non standard.
-- Jérémy JUST
Le 17 Jul 2006 10:09:16 GMT,
depuis hier soir sur mon serveur FTP j'ai des tentative de
connections (1567 tentatives) en provenance d'une unique IP
(61.129.72.174).
changer le port d'écoute de votre serveur ftp est bien mieux que de
bloquer l'ip, le seul désagrément est d'avertir vos clients actuel du
changement du port
En quoi est-ce mieux?
J'avoue que spontanément, j'aurais plutôt conseillé de bloquer les IP
hostiles (ça ne pénalise qu'elles) plutôt que d'obliger tous les
clients à changer leur configuration de façon non standard.
depuis hier soir sur mon serveur FTP j'ai des tentative de connections (1567 tentatives) en provenance d'une unique IP (61.129.72.174). changer le port d'écoute de votre serveur ftp est bien mieux que de
bloquer l'ip, le seul désagrément est d'avertir vos clients actuel du changement du port
En quoi est-ce mieux?
J'avoue que spontanément, j'aurais plutôt conseillé de bloquer les IP hostiles (ça ne pénalise qu'elles) plutôt que d'obliger tous les clients à changer leur configuration de façon non standard.
-- Jérémy JUST
ALBATOR
"Jeremy JUST" a écrit dans le message de news:
Le 17 Jul 2006 10:09:16 GMT,
depuis hier soir sur mon serveur FTP j'ai des tentative de connections (1567 tentatives) en provenance d'une unique IP (61.129.72.174). changer le port d'écoute de votre serveur ftp est bien mieux que de
bloquer l'ip, le seul désagrément est d'avertir vos clients actuel du changement du port
En quoi est-ce mieux?
J'avoue que spontanément, j'aurais plutôt conseillé de bloquer les IP hostiles (ça ne pénalise qu'elles) plutôt que d'obliger tous les clients à changer leur configuration de façon non standard.
avoir une ip d'écoute autre que 21 (non standard) permet d'éviter les attaques, les scans ne se font pas sur tout les port, généralement uniquement sur 21 donc pour se préserver des scans de vulnérabilités (21) il faut choisir un port de com non standard, autrement il faudra cumuler des ip à bloquer (il y en aura toujours de nouvelles) c'est plus contraignant... Quand aux difficultés pour les clients je ne voit pas le soucis, il leur suffit de faire "log::port" :p même IE est capable de comprendre cette syntaxe... en résumé il s'agit de choisir entre demander une petite manip aux clients actuels ou se taper un filtrage ip qui ne cessera jamais car des scans ftp il y en aura toujours, alors à moins d'être mazo pour se donner du travail inutile...
"Jeremy JUST" <jeremy_just@netcourrier.com> a écrit dans le message de
news: 20060718204730.4cf30667@norbert.inapg.inra.fr...
Le 17 Jul 2006 10:09:16 GMT,
depuis hier soir sur mon serveur FTP j'ai des tentative de
connections (1567 tentatives) en provenance d'une unique IP
(61.129.72.174).
changer le port d'écoute de votre serveur ftp est bien mieux que de
bloquer l'ip, le seul désagrément est d'avertir vos clients actuel du
changement du port
En quoi est-ce mieux?
J'avoue que spontanément, j'aurais plutôt conseillé de bloquer les IP
hostiles (ça ne pénalise qu'elles) plutôt que d'obliger tous les
clients à changer leur configuration de façon non standard.
avoir une ip d'écoute autre que 21 (non standard) permet d'éviter les
attaques, les scans ne se font pas sur tout les port, généralement
uniquement sur 21 donc pour se préserver des scans de vulnérabilités
(21) il faut choisir un port de com non standard, autrement il faudra
cumuler des ip à bloquer (il y en aura toujours de nouvelles) c'est plus
contraignant...
Quand aux difficultés pour les clients je ne voit pas le soucis, il leur
suffit de faire "log:passw@ip:port" :p même IE est capable de comprendre
cette syntaxe...
en résumé il s'agit de choisir entre demander une petite manip aux
clients actuels ou se taper un filtrage ip qui ne cessera jamais car des
scans ftp il y en aura toujours, alors à moins d'être mazo pour se
donner du travail inutile...
depuis hier soir sur mon serveur FTP j'ai des tentative de connections (1567 tentatives) en provenance d'une unique IP (61.129.72.174). changer le port d'écoute de votre serveur ftp est bien mieux que de
bloquer l'ip, le seul désagrément est d'avertir vos clients actuel du changement du port
En quoi est-ce mieux?
J'avoue que spontanément, j'aurais plutôt conseillé de bloquer les IP hostiles (ça ne pénalise qu'elles) plutôt que d'obliger tous les clients à changer leur configuration de façon non standard.
avoir une ip d'écoute autre que 21 (non standard) permet d'éviter les attaques, les scans ne se font pas sur tout les port, généralement uniquement sur 21 donc pour se préserver des scans de vulnérabilités (21) il faut choisir un port de com non standard, autrement il faudra cumuler des ip à bloquer (il y en aura toujours de nouvelles) c'est plus contraignant... Quand aux difficultés pour les clients je ne voit pas le soucis, il leur suffit de faire "log::port" :p même IE est capable de comprendre cette syntaxe... en résumé il s'agit de choisir entre demander une petite manip aux clients actuels ou se taper un filtrage ip qui ne cessera jamais car des scans ftp il y en aura toujours, alors à moins d'être mazo pour se donner du travail inutile...
Kevin Denis
Le 20-07-2006, ALBATOR a écrit :
changer le port d'écoute de votre serveur ftp est bien mieux que de bloquer l'ip, le seul désagrément est d'avertir vos clients actuel du changement du port
En quoi est-ce mieux?
J'avoue que spontanément, j'aurais plutôt conseillé de bloquer les IP hostiles (ça ne pénalise qu'elles) plutôt que d'obliger tous les clients à changer leur configuration de façon non standard.
avoir une ip d'écoute autre que 21 (non standard) permet d'éviter les attaques,
L'ennui c'est que ta methode repose sur l'obscurite. Et je ne suis pas persuade de l'efficacite de cette methode. Le risque est de laisser tomber ton serveur, de ne pas le tenir a jour, puisque selon toi "cela permet d'eviter les attaques".
les scans ne se font pas sur tout les port, généralement uniquement sur 21
-hem-
Apres, c'est affaire de choix, je pense. -- Kevin
Le 20-07-2006, ALBATOR <spamfucker@fbi.com> a écrit :
changer le port d'écoute de votre serveur ftp est bien mieux que de
bloquer l'ip, le seul désagrément est d'avertir vos clients actuel du
changement du port
En quoi est-ce mieux?
J'avoue que spontanément, j'aurais plutôt conseillé de bloquer les IP
hostiles (ça ne pénalise qu'elles) plutôt que d'obliger tous les
clients à changer leur configuration de façon non standard.
avoir une ip d'écoute autre que 21 (non standard) permet d'éviter les
attaques,
L'ennui c'est que ta methode repose sur l'obscurite. Et je ne suis pas
persuade de l'efficacite de cette methode.
Le risque est de laisser tomber ton serveur, de ne pas le tenir
a jour, puisque selon toi "cela permet d'eviter les attaques".
les scans ne se font pas sur tout les port, généralement
uniquement sur 21
changer le port d'écoute de votre serveur ftp est bien mieux que de bloquer l'ip, le seul désagrément est d'avertir vos clients actuel du changement du port
En quoi est-ce mieux?
J'avoue que spontanément, j'aurais plutôt conseillé de bloquer les IP hostiles (ça ne pénalise qu'elles) plutôt que d'obliger tous les clients à changer leur configuration de façon non standard.
avoir une ip d'écoute autre que 21 (non standard) permet d'éviter les attaques,
L'ennui c'est que ta methode repose sur l'obscurite. Et je ne suis pas persuade de l'efficacite de cette methode. Le risque est de laisser tomber ton serveur, de ne pas le tenir a jour, puisque selon toi "cela permet d'eviter les attaques".
les scans ne se font pas sur tout les port, généralement uniquement sur 21
