bonsoir,
depuis hier soir sur mon serveur FTP j'ai des tentative de connections
(1567 tentatives) en provenance d'une unique IP (61.129.72.174). Les
tentative de connections se font avec comme loggin 'Administrator' et
des mots de passe qui semble choisi dans un dictionnaire.
*****
OrgName: Asia Pacific Network Information Centre
OrgID: APNIC
Address: PO Box 2131
City: Milton
StateProv: QLD
PostalCode: 4064
Country: AU
ReferralServer: whois://whois.apnic.net
NetRange: 61.0.0.0 - 61.255.255.255
CIDR: 61.0.0.0/8
NetName: APNIC3
NetHandle: NET-61-0-0-0-1
Parent:
NetType: Allocated to APNIC
NameServer: NS1.APNIC.NET
NameServer: NS3.APNIC.NET
NameServer: NS4.APNIC.NET
NameServer: NS-SEC.RIPE.NET
NameServer: TINNIE.ARIN.NET
Comment: This IP address range is not registered in the ARIN
database.
Comment: For details, refer to the APNIC Whois Database via
Comment: WHOIS.APNIC.NET or http://www.apnic.net/apnic-bin/whois2.pl
Comment: ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment: for the Asia Pacific region. APNIC does not operate networks
Comment: using this IP address range and is not able to investigate
Comment: spam or abuse reports relating to these addresses. For more
Comment: help, refer to http://www.apnic.net/info/faq/abuse
Comment:
RegDate: 1997-04-25
Updated: 2005-05-20
L'ennui c'est que ta methode repose sur l'obscurite. Et je ne suis pas persuade de l'efficacite de cette methode.
N'importe quoi...
Le risque est de laisser tomber ton serveur, de ne pas le tenir a jour, puisque selon toi "cela permet d'eviter les attaques".
les attaques type dictionnaire sur port 21, pour le reste cela ne dispense pas de mettre a jour son appli serveur... je constate que vous êtes un gros débutant qui ne sait pas de quoi il cause, moi j'administre des ftp depuis plus de 10 ans alors si qq'un se trouve dans l'obscurité c'est bien vous.
"Kevin Denis" <kevin@nowhere.invalid> a écrit dans le message de news:
slrnec17hk.2r5.kevin@zipslack.local.tux...
L'ennui c'est que ta methode repose sur l'obscurite. Et je ne suis pas
persuade de l'efficacite de cette methode.
N'importe quoi...
Le risque est de laisser tomber ton serveur, de ne pas le tenir
a jour, puisque selon toi "cela permet d'eviter les attaques".
les attaques type dictionnaire sur port 21, pour le reste cela ne
dispense pas de mettre a jour son appli serveur...
je constate que vous êtes un gros débutant qui ne sait pas de quoi il
cause, moi j'administre des ftp depuis plus de 10 ans alors si qq'un se
trouve dans l'obscurité c'est bien vous.
L'ennui c'est que ta methode repose sur l'obscurite. Et je ne suis pas persuade de l'efficacite de cette methode.
N'importe quoi...
Le risque est de laisser tomber ton serveur, de ne pas le tenir a jour, puisque selon toi "cela permet d'eviter les attaques".
les attaques type dictionnaire sur port 21, pour le reste cela ne dispense pas de mettre a jour son appli serveur... je constate que vous êtes un gros débutant qui ne sait pas de quoi il cause, moi j'administre des ftp depuis plus de 10 ans alors si qq'un se trouve dans l'obscurité c'est bien vous.
Eric Masson
ALBATOR writes:
N'importe quoi...
Un chouilla d'argumentation peut-être ?
C'est effectivement de la sécurité par l'obscurité, et de plus cela gêne vos clients tout en ne résistant qu'à un script codé avec les pieds.
Un attaquant un poil moins stupide voulant rentrer sur un système ne se restreindra pas à scanner les ports courants avec le protocole associé.
les attaques type dictionnaire sur port 21, pour le reste cela ne dispense pas de mettre a jour son appli serveur...
Ça n'arrête que les scripts mal foutus...
je constate que vous êtes un gros débutant qui ne sait pas de quoi il cause, moi j'administre des ftp depuis plus de 10 ans alors si qq'un se trouve dans l'obscurité c'est bien vous.
On peut faire les mêmes erreurs pendant dix ans.
--
Jésus avait de bien meilleurs résultats en disant à Lazare : « Lève- toi et marche ». c est ki jesu ???? lazar kome la gar ?
-+- atome in <http://www.le-gnu.net> : Ya pas de miracle -+-
ALBATOR <spamfucker@fbi.com> writes:
N'importe quoi...
Un chouilla d'argumentation peut-être ?
C'est effectivement de la sécurité par l'obscurité, et de plus cela gêne
vos clients tout en ne résistant qu'à un script codé avec les pieds.
Un attaquant un poil moins stupide voulant rentrer sur un système ne se
restreindra pas à scanner les ports courants avec le protocole associé.
les attaques type dictionnaire sur port 21, pour le reste cela ne
dispense pas de mettre a jour son appli serveur...
Ça n'arrête que les scripts mal foutus...
je constate que vous êtes un gros débutant qui ne sait pas de quoi il
cause, moi j'administre des ftp depuis plus de 10 ans alors si qq'un se
trouve dans l'obscurité c'est bien vous.
On peut faire les mêmes erreurs pendant dix ans.
--
Jésus avait de bien meilleurs résultats en disant à Lazare : «
Lève- toi et marche ».
c est ki jesu ???? lazar kome la gar ?
-+- atome in <http://www.le-gnu.net> : Ya pas de miracle -+-
C'est effectivement de la sécurité par l'obscurité, et de plus cela gêne vos clients tout en ne résistant qu'à un script codé avec les pieds.
Un attaquant un poil moins stupide voulant rentrer sur un système ne se restreindra pas à scanner les ports courants avec le protocole associé.
les attaques type dictionnaire sur port 21, pour le reste cela ne dispense pas de mettre a jour son appli serveur...
Ça n'arrête que les scripts mal foutus...
je constate que vous êtes un gros débutant qui ne sait pas de quoi il cause, moi j'administre des ftp depuis plus de 10 ans alors si qq'un se trouve dans l'obscurité c'est bien vous.
On peut faire les mêmes erreurs pendant dix ans.
--
Jésus avait de bien meilleurs résultats en disant à Lazare : « Lève- toi et marche ». c est ki jesu ???? lazar kome la gar ?
-+- atome in <http://www.le-gnu.net> : Ya pas de miracle -+-
ALBATOR
"Eric Masson" a écrit dans le message de news:
On peut faire les mêmes erreurs pendant dix ans.
mouai sauf que moi je regarde très souvent mes logs, ce qui me donne confirmation que je ne suis pas dans votre hypothèse, par contre en 21 je me souviens que c'était la foire aux script kid, de plus avec quelques script sur l'appli serveur bien codé avec la tête ca ban les exceptions histoire de ne pas leur laisser une seule chance, d'ailleurs moi j'ai un serveur qui tourne 24/7 vous pouvez toujours vous amuser à essayer de le hacker avec toute la science que vous pourrez accumuler, mon ip est dans la source de ce message, bonne chance à vous & aux autres rêveurs devant l'éternel...
ps: vos obscures théories hypothétique ne sont rien face à ma pratique sur le sujet, alors revenez faire le "connaisseur" quand vous aurez fait une véritable démonstration, la spéculation n' 'impréssionne que les ignorants, les neuneux.
"Eric Masson" <emss@free.fr> a écrit dans le message de news:
rj87p3-i79.ln1@srvbsdnanssv.oursoides-associes.com...
On peut faire les mêmes erreurs pendant dix ans.
mouai sauf que moi je regarde très souvent mes logs, ce qui me donne
confirmation que je ne suis pas dans votre hypothèse, par contre en 21
je me souviens que c'était la foire aux script kid, de plus avec
quelques script sur l'appli serveur bien codé avec la tête ca ban les
exceptions histoire de ne pas leur laisser une seule chance, d'ailleurs
moi j'ai un serveur qui tourne 24/7 vous pouvez toujours vous amuser à
essayer de le hacker avec toute la science que vous pourrez accumuler,
mon ip est dans la source de ce message, bonne chance à vous & aux
autres rêveurs devant l'éternel...
ps: vos obscures théories hypothétique ne sont rien face à ma pratique
sur le sujet, alors revenez faire le "connaisseur" quand vous aurez fait
une véritable démonstration, la spéculation n' 'impréssionne que les
ignorants, les neuneux.
mouai sauf que moi je regarde très souvent mes logs, ce qui me donne confirmation que je ne suis pas dans votre hypothèse, par contre en 21 je me souviens que c'était la foire aux script kid, de plus avec quelques script sur l'appli serveur bien codé avec la tête ca ban les exceptions histoire de ne pas leur laisser une seule chance, d'ailleurs moi j'ai un serveur qui tourne 24/7 vous pouvez toujours vous amuser à essayer de le hacker avec toute la science que vous pourrez accumuler, mon ip est dans la source de ce message, bonne chance à vous & aux autres rêveurs devant l'éternel...
ps: vos obscures théories hypothétique ne sont rien face à ma pratique sur le sujet, alors revenez faire le "connaisseur" quand vous aurez fait une véritable démonstration, la spéculation n' 'impréssionne que les ignorants, les neuneux.
Pascal Hambourg
On 17 Jul 2006 11:07:29 GMT, Pascal Hambourg :
Et les firewalls/NAT incapables de se débrouiller avec du FTP sur un port non standard
Ça existe, ça ?
Je n'en doute pas un instant. Gérer le protocole FTP n'est pas simple. Il faut surveiller le contenu des connexions de contrôle pour intercepter/modifier les paramètres des commandes de type PORT et PASV afin d'identifier les connexions de données correspondantes à autoriser et/ou NATer. Le dispositif ne peut évidemment pas surveiller le contenu de toutes les connexions TCP pour essayer d'y reconnaître des commandes FTP. Par défaut il ne surveille que les connexions impliquant le port 21. Pour utiliser un autre port, il faut non seulement que le dispositif permette de spécifier d'autres ports à surveiller, mais aussi avoir la main dessus pour faire la modification, ce qui n'est pas forcément le cas de l'utilisateur final (firewall d'entreprise...).
Pour un client qui fait du FTP passif derrière un firewall qui laisse passer toutes les connexions sortantes, ça ne posera pas de problème. Dans les autres cas, ça pourra en poser.
On 17 Jul 2006 11:07:29 GMT, Pascal Hambourg :
Et les firewalls/NAT incapables de se débrouiller avec du FTP sur un
port non standard
Ça existe, ça ?
Je n'en doute pas un instant.
Gérer le protocole FTP n'est pas simple. Il faut surveiller le contenu
des connexions de contrôle pour intercepter/modifier les paramètres des
commandes de type PORT et PASV afin d'identifier les connexions de
données correspondantes à autoriser et/ou NATer. Le dispositif ne peut
évidemment pas surveiller le contenu de toutes les connexions TCP pour
essayer d'y reconnaître des commandes FTP. Par défaut il ne surveille
que les connexions impliquant le port 21. Pour utiliser un autre port,
il faut non seulement que le dispositif permette de spécifier d'autres
ports à surveiller, mais aussi avoir la main dessus pour faire la
modification, ce qui n'est pas forcément le cas de l'utilisateur final
(firewall d'entreprise...).
Pour un client qui fait du FTP passif derrière un firewall qui laisse
passer toutes les connexions sortantes, ça ne posera pas de problème.
Dans les autres cas, ça pourra en poser.
Et les firewalls/NAT incapables de se débrouiller avec du FTP sur un port non standard
Ça existe, ça ?
Je n'en doute pas un instant. Gérer le protocole FTP n'est pas simple. Il faut surveiller le contenu des connexions de contrôle pour intercepter/modifier les paramètres des commandes de type PORT et PASV afin d'identifier les connexions de données correspondantes à autoriser et/ou NATer. Le dispositif ne peut évidemment pas surveiller le contenu de toutes les connexions TCP pour essayer d'y reconnaître des commandes FTP. Par défaut il ne surveille que les connexions impliquant le port 21. Pour utiliser un autre port, il faut non seulement que le dispositif permette de spécifier d'autres ports à surveiller, mais aussi avoir la main dessus pour faire la modification, ce qui n'est pas forcément le cas de l'utilisateur final (firewall d'entreprise...).
Pour un client qui fait du FTP passif derrière un firewall qui laisse passer toutes les connexions sortantes, ça ne posera pas de problème. Dans les autres cas, ça pourra en poser.
Eric Masson
ALBATOR writes:
mouai sauf que moi je regarde très souvent mes logs,
Oui et ?
moi j'ai un serveur qui tourne 24/7 vous pouvez toujours vous amuser à essayer de le hacker avec toute la science que vous pourrez accumuler, mon ip est dans la source de ce message, bonne chance à vous & aux autres rêveurs devant l'éternel...
C'est bien d'être pétri de certitudes à ce point, comme le faisait récemment remarquer un des contributeurs sérieux de ce groupe, en termes de sécurité, la seule chose que l'on puisse dire, c'est "je n'ai pas encore été troué à ce jour, à ma connaissance".
ps: vos obscures théories hypothétique ne sont rien face à ma pratique sur le sujet, alors revenez faire le "connaisseur" quand vous aurez fait une véritable démonstration, la spéculation n' 'impréssionne que les ignorants, les neuneux.
Vous semblez en connaitre un rayon sur le sujet, je vous laisserai donc la parole.
-- (fufe) Ca deconne, domage... votre service est vraiment super! J'arrive vraiment pas a envoyer ma candidature sur votre site: il me fait a chaque fois error, pourquoi? Il y a t'il une limite de chrcter? -+-JF - <http://www.le-gnu.net> - Souvent limité, jamais égalé -+-
ALBATOR <spamfucker@fbi.com> writes:
mouai sauf que moi je regarde très souvent mes logs,
Oui et ?
moi j'ai un serveur qui tourne 24/7 vous pouvez toujours vous amuser à
essayer de le hacker avec toute la science que vous pourrez accumuler,
mon ip est dans la source de ce message, bonne chance à vous & aux
autres rêveurs devant l'éternel...
C'est bien d'être pétri de certitudes à ce point, comme le faisait
récemment remarquer un des contributeurs sérieux de ce groupe, en termes
de sécurité, la seule chose que l'on puisse dire, c'est "je n'ai pas
encore été troué à ce jour, à ma connaissance".
ps: vos obscures théories hypothétique ne sont rien face à ma pratique
sur le sujet, alors revenez faire le "connaisseur" quand vous aurez fait
une véritable démonstration, la spéculation n' 'impréssionne que les
ignorants, les neuneux.
Vous semblez en connaitre un rayon sur le sujet, je vous laisserai donc
la parole.
--
(fufe) Ca deconne, domage... votre service est vraiment super! J'arrive
vraiment pas a envoyer ma candidature sur votre site: il me fait a
chaque fois error, pourquoi? Il y a t'il une limite de chrcter?
-+-JF - <http://www.le-gnu.net> - Souvent limité, jamais égalé -+-
mouai sauf que moi je regarde très souvent mes logs,
Oui et ?
moi j'ai un serveur qui tourne 24/7 vous pouvez toujours vous amuser à essayer de le hacker avec toute la science que vous pourrez accumuler, mon ip est dans la source de ce message, bonne chance à vous & aux autres rêveurs devant l'éternel...
C'est bien d'être pétri de certitudes à ce point, comme le faisait récemment remarquer un des contributeurs sérieux de ce groupe, en termes de sécurité, la seule chose que l'on puisse dire, c'est "je n'ai pas encore été troué à ce jour, à ma connaissance".
ps: vos obscures théories hypothétique ne sont rien face à ma pratique sur le sujet, alors revenez faire le "connaisseur" quand vous aurez fait une véritable démonstration, la spéculation n' 'impréssionne que les ignorants, les neuneux.
Vous semblez en connaitre un rayon sur le sujet, je vous laisserai donc la parole.
-- (fufe) Ca deconne, domage... votre service est vraiment super! J'arrive vraiment pas a envoyer ma candidature sur votre site: il me fait a chaque fois error, pourquoi? Il y a t'il une limite de chrcter? -+-JF - <http://www.le-gnu.net> - Souvent limité, jamais égalé -+-
Jeremy JUST
Le 20 Jul 2006 00:51:53 GMT,
Quand aux difficultés pour les clients je ne voit pas le soucis, il leur suffit de faire "log::port" :p même IE est capable de comprendre cette syntaxe...
Ça implique de prévenir les admins de toutes les machines qui se connectent au FTP, et de modifier tous les scripts qui gèrent les connexions... C'est un poil long quand même, non? Accessoirement, pendant les quelques jours (semaines?) nécessaires à la mise en place des modifs, les connexions vont échouer, ce qui peut compromettre le bon fonctionnement des systèmes (même si en théorie, les erreurs devraient être remontées, ce qui permet de faire rapidement la modif nécessaire).
J'ai déjà vu des bases de données qui n'étaient plus mises à jour pendant trois mois, parce que l'URL donnant accès aux données actualisées avait changé, et que l'admin n'avait pas été mis au courant (il voyait bien les erreurs dans les logs, mais il supposait que c'était le serveur distant qui avait des soucis et qu'il suffisait d'attendre).
en résumé il s'agit de choisir entre demander une petite manip aux clients actuels ou se taper un filtrage ip qui ne cessera jamais car des scans ftp il y en aura toujours, alors à moins d'être mazo pour se donner du travail inutile...
En gros, tu as l'alternative: - soit je fais un travail propre en local et je prends en charge sa maintenance, - soit je fais un travail sale en local en me disant que « ça me prendra moins de temps comme ça » et je demande à tous les admins distants (qui n'ont rien demandé) de prendre sur leur temps pour s'adapter.
Mouais...
-- Jérémy JUST
Le 20 Jul 2006 00:51:53 GMT,
Quand aux difficultés pour les clients je ne voit pas le soucis, il
leur suffit de faire "log:passw@ip:port" :p même IE est capable de
comprendre cette syntaxe...
Ça implique de prévenir les admins de toutes les machines qui se
connectent au FTP, et de modifier tous les scripts qui gèrent les
connexions... C'est un poil long quand même, non?
Accessoirement, pendant les quelques jours (semaines?) nécessaires à
la mise en place des modifs, les connexions vont échouer, ce qui peut
compromettre le bon fonctionnement des systèmes (même si en théorie,
les erreurs devraient être remontées, ce qui permet de faire
rapidement la modif nécessaire).
J'ai déjà vu des bases de données qui n'étaient plus mises à jour
pendant trois mois, parce que l'URL donnant accès aux données
actualisées avait changé, et que l'admin n'avait pas été mis au courant
(il voyait bien les erreurs dans les logs, mais il supposait que
c'était le serveur distant qui avait des soucis et qu'il suffisait
d'attendre).
en résumé il s'agit de choisir entre demander une petite manip aux
clients actuels ou se taper un filtrage ip qui ne cessera jamais car
des scans ftp il y en aura toujours, alors à moins d'être mazo pour
se donner du travail inutile...
En gros, tu as l'alternative:
- soit je fais un travail propre en local et je prends en charge sa
maintenance,
- soit je fais un travail sale en local en me disant que « ça me
prendra moins de temps comme ça » et je demande à tous les admins
distants (qui n'ont rien demandé) de prendre sur leur temps pour
s'adapter.
Quand aux difficultés pour les clients je ne voit pas le soucis, il leur suffit de faire "log::port" :p même IE est capable de comprendre cette syntaxe...
Ça implique de prévenir les admins de toutes les machines qui se connectent au FTP, et de modifier tous les scripts qui gèrent les connexions... C'est un poil long quand même, non? Accessoirement, pendant les quelques jours (semaines?) nécessaires à la mise en place des modifs, les connexions vont échouer, ce qui peut compromettre le bon fonctionnement des systèmes (même si en théorie, les erreurs devraient être remontées, ce qui permet de faire rapidement la modif nécessaire).
J'ai déjà vu des bases de données qui n'étaient plus mises à jour pendant trois mois, parce que l'URL donnant accès aux données actualisées avait changé, et que l'admin n'avait pas été mis au courant (il voyait bien les erreurs dans les logs, mais il supposait que c'était le serveur distant qui avait des soucis et qu'il suffisait d'attendre).
en résumé il s'agit de choisir entre demander une petite manip aux clients actuels ou se taper un filtrage ip qui ne cessera jamais car des scans ftp il y en aura toujours, alors à moins d'être mazo pour se donner du travail inutile...
En gros, tu as l'alternative: - soit je fais un travail propre en local et je prends en charge sa maintenance, - soit je fais un travail sale en local en me disant que « ça me prendra moins de temps comme ça » et je demande à tous les admins distants (qui n'ont rien demandé) de prendre sur leur temps pour s'adapter.
Mouais...
-- Jérémy JUST
ALBATOR
"Jeremy JUST" a écrit dans le message de news:
Mouais...
à l'origine celui qui se trouve avec un soucis de sécurité n'est pas un admin qui gère des milliers de clients, il faut adapter ses résolutions en fonction des besoins, hors dans le cas présent mon conseil est le mieux, alors la polémique des pseudo expert je m'en cogne.
"Jeremy JUST" <jeremy_just@netcourrier.com> a écrit dans le message de
news: 20060722155708.2523d326@norbert.inapg.inra.fr...
Mouais...
à l'origine celui qui se trouve avec un soucis de sécurité n'est pas un
admin qui gère des milliers de clients, il faut adapter ses résolutions
en fonction des besoins, hors dans le cas présent mon conseil est le
mieux, alors la polémique des pseudo expert je m'en cogne.
à l'origine celui qui se trouve avec un soucis de sécurité n'est pas un admin qui gère des milliers de clients, il faut adapter ses résolutions en fonction des besoins, hors dans le cas présent mon conseil est le mieux, alors la polémique des pseudo expert je m'en cogne.
Cedric Blancher
Le Fri, 14 Jul 2006 17:17:04 +0000, Frederic Salach a écrit :
J'ai bloqué l'acces à toute la plage IP 61.*.*.*,
Bourrin, et surtout pas franchement utile à mon sens, dans la mesure où ces scans sont souvent le fait d'un bot ou autre script de ce genre qui peut se retrouver lancé d'ailleurs.
mais y a t'il d'autres choses à faire ou à mettre en place ?
Utiliser un protocole de transfert de fichiers plus sûr que FTP, comme SSH par exemple, soit avec scp, soit avec sftp. En outre, ça évite de se poser des questions sur les éventuels problèmes de NAT. Pas mal de client FTP arrivent maintenant avec le support SFTP, comme Gozilla par exemple. Sinon, on a aussi winscp. En outre, SSH permet des authentification par clés publiques RSA ou DSA, ce qui évacue de facto les attaques sur les login/passwd.
Utiliser des mots de passe solides peut être également envisagé.
-- non mais si les grandes socites de jeux videos se mettent a payer les piratins, c 'est la porte ouverte aux enfonceurs de porte, comme les terroriste, c'est pour ca que dans Deus EX, l'unatco ne negocie jamais -+- GaVaGe in GPJ: Never open the door to terrorist-players -+-
Le Fri, 14 Jul 2006 17:17:04 +0000, Frederic Salach a écrit :
J'ai bloqué l'acces à toute la plage IP 61.*.*.*,
Bourrin, et surtout pas franchement utile à mon sens, dans la mesure où
ces scans sont souvent le fait d'un bot ou autre script de ce genre qui
peut se retrouver lancé d'ailleurs.
mais y a t'il d'autres choses à faire ou à mettre en place ?
Utiliser un protocole de transfert de fichiers plus sûr que FTP, comme
SSH par exemple, soit avec scp, soit avec sftp. En outre, ça évite de
se poser des questions sur les éventuels problèmes de NAT. Pas mal de
client FTP arrivent maintenant avec le support SFTP, comme Gozilla par
exemple. Sinon, on a aussi winscp. En outre, SSH permet des
authentification par clés publiques RSA ou DSA, ce qui évacue de facto
les attaques sur les login/passwd.
Utiliser des mots de passe solides peut être également envisagé.
--
non mais si les grandes socites de jeux videos se mettent a payer les
piratins, c 'est la porte ouverte aux enfonceurs de porte, comme les
terroriste, c'est pour ca que dans Deus EX, l'unatco ne negocie jamais
-+- GaVaGe in GPJ: Never open the door to terrorist-players -+-
Le Fri, 14 Jul 2006 17:17:04 +0000, Frederic Salach a écrit :
J'ai bloqué l'acces à toute la plage IP 61.*.*.*,
Bourrin, et surtout pas franchement utile à mon sens, dans la mesure où ces scans sont souvent le fait d'un bot ou autre script de ce genre qui peut se retrouver lancé d'ailleurs.
mais y a t'il d'autres choses à faire ou à mettre en place ?
Utiliser un protocole de transfert de fichiers plus sûr que FTP, comme SSH par exemple, soit avec scp, soit avec sftp. En outre, ça évite de se poser des questions sur les éventuels problèmes de NAT. Pas mal de client FTP arrivent maintenant avec le support SFTP, comme Gozilla par exemple. Sinon, on a aussi winscp. En outre, SSH permet des authentification par clés publiques RSA ou DSA, ce qui évacue de facto les attaques sur les login/passwd.
Utiliser des mots de passe solides peut être également envisagé.
-- non mais si les grandes socites de jeux videos se mettent a payer les piratins, c 'est la porte ouverte aux enfonceurs de porte, comme les terroriste, c'est pour ca que dans Deus EX, l'unatco ne negocie jamais -+- GaVaGe in GPJ: Never open the door to terrorist-players -+-
Eric Razny
Le Sat, 22 Jul 2006 10:25:39 +0000, ALBATOR a écrit :
On peut faire les mêmes erreurs pendant dix ans.
mouai sauf que moi je regarde très souvent mes logs, ce qui me donne confirmation que je ne suis pas dans votre hypothèse,
Non. Ca montre qu'il n'y a rien dans les logs. point. Si pour une raison ou une autre c'est le serveur qui s'est fait hacker par quelqu'un avec un minimum de sérieux (sic) la première chose qui aura disparue du serveur ce sont les logs compromettant.
par contre en 21 je me souviens que c'était la foire aux script kid, de plus avec quelques script sur l'appli serveur bien codé avec la tête ca ban les exceptions histoire de ne pas leur laisser une seule chance,
Et la marmotte, elle mets le chocolat... Si, ce que je ne souhaite à personne, vous vous prenez un 0-day exploit dans la tête vôtre serveur a toute les chance d'y passer aussi. Je ne marque pas pas certains car, comme toutes personne consciente de sécurité vous avez évalué certains patch du noyau -type grsec & co- et éventuellement les avez déployé, n'est-ce pas?
Il en est d'ailleurs évidement de même pour les urgences éventuelles du type :
qui ne marchent bien sur pas chez vous dès l'heure de la mise à dispo des avertissement?
d'ailleurs moi j'ai un serveur qui tourne 24/7
Waou, c'est impressionnant ça. Et depuis 10 ans? Moi qui croyait qu'un serveur ftp ne tournait que pendant les heures ouvrables et que la sécrétaire devait lui apporter du café régulièrement pour que ça ne rame pas trop, on m'aurait menti? :)
Il y a ici pas mal de gens qui gèrent bien plus qu'un serveur et qui restent passablement humble. La non remise en cause est amha un des premiers pas vers un manquement à la sécurité.
Que vous indiquiez simplement quelque chose comme "dans un environnement avec un nombre restreint d'intervenant -ce qui limite les nuisances- j'ai choisi un port non standard pour limiter les logs d'attaque par dictionnaire", c'est une chose.
Sans même parler de sécurité par l'obscurité, qui de plus serait innefficace ici, il est surprenant que vous n'écoutiez visiblement pas vos interlocuteur.
Certains protocoles mal fichu pose, in fine, de très nombreux problème. Ici avec ftp on en cumule un paquet :
- mode passif ou non, ce qui pose un problème potentiel au niveau des firewall. - port multiples, d'où la nécessité d'un module de tracking - les attaques ftp par rebond, il y a 10 ans, vous devez vous en souvenir?
Enfin de nombreux admin "verrouillent" (enfin tentent! :) la sortie de leur réseau à certains ports et obligent à passer par un proxy. Dans ce cas la personne qui doit accèder à votre serveur ftp est sérieusement dans la merde parce qu'un gus en face préfère faire chier les autres que de s'ennuyer à gérer les problèmes de son côté.
A par le changement de bannière (ça évite de se prendre les scripts des nouvelles vulnérabilités par des gens organisé) ça ne viendrait pas à l'idée de grand monde de changer le http sur du 8742/TCP parce qu'il y en a marre de poluer les scripts avec des attaques sur IIS !!!
Enfin certains sont en non dégroupé avec un fournisseur qui peut limiter la bande passante sur des ports non standard soit disant pour limiter le P2P. Ben ceux la vous leur posez aussi un problème. En êtes vous seulement conscient?
vous pouvez toujours vous amuser à essayer de le hacker avec toute la science que vous pourrez accumuler, mon ip est dans la source de ce message, bonne chance à vous & aux autres rêveurs devant l'éternel...
Je comprends bien votre post? Vous ne portez pas plainte et autorisez toute personne ce réclamant de la lecture de votre post à tenter de hacker votre serveur? Quand bien même je pense avoir protégé mes serveurs je ne suis pas assez, ahem restons poli, aventureux pour lancer des défis de ce genre.
Vous vous souvenez des dires d'un certain Oracle il y a quelques temps? Celui ci meritait fort mal son nom, et à interressé un grand nombre de gens compétant à s'occuper de son cas.
ps: vos obscures théories hypothétique ne sont rien face à ma pratique sur le sujet,
Quel dédain! Ainsi qu'on vous l'a déjà dit la durée de la pratique ne signifie pas pour autant compétance (je parle dans l'absolu, je ne vous connais pas). J'ai vu des jeunes passionnés être conscient d'un nombre impressionnant de chose -et gérer les problèmes correctement- et un nombre impressionnant de vieux cons, "informaticien" de leur état, faire des conneries qui ne prêteraient que moyennement à conséquence... si on était il y a 10 ou 15 ans...
alors revenez faire le "connaisseur" quand vous aurez fait une véritable démonstration, la spéculation n' 'impréssionne que les ignorants, les neuneux.
Je vous suggère de faire un minimum de recherche quand vous dénigrez votre interlocuteur, au lieu de vous attacher au faits. Vous pourriez éviter de faire rigoler pas mal de gens.
Eric
Le Sat, 22 Jul 2006 10:25:39 +0000, ALBATOR a écrit :
On peut faire les mêmes erreurs pendant dix ans.
mouai sauf que moi je regarde très souvent mes logs, ce qui me donne
confirmation que je ne suis pas dans votre hypothèse,
Non. Ca montre qu'il n'y a rien dans les logs. point.
Si pour une raison ou une autre c'est le serveur qui s'est fait hacker par
quelqu'un avec un minimum de sérieux (sic) la première chose qui aura
disparue du serveur ce sont les logs compromettant.
par contre en 21 je
me souviens que c'était la foire aux script kid, de plus avec quelques
script sur l'appli serveur bien codé avec la tête ca ban les exceptions
histoire de ne pas leur laisser une seule chance,
Et la marmotte, elle mets le chocolat...
Si, ce que je ne souhaite à personne, vous vous prenez un 0-day exploit
dans la tête vôtre serveur a toute les chance d'y passer aussi.
Je ne marque pas pas certains car, comme toutes personne consciente de
sécurité vous avez évalué certains patch du noyau -type grsec & co- et
éventuellement les avez déployé, n'est-ce pas?
Il en est d'ailleurs évidement de même pour les urgences éventuelles du
type :
qui ne marchent bien sur pas chez vous dès l'heure de la mise à dispo
des avertissement?
d'ailleurs moi j'ai un serveur qui tourne 24/7
Waou, c'est impressionnant ça. Et depuis 10 ans?
Moi qui croyait qu'un serveur ftp ne tournait que pendant les heures
ouvrables et que la sécrétaire devait lui apporter du café
régulièrement pour que ça ne rame pas trop, on m'aurait menti? :)
Il y a ici pas mal de gens qui gèrent bien plus qu'un serveur et qui
restent passablement humble. La non remise en cause est amha un des
premiers pas vers un manquement à la sécurité.
Que vous indiquiez simplement quelque chose comme "dans un environnement
avec un nombre restreint d'intervenant -ce qui limite les nuisances- j'ai
choisi un port non standard pour limiter les logs d'attaque par
dictionnaire", c'est une chose.
Sans même parler de sécurité par l'obscurité, qui de plus serait
innefficace ici, il est surprenant que vous n'écoutiez visiblement pas
vos interlocuteur.
Certains protocoles mal fichu pose, in fine, de très nombreux problème.
Ici avec ftp on en cumule un paquet :
- mode passif ou non, ce qui pose un problème potentiel au niveau des
firewall.
- port multiples, d'où la nécessité d'un module de tracking
- les attaques ftp par rebond, il y a 10 ans, vous devez vous en souvenir?
Enfin de nombreux admin "verrouillent" (enfin tentent! :) la sortie de
leur réseau à certains ports et obligent à passer par un proxy. Dans ce
cas la personne qui doit accèder à votre serveur ftp est sérieusement
dans la merde parce qu'un gus en face préfère faire chier les autres que
de s'ennuyer à gérer les problèmes de son côté.
A par le changement de bannière (ça évite de se prendre les scripts des
nouvelles vulnérabilités par des gens organisé) ça ne viendrait pas à
l'idée de grand monde de changer le http sur du 8742/TCP parce qu'il y en
a marre de poluer les scripts avec des attaques sur IIS !!!
Enfin certains sont en non dégroupé avec un fournisseur qui peut limiter
la bande passante sur des ports non standard soit disant pour limiter le
P2P. Ben ceux la vous leur posez aussi un problème. En êtes vous
seulement conscient?
vous pouvez toujours vous amuser à essayer de le
hacker avec toute la science que vous pourrez accumuler, mon ip est dans
la source de ce message, bonne chance à vous & aux autres rêveurs devant
l'éternel...
Je comprends bien votre post? Vous ne portez pas plainte et autorisez
toute personne ce réclamant de la lecture de votre post à tenter de
hacker votre serveur? Quand bien même je pense avoir protégé mes
serveurs je ne suis pas assez, ahem restons poli, aventureux pour lancer
des défis de ce genre.
Vous vous souvenez des dires d'un certain Oracle il y a quelques temps?
Celui ci meritait fort mal son nom, et à interressé un grand nombre de
gens compétant à s'occuper de son cas.
ps: vos obscures théories hypothétique ne sont rien face à ma pratique
sur le sujet,
Quel dédain! Ainsi qu'on vous l'a déjà dit la durée de la pratique ne
signifie pas pour autant compétance (je parle dans l'absolu, je ne vous
connais pas). J'ai vu des jeunes passionnés être conscient d'un nombre
impressionnant de chose -et gérer les problèmes correctement- et un
nombre impressionnant de vieux cons, "informaticien" de leur état, faire
des conneries qui ne prêteraient que moyennement à conséquence... si on
était il y a 10 ou 15 ans...
alors revenez faire le "connaisseur" quand vous aurez fait
une véritable démonstration, la spéculation n' 'impréssionne que les
ignorants, les neuneux.
Je vous suggère de faire un minimum de recherche quand vous dénigrez
votre interlocuteur, au lieu de vous attacher au faits. Vous pourriez
éviter de faire rigoler pas mal de gens.
Le Sat, 22 Jul 2006 10:25:39 +0000, ALBATOR a écrit :
On peut faire les mêmes erreurs pendant dix ans.
mouai sauf que moi je regarde très souvent mes logs, ce qui me donne confirmation que je ne suis pas dans votre hypothèse,
Non. Ca montre qu'il n'y a rien dans les logs. point. Si pour une raison ou une autre c'est le serveur qui s'est fait hacker par quelqu'un avec un minimum de sérieux (sic) la première chose qui aura disparue du serveur ce sont les logs compromettant.
par contre en 21 je me souviens que c'était la foire aux script kid, de plus avec quelques script sur l'appli serveur bien codé avec la tête ca ban les exceptions histoire de ne pas leur laisser une seule chance,
Et la marmotte, elle mets le chocolat... Si, ce que je ne souhaite à personne, vous vous prenez un 0-day exploit dans la tête vôtre serveur a toute les chance d'y passer aussi. Je ne marque pas pas certains car, comme toutes personne consciente de sécurité vous avez évalué certains patch du noyau -type grsec & co- et éventuellement les avez déployé, n'est-ce pas?
Il en est d'ailleurs évidement de même pour les urgences éventuelles du type :
qui ne marchent bien sur pas chez vous dès l'heure de la mise à dispo des avertissement?
d'ailleurs moi j'ai un serveur qui tourne 24/7
Waou, c'est impressionnant ça. Et depuis 10 ans? Moi qui croyait qu'un serveur ftp ne tournait que pendant les heures ouvrables et que la sécrétaire devait lui apporter du café régulièrement pour que ça ne rame pas trop, on m'aurait menti? :)
Il y a ici pas mal de gens qui gèrent bien plus qu'un serveur et qui restent passablement humble. La non remise en cause est amha un des premiers pas vers un manquement à la sécurité.
Que vous indiquiez simplement quelque chose comme "dans un environnement avec un nombre restreint d'intervenant -ce qui limite les nuisances- j'ai choisi un port non standard pour limiter les logs d'attaque par dictionnaire", c'est une chose.
Sans même parler de sécurité par l'obscurité, qui de plus serait innefficace ici, il est surprenant que vous n'écoutiez visiblement pas vos interlocuteur.
Certains protocoles mal fichu pose, in fine, de très nombreux problème. Ici avec ftp on en cumule un paquet :
- mode passif ou non, ce qui pose un problème potentiel au niveau des firewall. - port multiples, d'où la nécessité d'un module de tracking - les attaques ftp par rebond, il y a 10 ans, vous devez vous en souvenir?
Enfin de nombreux admin "verrouillent" (enfin tentent! :) la sortie de leur réseau à certains ports et obligent à passer par un proxy. Dans ce cas la personne qui doit accèder à votre serveur ftp est sérieusement dans la merde parce qu'un gus en face préfère faire chier les autres que de s'ennuyer à gérer les problèmes de son côté.
A par le changement de bannière (ça évite de se prendre les scripts des nouvelles vulnérabilités par des gens organisé) ça ne viendrait pas à l'idée de grand monde de changer le http sur du 8742/TCP parce qu'il y en a marre de poluer les scripts avec des attaques sur IIS !!!
Enfin certains sont en non dégroupé avec un fournisseur qui peut limiter la bande passante sur des ports non standard soit disant pour limiter le P2P. Ben ceux la vous leur posez aussi un problème. En êtes vous seulement conscient?
vous pouvez toujours vous amuser à essayer de le hacker avec toute la science que vous pourrez accumuler, mon ip est dans la source de ce message, bonne chance à vous & aux autres rêveurs devant l'éternel...
Je comprends bien votre post? Vous ne portez pas plainte et autorisez toute personne ce réclamant de la lecture de votre post à tenter de hacker votre serveur? Quand bien même je pense avoir protégé mes serveurs je ne suis pas assez, ahem restons poli, aventureux pour lancer des défis de ce genre.
Vous vous souvenez des dires d'un certain Oracle il y a quelques temps? Celui ci meritait fort mal son nom, et à interressé un grand nombre de gens compétant à s'occuper de son cas.
ps: vos obscures théories hypothétique ne sont rien face à ma pratique sur le sujet,
Quel dédain! Ainsi qu'on vous l'a déjà dit la durée de la pratique ne signifie pas pour autant compétance (je parle dans l'absolu, je ne vous connais pas). J'ai vu des jeunes passionnés être conscient d'un nombre impressionnant de chose -et gérer les problèmes correctement- et un nombre impressionnant de vieux cons, "informaticien" de leur état, faire des conneries qui ne prêteraient que moyennement à conséquence... si on était il y a 10 ou 15 ans...
alors revenez faire le "connaisseur" quand vous aurez fait une véritable démonstration, la spéculation n' 'impréssionne que les ignorants, les neuneux.
Je vous suggère de faire un minimum de recherche quand vous dénigrez votre interlocuteur, au lieu de vous attacher au faits. Vous pourriez éviter de faire rigoler pas mal de gens.
Eric
ALBATOR
"Eric Razny" a écrit dans le message de news:
Que vous indiquiez simplement quelque chose comme "dans un environnement avec un nombre restreint d'intervenant -ce qui limite les nuisances- j'ai choisi un port non standard pour limiter les logs d'attaque par dictionnaire", c'est une chose.
je réponds précisément aux besoins de celui qui à posté son problème ici, je n'ai jamais prétendu que mon conseil pouvais faire face à du 0-day je l'ai d'ailleurs précisé mais nombre de pseudo spécialistes font tout le nécéssaire pour faire monter une mayonnaise que je n'ai aucune envie de suivre du fait du HS par rapport au post initial.
Je vous suggère de faire un minimum de recherche quand vous dénigrez votre interlocuteur, au lieu de vous attacher au faits. Vous pourriez éviter de faire rigoler pas mal de gens.
moi je vous suggère de bien assimiler les propos vous seriez amené à lire.
"Eric Razny" a écrit dans le message de news:
pan.2006.07.23.11.30.03.631801@razny.net...
Que vous indiquiez simplement quelque chose comme "dans un
environnement
avec un nombre restreint d'intervenant -ce qui limite les nuisances-
j'ai
choisi un port non standard pour limiter les logs d'attaque par
dictionnaire", c'est une chose.
je réponds précisément aux besoins de celui qui à posté son problème
ici, je n'ai jamais prétendu que mon conseil pouvais faire face à du
0-day je l'ai d'ailleurs précisé mais nombre de pseudo spécialistes font
tout le nécéssaire pour faire monter une mayonnaise que je n'ai aucune
envie de suivre du fait du HS par rapport au post initial.
Je vous suggère de faire un minimum de recherche quand vous dénigrez
votre interlocuteur, au lieu de vous attacher au faits. Vous pourriez
éviter de faire rigoler pas mal de gens.
moi je vous suggère de bien assimiler les propos vous seriez amené à
lire.
Que vous indiquiez simplement quelque chose comme "dans un environnement avec un nombre restreint d'intervenant -ce qui limite les nuisances- j'ai choisi un port non standard pour limiter les logs d'attaque par dictionnaire", c'est une chose.
je réponds précisément aux besoins de celui qui à posté son problème ici, je n'ai jamais prétendu que mon conseil pouvais faire face à du 0-day je l'ai d'ailleurs précisé mais nombre de pseudo spécialistes font tout le nécéssaire pour faire monter une mayonnaise que je n'ai aucune envie de suivre du fait du HS par rapport au post initial.
Je vous suggère de faire un minimum de recherche quand vous dénigrez votre interlocuteur, au lieu de vous attacher au faits. Vous pourriez éviter de faire rigoler pas mal de gens.
moi je vous suggère de bien assimiler les propos vous seriez amené à lire.
