tentative Force Brute sur mon ftp
Bonjour à tous,
Il y a quelques jours, j'ai installé un serveur FTP (proftpd).
Depuis, pratiquement chaque jour, je fais l'objet de 1 ou 2 attaques de
type brute force (Chine, Allemagne, US - si j'en crois les IP affichées
dans les logs proftpd), qui jusqu'à maintenant n'ont heureusement pas
abouti.
Pour le moment, je me suis contenté d'ajouter une chaîne iptables pour
dropper les ip concernés, mais bon, je ne vais pas passer mon temps à
trier les logs (aujourd'hui plus de 120000 lignes...) pour rajouter des
filtres à la main.
Donc, j'ai regardé la doc de proftpd (rapidement), je n'ai pas vu la
possibilité de "bruler" une adresse ip.
J'amagine que l'idéal serait d'utiliser un produit capable de détecter
un trop grand nombre d'essais infructueux et de bloquer les adresses en
question, mais je ne sais trop dans quelle direction chercher (Snort?)
Merci d'avance pour vos idées, suggestions et conseils.
Ah encore une question (Peut-on considérer que les adresses utilisées
pour m'attaquer (211.90.25.230, 69.94.8.15, 212.40.162.11) sont de vrais
adresses, ou bien des adresses usurpées ?
Reply to: