[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Bloquer *.alshamil.net.ae



Shams Fantar wrote:
Bonsoir,

Je viens d'installer pure-ftpd sur un serveur, je vois que des adresses DNS tentent toutes les secondes/minutes (à peu près) de se connecter sur le serveur FTP, un peu de logs pour commencer :

May 7 13:53:22 snurf pure-ftpd: (?@dxb-as13364.alshamil.net.ae) [INFO] New connection from dxb-as13364.alshamil.net.ae May 7 13:53:22 snurf pure-ftpd: (?@dxb-as13364.alshamil.net.ae) [INFO] Logout. May 7 13:53:29 snurf pure-ftpd: (?@dxb-as13364.alshamil.net.ae) [INFO] New connection from dxb-as13364.alshamil.net.ae May 7 13:53:29 snurf pure-ftpd: (?@dxb-as13364.alshamil.net.ae) [INFO] Logout. May 7 13:53:31 snurf pure-ftpd: (?@dxb-as13364.alshamil.net.ae) [INFO] New connection from dxb-as13364.alshamil.net.ae May 7 13:53:31 snurf pure-ftpd: (?@dxb-as13364.alshamil.net.ae) [INFO] Logout. May 7 13:53:35 snurf pure-ftpd: (?@dxb-as13364.alshamil.net.ae) [INFO] New connection from dxb-as13364.alshamil.net.ae May 7 13:53:35 snurf pure-ftpd: (?@dxb-as13364.alshamil.net.ae) [INFO] Logout. May 7 13:53:37 snurf pure-ftpd: (?@dxb-as13364.alshamil.net.ae) [INFO] New connection from dxb-as13364.alshamil.net.ae

J'ai tenté un pure-ftpd : dxb-as13364.alshamil.net.ae dans /etc/hosts.deny, ça n'y change rien, j'ai utilisé une règle iptables sur l'ip de dxb-as13364.alshamil.net.ae, toujours pareil, ça ne change rien. Mais de toute manière, la partie 13364 de l'adresse change assez souvent, donc dur dur de bloquer !

Je pense donc qu'il faut bloquer *.alshamil.net.ae, mais je ne vois pas comment, est-ce faisable ?

bloque 217.165.128.0/18 (obtenu par whois, donc c'est juste une partie). tu peux chercher les blocs des emirats arabes et les bloquer:
   http://www.ipmaster.org/ranges.php?cc=AE
ou
   http://www.proxyserverprivacy.com/ipaddress_range.php
(cherche "United Arab Emirates")
... etc.

bien sur, si tu reçois des conexions legitimes de ce pays, ce n'est évidemment pas une solution!

Sinon, tu peux aussi contrer les attaques de dictionnaire avec iptables:
   http://www.debian-administration.org/articles/187
   http://mwolf.net/archive/iptables-against-ssh/
   http://www.linux.com/article.pl?sid=05/09/15/1655234

Ca parle de ssh, mais tu peux adapter à ftp.




Reply to: