Re: tentative Force Brute sur mon ftp

To: debian-user-french@lists.debian.org
Subject: Re: tentative Force Brute sur mon ftp
From: Jérémy Verda <spam@v-jeremy.net>
Date: Fri, 20 Mar 2009 20:49:32 +0100
Message-id: <[🔎] 49C3F34C.2050805@v-jeremy.net>
In-reply-to: <[🔎] 49C3EE0F.60104@hourdebaigt.net>
References: <[🔎] 49C3EE0F.60104@hourdebaigt.net>

Bonsoir,

Il me semble que Fail2ban te permet de bloquer des ip tentant trop
d'essais infructueux :

Voilà ce que je lis comme description dans mon gestionnaire de paquet :

"bans IPs that cause multiple authentication errors

Monitors log files (e.g. /var/log/auth.log,
 /var/log/apache/access.log) and temporarily or persistently bans
failure-prone addresses by updating existing firewall rules. The
software was completely rewritten at version 0.7.0 and now allows
easy specification of different actions to be taken such as to ban an
IP using iptables or hostsdeny rules, or simply to send a
notification email. Currently, by default, supports ssh/apache/vsftpd
but configuration can be easily extended for monitoring any other ASCII
file. All filters and actions are given in the config files, thus
fail2ban can be adopted to be used with a variety of files and
firewalls."

Cordialement,

Jérémy

Pierre a écrit :
> Bonjour à tous,
> 
> Il y a quelques jours,  j'ai installé un serveur FTP (proftpd).
> Depuis, pratiquement chaque jour, je fais l'objet de 1 ou 2 attaques de
> type brute force (Chine, Allemagne, US - si j'en crois les IP affichées
> dans les logs proftpd), qui jusqu'à maintenant n'ont heureusement pas
> abouti.
> Pour le moment, je me suis contenté d'ajouter une chaîne iptables pour
> dropper les ip concernés, mais bon, je ne vais pas passer mon temps à
> trier les logs (aujourd'hui plus de 120000 lignes...) pour rajouter des
> filtres à la main.
> Donc, j'ai regardé la doc de proftpd (rapidement), je n'ai pas vu la
> possibilité de "bruler" une adresse ip.
> J'amagine que l'idéal serait d'utiliser un produit capable de détecter
> un trop grand nombre d'essais infructueux et de bloquer les adresses en
> question, mais je ne sais trop dans quelle direction chercher (Snort?)
> 
> Merci d'avance pour vos idées, suggestions et conseils.
> 
> Ah encore une question (Peut-on considérer que les adresses utilisées
> pour m'attaquer (211.90.25.230, 69.94.8.15, 212.40.162.11) sont de vrais
> adresses, ou bien des adresses usurpées ?
> 
> 
> 

-- 

Blog : http://blog.v-jeremy.net

begin:vcard
fn;quoted-printable:J=C3=A9r=C3=A9my Verda
n;quoted-printable:Verda;J=C3=A9r=C3=A9my
email;internet:spam@v-jeremy.net
x-mozilla-html:FALSE
url:http://blog.v-jeremy.net
version:2.1
end:vcard

Reply to:

References:
- tentative Force Brute sur mon ftp
  - From: Pierre <pierre@hourdebaigt.net>

Prev by Date: tentative Force Brute sur mon ftp
Next by Date: Re: des outils qui changent la vie
Previous by thread: tentative Force Brute sur mon ftp
Next by thread: Re: tentative Force Brute sur mon ftp
Index(es):
- Date
- Thread