Re: tentative Force Brute sur mon ftp
Le Fri, 20 Mar 2009 20:27:11 +0100
Pierre <pierre@hourdebaigt.net> a écrit:
> Bonjour à tous,
>
> Il y a quelques jours, j'ai installé un serveur FTP (proftpd).
> Depuis, pratiquement chaque jour, je fais l'objet de 1 ou 2 attaques de
> type brute force (Chine, Allemagne, US - si j'en crois les IP affichées
> dans les logs proftpd), qui jusqu'à maintenant n'ont heureusement pas
> abouti.
> Pour le moment, je me suis contenté d'ajouter une chaîne iptables pour
> dropper les ip concernés, mais bon, je ne vais pas passer mon temps à
> trier les logs (aujourd'hui plus de 120000 lignes...) pour rajouter des
> filtres à la main.
> Donc, j'ai regardé la doc de proftpd (rapidement), je n'ai pas vu la
> possibilité de "bruler" une adresse ip.
iptables -A INPUT -p tcp --dport 21 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 21 -m state --state NEW -m recent --update --seconds 90 --hitcount 10 -j DROP
> J'amagine que l'idéal serait d'utiliser un produit capable de détecter
> un trop grand nombre d'essais infructueux et de bloquer les adresses en
> question, mais je ne sais trop dans quelle direction chercher (Snort?)
>
Voilà.
> Merci d'avance pour vos idées, suggestions et conseils.
>
François Boisson
> Ah encore une question (Peut-on considérer que les adresses utilisées
> pour m'attaquer (211.90.25.230, 69.94.8.15, 212.40.162.11) sont de vrais
> adresses, ou bien des adresses usurpées ?
>
>
De Novembre à Janvier, j'ai subi chaque jour des milliers d'attaque ssh à partir d'un
botnet de 2000 machines en gros, attaques corrélées avec essai de logins par
ordre alphabétique (le nombre total se chiffre en centaine de milliers). Les IPs sont
bloquées après 3 essais prendant quelques minutes mais chaque machine ne faisait
qu'un ou deux essais. J'avais fait de manière automatique un message au abuse des IPs
concernées. Il y a eu en gros 1à2% de retour, à chaque fois des machines compromises.
Reply to: