Attaque sur mon ftp (pureFtpd)

Attaque sur mon ftp (pureFtpd) - Logiciels - Linux et OS Alternatifs

Marsh Posté le 27-12-2007 à 21:07:38    

Bonjour,
 
J'ai une installation Ubuntu régulièrement mise à jour (Feisty).
J'ai installé dessus un pureftp. Quatre utilisateurs se connectent pour uploader des fichiers de temps en temps, dans le but de les sauvegarder chez moi. Application purement domestique et "amateur", une espèce de sauvegarde à distance quoi. J'utilise dyndns.org pour avoir une adresse facilement accessible.
 
Mon soucis, je trouve régulièrement ce genre de chose sur le log de mon pureftp :
 
Dec 27 08:18:44 senado pure-ftpd: (?@202.47.142.241) [WARNING] Authentication failed for user [andrew]
Dec 27 08:18:44 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 08:18:59 senado pure-ftpd: (?@202.47.142.241) [INFO] PAM_RHOST enabled. Getting the peer address
Dec 27 08:18:59 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:47:26 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:47:26 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:47:27 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:47:30 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:47:30 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:47:30 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:47:37 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:47:43 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:54:33 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:54:33 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:54:33 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:54:37 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:54:37 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:54:41 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:54:42 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:54:48 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:55:33 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:55:40 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:55:42 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 18:52:10 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 18:52:16 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 18:52:18 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 20:29:43 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 20:29:44 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 20:29:47 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 20:29:47 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 20:29:51 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 20:29:58 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 20:46:37 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 20:47:37 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
 
j'ai écrit un mail à l'admin de server4you.de pour me plaindre. mais que faire d'autre ? Je stresse pas mal en voyant cela, les mots de passe sont normalement pas trop mauvais, mais à force de chercher...
 
Merci de votre aide !


Message édité par senado le 27-12-2007 à 21:10:37

---------------
Mon projet de coffret multimédia: http://maison2valerie.wordpress.co [...] hapitre-1/
Reply

Marsh Posté le 27-12-2007 à 21:07:38   

Reply

Marsh Posté le 27-12-2007 à 21:08:54    

ça ne craint pas grand chose, mais tu n'étais pas obligé de flooder comme un goret.


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
Reply

Marsh Posté le 27-12-2007 à 21:10:04    

Je corrige ça; j'ai fait un copié collé sur le petit écran de mon portable et me suis pas rendu compte du nombre de lignes ! :)


---------------
Mon projet de coffret multimédia: http://maison2valerie.wordpress.co [...] hapitre-1/
Reply

Marsh Posté le 27-12-2007 à 21:27:24    

A partir du moment où tu mets à disponibilité sur internet un service demandant une authentification faut pas s'étonner que certains tentent de s'y connecter [:spamafote]

 

C'est la dure loi d'internet.

 

1. mets en place une bonne politique de mots de passe.
2. regarde du coté de fail2ban
3. mets des restrictions au niveau netfilter/iptables pour restreindre le nombre de connections simultanées/par période à partir d'une même adresse IP.

 

http://jujuseb.com/dotclear/?2006/ [...] rute-force

 

En cas de tentative de brute force tu peux toujours tenter un mail à l'adresse "abuse" du domaine ou de l'adresse IP obtenu via un whois. Ca peut porter ces fruits mais ce n'est pas la recette miracle.


Message édité par o'gure le 27-12-2007 à 21:30:29

---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 27-12-2007 à 21:31:07    

Et changer le port d'écoute du serveur a t il un sens ?? Merci pour vos réponses en tout cas !


---------------
Mon projet de coffret multimédia: http://maison2valerie.wordpress.co [...] hapitre-1/
Reply

Marsh Posté le 27-12-2007 à 21:38:51    

Certains disent oui, moi non [:spamafote]

 

Je suis particulièrement contre la politique de "vivons cachés, vivons mieux".

 

Tu mets un service disponible depuis internet => tu le sécurises. Je t'ai donné les 3 mesures de bases.

 

Le changement de port c'est bien pour les scans automatiques qui ne regardent que le port 21. Mais qu'est ce qui va se passer lorsqu'un scanner va regarder sur ton port 2121 (ou autre) et va trouver l'invit FTP ?

 

La sécurité c'est de la gestion de risque. Si tu penses que mon cas au dessus ne risque pas d'arriver, fais le, sinon mets en place ce que je te dis. Et vu la facilité de mise en place de mes 3 mesures, même si tu changes de ports, ca ne te coute que unpeu de temps pour le mettre en place...


Message édité par o'gure le 27-12-2007 à 21:40:11

---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 27-12-2007 à 22:39:47    

J'ai installé et configuré fail2ban. Ca marche pour le ftp (je suis auto banni avec succès :) ), du coup je vais aussi traiter le cas ssh ! Merci beaucoup !


---------------
Mon projet de coffret multimédia: http://maison2valerie.wordpress.co [...] hapitre-1/
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed