victime d'attaque par force brute - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 18-03-2008 à 22:00:35
1. A partir du moment ou tu mets des services de type FTP, ssh, telnet... (bref tout ce qui demande une authentification pour accéder au service), il faut s'attendre à ce genre de probleme.
2. Les solutions qui fonctionne bien :
- bonne gestion des mots de passe
- mise en place sur ton firewall d'un blacklist automatique pendant quelques minutes pour toute adresse IP établissant en moins d'une minute un nombre trop important de connexion TCP.
3. T'entends quoi par adresse physique ? l'adresse postale, l'adresse MAC, l'adresse IP ?
- adresse postable : non, le mieux qu'il pourrait avoir c'est une localisation via le FQDN de ton adresse IP
- adresse MAC : non
- adresse IP : ben si il tente un brute force sur un service, c'est qu'il l'a
Marsh Posté le 18-03-2008 à 22:23:38
je veux dire adresse MAC quand je dis adresse physique, tu dis que celle ci ne pose aucun probleme apres formatage, mais je pensais qu'il etait possible de retrouver un ordi sur le reseau (il me semble que c'est en recherchant l'adresse mac que les flics retrouvent des ordis volés)
c'est pour ca que je m'inquiète un peu
je pense que c'est seulement un petit mouchard qui renvoi mon IP regulierement!
merci o'gure pour ta reponse rapide
Marsh Posté le 18-03-2008 à 22:25:05
si tu veux comprendre ce qu'il peut bien se passer et comment t'en prémunir, voici un peu de lecture:
http://www.authsecu.com/scanner-po [...] cp-udp.php
Marsh Posté le 18-03-2008 à 23:18:27
L'adresse mac est normalement unique pour tous périphérique réseau, mais on se trouve sur le couche 2 du modèle OSI, cette adresse n'est pas routable... elle ne sort donc pas de ton réseau local.
Et même si il la recuperait, ce qui est facile quand on à un accès à la machine en tant qu'administrateur... ca ne sert pas à grand chose, sachan t qu'on peu changer d'adresse mac par simple ligne de commande...
Marsh Posté le 19-03-2008 à 01:28:38
nicos74 a écrit : Bonsoir, |
C'est courant les tentatives d'authentification en brute force. Il a réussi à trouver des identifiants ? Ton serveur FTP n'est pas apte à blacklister les IP après un nbre définis de tentative de login ?
Marsh Posté le 19-03-2008 à 09:26:01
nicos74 a écrit : je veux dire adresse MAC quand je dis adresse physique, tu dis que celle ci ne pose aucun probleme apres formatage, mais je pensais qu'il etait possible de retrouver un ordi sur le reseau (il me semble que c'est en recherchant l'adresse mac que les flics retrouvent des ordis volés) |
Je n'ai jamais parlé de formatage
L'adresse MAC est renseigné SUR la carte réseau. Un formatage, réinstallation d'OS, etc... ne la changera pas. On peut la changer mais c'est une autre histoire.
l'adresse MAC joue un role sur ethernet, couche OSI 2 (si ca te parle). Dès que ton trafic passe par un routeur, l'adresse MAC que tu (ton PC) a mis dans tes trames ethernet change pour prendre l'adresse MAC du routeur (et ainsi de suite sur le réseau (tant qu'on est sur ethernet). Donc aucune chance, en IPv4 pour qu'il trouve ton adresse MAC... et quand bien même, qu'est ce que cela peut faire ?
Marsh Posté le 19-03-2008 à 18:27:06
C’ est OK, je vais pas vous ennuyez plus longtemps avec mon histoire de hacking, je formaterai plus tôt que prevu, le principal pour moi était de savoir si il pouvait repérer mon adresse MAC sur le reseau.
Merci pour vos reponses
Marsh Posté le 19-03-2008 à 21:06:03
Juste comme ca, qu'est ce qui te fait si peur que ca qu'il connaisse ton adresse MAC ?
J'ai l'impression que tu fais une belle montagne pour pas grand chose...
1. si il est sur internet, ton adresse mac... il l'a verra jamais.
2. si il est sur ton LAN, ton adresse mac, y a rien de compliqué pour la choper. Après niveau "attaque", il en existe, principalement pour récupérer du trafic mais à ton niveau, tu ne peux pas y faire grand chose... d'ailleurs sur un LAN,sans adresse mac, t'iras pas loin... et si le gars se met à réaliser ce genre de chose, c'est que tu as des données/accès/... hyper vital...
=> démystifie un peu la sécurité, les pirates, et les adresses mac...
Marsh Posté le 20-03-2008 à 01:39:42
nicos74 a écrit : C’ est OK, je vais pas vous ennuyez plus longtemps avec mon histoire de hacking, je formaterai plus tôt que prevu, le principal pour moi était de savoir si il pouvait repérer mon adresse MAC sur le reseau. |
Pourquoi formater ?
Marsh Posté le 20-03-2008 à 09:45:06
Je sais pas si ton ftp est sous linux mais contre les brute force il existe un programme bien sympa qui s'appelle "fail2ban" et qui configure automatiquement ton firewall iptables en cas d'attaque.
Un peu de lecture: http://www.khayspace.info/index.ph [...] -securite/
Le site officiel: http://www.fail2ban.org/
Bon courage
Marsh Posté le 20-03-2008 à 11:31:01
y a un topic dans la cat OSA sur fail2ban
sinon la match -m recent fonctionne également très bien
Marsh Posté le 20-03-2008 à 21:11:35
j’ai installé un petit serveur ftp que j’utilise en reseau lan et dernierement j’ai mapper le port 21 pour qu’un ami vienne se connecter, peu de temps apres avoir ouvert le port j’ai constaté que la bande passante était anormalement exploitée, c’est en ouvrant le log du serveur que j’ai vu l’attaque par force brute, j’ai donc redremarré ma livebox pour voir si en changeant d’IP le mec me retrouverait, environ 4 à 5 heures plus tard il m’avait bel et bien retrouvé.
Sur le coup j’étais étonné, mais comme j’avais l’intention de formater je me suis autorisé des telechargements un peu plus douteux (pas de peer to peer) et c’est là que je pense avoir chopé un spyware qui revoie regulierement mon IP
J’ai aussi suspecté l’utilisation d’un sniffer pour recuperer mon adresse mac mais vos avis sont unanimes, ce n’est pas possible !
En imaginant que cela était faisable, je savais bien que formater n’aurait servi à rien, il m’aurait retrouvé tout de suite,
Je n’ai pas été tres clair, mais il s’agissait seulement de vous demandez si un pirate pouvait sniffer mon adresse mac
Actuellement je démystifie le PHP, ensuite je m’interesserai à la securité (injection, force brute…), j’ai eu mon premier ordi (windows) il y a environ 4 ans et internet depuis 3 ans donc il me faut encore du temps pour apprendre tout ca.
Voila
Marsh Posté le 22-03-2008 à 18:01:39
Je vais te faire gagner du temps, ne fais pas de php.
Si tu veux faire du script fait du python, faut vivre avec son temps
Marsh Posté le 18-03-2008 à 21:40:51
Bonsoir,
Voila, j’ai decouvert il y a de ca 3 jours que j’étais victime d’une attaque de type « force brute » sur mon serveur ftp.
J’ai l’intention de formater mon PC d’ici peu mais finalement je crois que je vais devoir faire ca plus tot que prevu, mais j’aurais voulu savoir si un pirate peut récupérer l’adresse physique sur un ordinateur distant ?
Si quelqu’un pouvait m’eclairer à ce sujet, ca m’arrangerais bien
Merci d’avance