Attaque sur mon ftp (pureFtpd)

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : Attaque sur mon ftp (pureFtpd)

senado

Bonjour,

J'ai une installation Ubuntu régulièrement mise à jour (Feisty).
J'ai installé dessus un pureftp. Quatre utilisateurs se connectent pour uploader des fichiers de temps en temps, dans le but de les sauvegarder chez moi. Application purement domestique et "amateur", une espèce de sauvegarde à distance quoi. J'utilise dyndns.org pour avoir une adresse facilement accessible.

Mon soucis, je trouve régulièrement ce genre de chose sur le log de mon pureftp :

Dec 27 08:18:44 senado pure-ftpd: (?@202.47.142.241) [WARNING] Authentication failed for user [andrew]
Dec 27 08:18:44 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 08:18:59 senado pure-ftpd: (?@202.47.142.241) [INFO] PAM_RHOST enabled. Getting the peer address
Dec 27 08:18:59 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:47:26 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:47:26 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:47:27 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:47:30 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:47:30 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:47:30 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:47:37 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:47:43 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:54:33 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:54:33 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:54:33 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:54:37 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:54:37 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:54:41 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:54:42 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:54:48 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:55:33 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:55:40 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 17:55:42 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 18:52:10 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 18:52:16 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 18:52:18 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 20:29:43 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 20:29:44 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 20:29:47 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 20:29:47 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 20:29:51 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 20:29:58 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 20:46:37 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de
Dec 27 20:47:37 senado pure-ftpd: (?@echo424.server4you.de) [INFO] New connection from echo424.server4you.de

j'ai écrit un mail à l'admin de server4you.de pour me plaindre. mais que faire d'autre ? Je stresse pas mal en voyant cela, les mots de passe sont normalement pas trop mauvais, mais à force de chercher...

Merci de votre aide !

Message édité par senado le 27-12-2007 à 21:10:37

---------------
Mon projet de coffret multimédia: http://maison2valerie.wordpress.co [...] hapitre-1/

Publicité

black_lord

Modérateur
Truth speaks from peacefulness

ça ne craint pas grand chose, mais tu n'étais pas obligé de flooder comme un goret.

---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me

senado

Je corrige ça; j'ai fait un copié collé sur le petit écran de mon portable et me suis pas rendu compte du nombre de lignes !

---------------
Mon projet de coffret multimédia: http://maison2valerie.wordpress.co [...] hapitre-1/

O'Gure

Modérateur
Multi grognon de B_L

A partir du moment où tu mets à disponibilité sur internet un service demandant une authentification faut pas s'étonner que certains tentent de s'y connecter [:spamafote]

C'est la dure loi d'internet.

1. mets en place une bonne politique de mots de passe.
2. regarde du coté de fail2ban
3. mets des restrictions au niveau netfilter/iptables pour restreindre le nombre de connections simultanées/par période à partir d'une même adresse IP.

http://jujuseb.com/dotclear/?2006/ [...] rute-force

En cas de tentative de brute force tu peux toujours tenter un mail à l'adresse "abuse" du domaine ou de l'adresse IP obtenu via un whois. Ca peut porter ces fruits mais ce n'est pas la recette miracle.

Message édité par O'Gure le 27-12-2007 à 21:30:29

---------------
Relax. Take a deep breath !

senado

Et changer le port d'écoute du serveur a t il un sens ?? Merci pour vos réponses en tout cas !

---------------
Mon projet de coffret multimédia: http://maison2valerie.wordpress.co [...] hapitre-1/

O'Gure

Modérateur
Multi grognon de B_L

Certains disent oui, moi non [:spamafote]

Je suis particulièrement contre la politique de "vivons cachés, vivons mieux".

Tu mets un service disponible depuis internet => tu le sécurises. Je t'ai donné les 3 mesures de bases.

Le changement de port c'est bien pour les scans automatiques qui ne regardent que le port 21. Mais qu'est ce qui va se passer lorsqu'un scanner va regarder sur ton port 2121 (ou autre) et va trouver l'invit FTP ?

La sécurité c'est de la gestion de risque. Si tu penses que mon cas au dessus ne risque pas d'arriver, fais le, sinon mets en place ce que je te dis. Et vu la facilité de mise en place de mes 3 mesures, même si tu changes de ports, ca ne te coute que unpeu de temps pour le mettre en place...

Message édité par O'Gure le 27-12-2007 à 21:40:11

---------------
Relax. Take a deep breath !

senado

J'ai installé et configuré fail2ban. Ca marche pour le ftp (je suis auto banni avec succès ), du coup je vais aussi traiter le cas ssh ! Merci beaucoup !

---------------
Mon projet de coffret multimédia: http://maison2valerie.wordpress.co [...] hapitre-1/

FORUM HardWare.fr

Linux et OS Alternatifs

Logiciels

Attaque sur mon ftp (pureFtpd)

Sujets relatifs
[Hack] Attaque de mots de passe par force brute	Iftop étrange chez free [trouvé : port 135, 445 etc attaqué]
attaque externe via internet ...	Pureftpd et tentatives de connections d'inconnus
Comment uploader sur pureftpd (linux)	[PureFTPd] Problème de confiuration du cryptage SSL/TSL
Gros fichier pureftpd	log bizar awstat phpbb...attaque ?
Relation entre PureFTPd / Kcm / Kpum	[PureFTPD] Problème avec le débit d'utilisateur
Plus de sujets relatifs à : Attaque sur mon ftp (pureFtpd)

Page générée en 0.080 secondes