Bloquage IP malveillantes
Sat86
Messages postés
139
Statut
Membre
-
Sat86 Messages postés 139 Statut Membre -
Sat86 Messages postés 139 Statut Membre -
Bonjour,
Je vous expose mon problème.
J'ai un serveur FTP sur Ubuntu 8.10 qui vient d'être attaqué par quelqu'un en Asie. Grâce à Wireshark, j'ai pu obtenir son IP que j'ai localisé ( https://tools.whois.net/default.aspx ) en Asie. J'ai suivi pendant 4 heures son petit manège.
Il interrogeait mon serveur afin de se connecter avec le login "administrator" et en essayant tout les mot de passe du plus courant au moins improbable. J'ai donc appelé mon service technique Orange pour leur signaler cette IP et leur demander de la bloquer.... Cela semble être une attaque par force brute
Encore une fois, pas surpris de la réponse d'Orange qui m'a tout de même fait sortir de gonds. Je cite :
"C'est 50 euros l'intervention....", "je n'ai jamais entendu parler de 'pirates' ou 'hackers'", "la livebox ne permet pas de bloquer des connexions",puis après lui voir demander de l'aide concernant la page >sécurité>personnalisation du parefeu, le service m'a répondu "il n"y a pas de mode d'emploi de la Livebox"!!!
Je précise que j'ai migré vers une offre internet Pro et que j'appelle le 3901.... Je paye 50euros par mois au lieu de 33 pour une offre particulier. En payant plus, je me dis : Le service technique sera compétent...
Enfin bref c'était mon coup de gueule...
J'aimerais savoir si quelqu'un sait comment configurer cette page sur une mini-Thomson ou a une astuce pour bloquer les adresses IP par pays.
J'avais pensé par Firestarter mais j'aimerais bloqué ces personnnes a la racine du réseau.
J'ai 8 postes derrière un routeur Linksys WRT150N, lui même connecté à la livebox.
Je vous remercie par avance. Si je trouve je vous tiens au courant.
Je vous expose mon problème.
J'ai un serveur FTP sur Ubuntu 8.10 qui vient d'être attaqué par quelqu'un en Asie. Grâce à Wireshark, j'ai pu obtenir son IP que j'ai localisé ( https://tools.whois.net/default.aspx ) en Asie. J'ai suivi pendant 4 heures son petit manège.
Il interrogeait mon serveur afin de se connecter avec le login "administrator" et en essayant tout les mot de passe du plus courant au moins improbable. J'ai donc appelé mon service technique Orange pour leur signaler cette IP et leur demander de la bloquer.... Cela semble être une attaque par force brute
Encore une fois, pas surpris de la réponse d'Orange qui m'a tout de même fait sortir de gonds. Je cite :
"C'est 50 euros l'intervention....", "je n'ai jamais entendu parler de 'pirates' ou 'hackers'", "la livebox ne permet pas de bloquer des connexions",puis après lui voir demander de l'aide concernant la page >sécurité>personnalisation du parefeu, le service m'a répondu "il n"y a pas de mode d'emploi de la Livebox"!!!
Je précise que j'ai migré vers une offre internet Pro et que j'appelle le 3901.... Je paye 50euros par mois au lieu de 33 pour une offre particulier. En payant plus, je me dis : Le service technique sera compétent...
Enfin bref c'était mon coup de gueule...
J'aimerais savoir si quelqu'un sait comment configurer cette page sur une mini-Thomson ou a une astuce pour bloquer les adresses IP par pays.
J'avais pensé par Firestarter mais j'aimerais bloqué ces personnnes a la racine du réseau.
J'ai 8 postes derrière un routeur Linksys WRT150N, lui même connecté à la livebox.
Je vous remercie par avance. Si je trouve je vous tiens au courant.
A voir également:
- Bloquage IP malveillantes
- Ethernet n'a pas de configuration ip valide - Guide
- Télévision ip - Guide
- Comment connaître son adresse ip - Guide
- Ip local - Guide
- Adresse ip - Guide
5 réponses
Bonjour,
Je ne suis pas spécialiste, ce ne sont donc que des suggestion:
- Un script qui bloque le compte un certain temps éventuellement croissant chaque fois qu'il y a une erreur de mot de passe
- Sous réserve que chaque tentative initie une nouvelle connexion FTP, faire du firewall avancé genre iptables ou peut-être avec un IpCop et créer une règle sur le même principe: si X nouvelles connexion sur le 21 en Y secondes alors bloquer.
- Sous réserve que les utilisateurs de ton FTP soient toujours les même, faire un genre de block all MAC adresses sauf celles que tu connais. Une adresse MAC ça se change, faut-il encore connaitre celles de tes users pour pouvoir les spoofer.
Les adresses IP n'étant pas attribuées par pays, il faudrait avoir un moyen de checker la provenance de chaque adresse comme tu l'as fait et ça je ne sais pas si c'est possible automatiquement. De plus, ça n'élimine pas le problème des proxy qui faussent la donne. C'est sans doute qu'un petit malin en Asie, mais ça pourrait très bien être un Européen ou un Américain qui utilise un proxy là bas.
Je ne suis pas spécialiste, ce ne sont donc que des suggestion:
- Un script qui bloque le compte un certain temps éventuellement croissant chaque fois qu'il y a une erreur de mot de passe
- Sous réserve que chaque tentative initie une nouvelle connexion FTP, faire du firewall avancé genre iptables ou peut-être avec un IpCop et créer une règle sur le même principe: si X nouvelles connexion sur le 21 en Y secondes alors bloquer.
- Sous réserve que les utilisateurs de ton FTP soient toujours les même, faire un genre de block all MAC adresses sauf celles que tu connais. Une adresse MAC ça se change, faut-il encore connaitre celles de tes users pour pouvoir les spoofer.
Les adresses IP n'étant pas attribuées par pays, il faudrait avoir un moyen de checker la provenance de chaque adresse comme tu l'as fait et ça je ne sais pas si c'est possible automatiquement. De plus, ça n'élimine pas le problème des proxy qui faussent la donne. C'est sans doute qu'un petit malin en Asie, mais ça pourrait très bien être un Européen ou un Américain qui utilise un proxy là bas.
Merci de votre réponse rapide. J'avais bien pensé à les bloquer en cas de tentative de log incistante mais j'aurais préféré les bloquer dès la box. Je vais me pencher sur le réglage de PROFTPD.
Vous n'êtes pas spécialiste? Pas loin, avouez....
Vous n'êtes pas spécialiste? Pas loin, avouez....
Je serais peut-être spécialiste lorsque je serai sûr de mes réponses! Allez j'retoure à ma configuration de VPN tant que j'ai encore des cheveux à m'arracher...
Bonne soirée et bonne bidouille.
Bonne soirée et bonne bidouille.
Merci à vous aussi. La soirée va être longue....
PS: pour les cheveux, moi j'achète des perruques.... Ca fait moins mal!!!!
http://gadmintools.flippedweb.com/index.php?option=com_content&task=view&id=59&Itemid=41
PS: pour les cheveux, moi j'achète des perruques.... Ca fait moins mal!!!!
http://gadmintools.flippedweb.com/index.php?option=com_content&task=view&id=59&Itemid=41
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
J'ai trouvé la solution... Après avoir installé Fail2Ban (qui s'est avérer inefficace), je me suis décidé à changer de routeur.... Oui, j'avoue, c'est pas très économique.... J'ai opté pour un Cisco WRVS4400N... Il inclut un pare feu intégré efficace, protection IPS, prise en charge de VPN IPSec, 1000Gb/s avec possibilité de créer des réseaux virtuels(Je pense, pas sûr), Wifi N avec possiblité de créer 4 points d'accès différents avec contrôle selectif par adresse MAC... Mais, étant donné que c'est un produit professionnel, l'interface est en anglais.... Mais le noyau est un Linux donc ça peut peut-être s'arranger.... Une fonction qui m'a l'air d'être sympa, c'est l'anti-spam mais il faut payer : une option pour les professionnels.
