Hack FTP ?

Résolu
ekra Messages postés 1873 Statut Membre -  
 Berkcem -
Bonjour,

J'ai monté un petit serveur FTP pour pouvoir modifier quelques fichier sur mon PC à distance,

Seulement sur les logs on trouve :
15:20:13] - [5] Authentification Incorrecte : Utilisateur ORACLE [212.198.0.98]
[15:20:20] - [5] Authentification Incorrecte : Utilisateur ORACLE [212.198.0.98]
[15:20:42] - [5] Authentification Incorrecte : Utilisateur ORACLE [212.198.0.98]
Et il y a des MILLIERS des lignes de cette adresse IP.

Que faire SVP ?
Tentative de brute force ?

Merci !
--
Vive Linux, les vacances et les gauffres !

8 réponses

  1. Jean-François Pillou Messages postés 18961 Date d'inscription   Statut Webmaster Dernière intervention   63 308
     
    Ajoute un pare-feu en faisant un DENY sur cette adresse IP ou, si le serveur FTP le permet, mets cette adresse IP sur liste noire !

    Mais, plus important que tout, mets un mot de passe très compliqué (chiffres et caractères spéciaux) à l'utilisateur ORACLE, puisqu'a priori c'est celui qui est attaqué.
    1
  2. Jean-François Pillou Messages postés 18961 Date d'inscription   Statut Webmaster Dernière intervention   63 308
     
    Vérifie par la même occasion s'il n'existe pas une version plus récente de ton serveur FTP, il existe peut-être une faille que cette personne tente d'exploiter !
    0
  3. ekra Messages postés 1873 Statut Membre 342
     
    Ok merci beaucoup de ta réponse,

    Le plus étonnant est que je n'ai pas d'utilisateur "Oracle"... (je n'en ai qu'un moi-même), ni même ai installé cette BDD.

    Ok c'est donc bien une tentative de cracking, je vais bannir l'adresse.

    Merci :)
    -1
  4. Lyonnais92
     
    Bonsoir,

    Il ne s'agit pas d'Oracle (information obtenue à partir d'une référence recommandée par le site de l'AFNIC).

    inetnum: 212.198.0.0 - 212.198.3.255
    netname: NOOS-NETBLK
    descr: NOOS IP Point of Presence Infrastructure
    country: FR
    admin-c: LC220-RIPE
    tech-c: LC224-RIPE
    status: ASSIGNED PA
    mnt-by: AS6678-MNT
    mnt-lower: AS6678-MNT
    mnt-routes: AS6678-MNT
    source: RIPE # Filtered

    role: Lyonnaise Communications Administrative Role Account
    address: Lyonnaise Communications
    address: 20 place des vins de France
    address: 75 614 PARIS Cedex 12
    address: FRANCE
    e-mail: hostmaster@noos.net
    admin-c: DG2553-RIPE
    admin-c: OM28-RIPE
    tech-c: LC224-RIPE
    nic-hdl: LC220-RIPE
    mnt-by: AS6678-MNT
    source: RIPE # Filtered

    role: Lyonnaise Communications Technical Role Account
    address: Lyonnaise Communications
    address: 20 place des vins de France
    address: 75 614 PARIS Cedex 12
    address: FRANCE
    e-mail: hostmaster@noos.net
    admin-c: LC220-RIPE
    tech-c: OM28-RIPE
    nic-hdl: LC224-RIPE
    mnt-by: AS6678-MNT
    source: RIPE # Filtered

    % Information related to '212.198.0.0/17AS6678'

    route: 212.198.0.0/17
    descr: NOOS
    origin: AS6678
    mnt-by: AS6678-MNT
    source: RIPE # Filtered
    -1
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. ekra Messages postés 1873 Statut Membre 342
     
    Bonjour,

    Excuse-moi, mais que veux cette société de télécommunication ? De quoi se permet-elle ?
    -1
    1. Lyonnais92
       
      Bonjour,

      Je n'ai aucune idée de ce qui se passe.

      Je pencherai plutôt pour une utilisation abusive d'une de ses adresses IP.

      Il y a une adresse de courriel dans les données (hostmaster@noos.net).

      Bonne continuation.
      0
      1. ekra Messages postés 1873 Statut Membre 342 > Lyonnais92
         
        Merci !
        -1
    2. Jean-François Pillou Messages postés 18961 Date d'inscription   Statut Webmaster Dernière intervention   63 308
       
      Cela signifie tout simplement que le pirate opère à partir d un ordinateur connecté au FAI NOOS.

      Il peut s'agir soit du propriétaire de la connexion, soit d'un ordinateur dont un pirate à pris le contrôle.
      0
      1. ekra Messages postés 1873 Statut Membre 342 > Jean-François Pillou Messages postés 18961 Date d'inscription   Statut Webmaster Dernière intervention  
         
        Ok,
        Merci Jeff de ton suivi !

        J'ai envoyé un petit mail pour signaler le problème (en demandant si c'en été bien un d'abord) et de régler le problème si possible.

        Je vous le signalerai si retour du mail il y a.
        -1
  7. Nick
     
    Bonjour,
    Personnellement, j'ai 3560 tentatives de connexions non autorisées par jour avec GuildFTPd. Les adresses IP sont tellement différentes, ça me prendrais 3 jours pour les bannir. Les hackeurs mettent des virus dans mon server et installent un bypass de VNC (j'ai installé un VNC dessus). Ya tu une solution???
    0
    1. ...:::TH3 H4CK3R:::...
       
      Ouvre grand la porte de ton serveur mais met un petit cadeau a la porte... J'ai des amis qui ont fabriquer un virus qui est sender a ceux qui essaye de forcer la connection du serveur... Donc, quand le pirrate essaie de forcer la porte d'entrer, ils se prenne un petit Bug en pleine geule...



      --- La force contre la force ---
      0
      1. greg > ...:::TH3 H4CK3R:::...
         
        c'est pas très pertinent d'envoyer un virus à une machine qui ne sert probablement que de relai au pirate et doit déjà être infestée de pas mal de trojan, vers et virus...

        De toute façon c'est bien connu, les hackers utilisent linux...

        Le meilleur moyen d'empêcher le brute-force, c'est de bannir les gens automatiquement après un certain nombre de tentatives (3-5), le mieux étant de les obliger à attendre 1-5 minutes avant de pouvoire recommencer (ce qui diminue significativement les risques de brute-force
        0