Sujet Précédent Sujet Suivant

Tentative intrusion ftp windows server 2008 r2

Fermé
Jean - 2 sept. 2016 à 01:14
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 3 sept. 2016 à 14:00
Bonjour à tous,

Je suis débutant en administration windows server.

J'ai récemment mis en place un ftp pour mon usage personnel que je vais partager avec ma famille et amis (ils n'ont pour l'instant aucun accès).

Le serveur tourne depuis quelques jours en guise de test et je le configure quand j'ai quelques moments de libre via bureau distant.

J'ai remarqué ce soir qu'une session était active sur l'espace FTP que j'avais mis en place et selon les fichiers logs une même IP a tenté pendant plusieurs heures des couples de login/mot de passe différents (le fichier log fait plus 7Mo alors que d'habitude il fait quelques ko).
J'ai d'abord essayé de déco manuellement l'IP mais elle revenait systématiquement.
J'ai finit par mettre en place une "blackliste" en règle entrante dans le pare feu windows sur cette IP mais je me sens pas plus sécurisé (au cas ou cette personne utilisait un proxy ou autre).

Je me demande si ce type de tentative d'intrusion est monnaie courante et comment je peux faire pour mieux sécuriser mon ftp.

Merci.
A voir également:

4 réponses

Réponse 1 / 4
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 634
2 sept. 2016 à 08:33
Salut,

FTP est un protocole très attaque comme SSH, VNC, RDP Etc par des bruteforce.
Tu dois avoir plein de tentatives de connexion avec des mots de passe faibles.
0
Réponse 2 / 4
Jean
2 sept. 2016 à 12:25
Oui mais comment le pirate a trouvé mon adresse IP... Ce n'est certainement pas mon entourage du coup ça me rend un peu parano ^^

En tout cas le mot de passe est plutôt pas mal, donc de ce côté la je suis assez serein, mais bon c'est juste désagréable de savoir que quelqu'un a essayé de s'introduire sur mon serveur pendant des heures...
0
Réponse 3 / 4
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 634
3 sept. 2016 à 09:34
Le pirate n'a rien trouvé du tout.
Les IPs des serveurs sont connus.
Il scanne des plages d'IPs pour vérifier si des FTP tournent.

C'est un peu comme si gars un prenait rue par rue, chaque habitation pour vérifier si un carreau était cassé pour rentrer.
0
Réponse 4 / 4
Jean
3 sept. 2016 à 11:11
Wow c'est pas glop tout ça... J'hésite à utiliser autre chose du coup (le serveur est 100% récup dont la licence windows serv, mais par manque d'expérience j'ai peur de faire des boulettes niveau sécurité).

Donc si je comprends bien, ce que j'ai vécu est assez courant ou presque.

A part restreindre les ips entrantes à celles de mon entourage (ce qui va pas être simple pour ceux qui ont des IPs qui changent!), il y a d'autres choses à faire?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 634
Modifié par Malekal_morte- le 3/09/2016 à 11:13
bha autre chose, si c'est un autre service que FTP, il sera scanné.

A part restreindre les ips entrantes à celles de mon entourage (ce qui va pas être simple pour ceux qui ont des IPs qui changent!), il y a d'autres choses à faire?

C'est une solution.
Tu peux aussi mettre en place, un blocage sur un certains nombre de tentatives.

Maintenant, perso, je mets aucun filtre sur les services pour ce qui est des attaques bruteforces.
Une bonne gestion des mots de passe suffit.

Mettre à jour le logiciel FTP pour éviter les vulnérabilités et voila.
0
Jean
3 sept. 2016 à 12:05
Merci pour tes conseils.
Donc j'en conclue que si ma sécurité est bonne, il faut juste surveiller mais sans trop s'inquiéter ce type d'attaques?
Aucun impact sur la performance du serveur? J'imagine qu'une seule attaque n'est pas un problème mais plusieurs.... ce ne serait pas la même histoire.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 634 > Jean
3 sept. 2016 à 12:14
Pour les performances non, il en faudrait bcp.
Oui surveille, mets à jour, et des mots de passe forts.

Note que le filtrage par IP, ça peut aider dans le cas où tes amis se font voler les mots de passe afin de bloquer les connexions provenant de pirate hors ordinateurs de tes amis.
Si tu sais mettre en place, vas y.
0
Jean
Modifié par Jean le 3/09/2016 à 13:38
le problème du filtrage ip est pour ceux qui n'ont pas d'ips fixes... je ne sais pas si leur demander de passer par un service tiers (genre no ip) est une solution viable....
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 634 > Jean
Modifié par Malekal_morte- le 3/09/2016 à 14:00
nope ça devrait pas fonctionner, parce que le FW va prendre l'ip au moment où tu vas ajouter la règle et comme elle va changer x fois derrière...

Tu as le Port Knocking après, pour dissimuler le service FTP.
Changer le port par défaut, peut aussi limiter les attaques, au lieu de mettre sur 21, tu mets genre 26 ou un port > 1024.

Mais bon, si tu veux pas te prendre le chou, laisse comme ça et sur surveille.
0