Intrusions sur serveur FTP
Hors ligneMarculinos Le 09/02/2007 à 23:17 Profil de Marculinos Configuration de Marculinos

Viconaute Modérateur
Hello,

Une fois n'est pas coutume, j'ai une question à poser.

J'héberge sur mon PC un serveur FTP qui me permet, lorsque je suis hors de mon domicile d'accéder à certains fichiers.

Depuis quelques heures, je suis victime d'attaques qui essaient de passer à travers le contrôle d'accès.

Je voudrais savoir s'il y a moyen à partir de l'adresse IP de savoir qui est le malotru qui essaie de rentrer chez moi.

J'ai banni les adresses IP incriminées dans un premier temps, mais si j'arrivais à savoir qui en est à la source, il verrait de quel bois je me chauffe. Je suis pas du genre à me laisser hacker sans rien dire, ni rien faire.

EDIT : J'ai augmenté la sensibilité de la fonction anti-hammering afin de limiter la casse, mais cela ne change rien à ma requête.

@+
Hors ligneAnthony Le 10/02/2007 à 20:29 Profil de Anthony Configuration de Anthony

Admin
Coucou Marculinos

Y'a moyen de savoir si il s'agit d'un proxy tout d'abord (une recherche google sur l'adresse IP en question donne généralement des renseignements). Si tu n'as aucun résultat, il s'agit surement d'une ip dynamique et dans ce cas tu peux faire un tracert (au moment de l'attaque)  pour savoir dans quel coin ça se situe :)
--

Hors ligneMarculinos Le 10/02/2007 à 22:38 Profil de Marculinos Configuration de Marculinos

Viconaute Modérateur
Ok, merci Anthony.

Je n'ai plus qu'à attendre la prochaine attaque pour tester ça.

@+
Hors ligneMarculinos Le 27/03/2007 à 21:15 Profil de Marculinos Configuration de Marculinos

Viconaute Modérateur
Je viens de tracer une URL incriminé à l'aide du site http://www.espace2001.com/espace/outils/traceroute.php, mais je ne comprends rien au bilan. Si un connaisseur a quelques pistes...

1  ge-vl11.swr1.bzn.dedibox.fr (88.191.11.1)  0.640 ms  0.335 ms  0.306 ms
2  10ge-vl401-7-3.rt1.bzn.dedibox.fr (88.191.2.9)  0.315 ms *  0.297 ms
3  * * *
4  * bzn-crs16-1-be1500.intf.routers.proxad.net (212.27.50.161)  6.255 ms  1.277 ms
5  * * *
6  if-4-0.core2.PG1-Paris.teleglobe.net (80.231.73.1)  0.479 ms  0.524 ms *
7  * if-9-0.mcore4.NQT-NewYork.teleglobe.net (216.6.87.25)  76.953 ms *
8  if-4-0.mcore4.PDI-PaloAlto.teleglobe.net (216.6.86.13)  151.479 ms  151.471 ms  151.479 ms
     MPLS Label=45 CoS=0 TTL=1 S=1
9  if-5-0.core2.PDI-PaloAlto.teleglobe.net (216.6.86.6)  151.732 ms  151.808 ms  151.710 ms
     MPLS Label=18 CoS=0 TTL=1 S=1
10  if-5-0.core2.SQN-SanJose.Teleglobe.net (64.86.84.134)  153.698 ms  159.822 ms  152.561 ms
11  sanjose-bb0.iij.net (206.223.116.23)  152.779 ms  152.985 ms  152.902 ms
12  sjc002bb01.IIJ.net (216.98.96.241)  152.916 ms  152.730 ms  152.678 ms
13  * osk004bb01.IIJ.net (216.98.96.186)  253.125 ms  253.122 ms
14  osk004ipgw10.IIJ.Net (58.138.106.14)  253.228 ms * osk004ipgw11.IIJ.Net (58.138.106.22)  253.188 ms
15  osk004ip08.IIJ.Net (202.232.5.74)  253.508 ms * *
16  * 210.138.114.78 (210.138.114.78)  253.536 ms  253.438 ms
17  osnrt2b-osdrt2-10g.bb.sakura.ad.jp (210.224.182.138)  253.188 ms  253.134 ms  253.240 ms
18  osnrt2e-osnrt2b.bb.sakura.ad.jp (210.224.182.38)  253.434 ms  253.262 ms  253.333 ms
19  210.188.206.111 (210.188.206.111)  253.560 ms  253.246 ms  253.491 ms
Hors ligneUsualsuspect Le 27/03/2007 à 21:35 Profil de Usualsuspect Configuration de Usualsuspect

En condensation
Salut;

Je ne sais pas si ça peut t'intéresser ou si tu connais déjà, mais sur
ce site
tu peux au moins remonter jusqu'au FAI.
Bonne chasse
Hors ligneMarculinos Le 27/03/2007 à 21:40 Profil de Marculinos Configuration de Marculinos

Viconaute Modérateur
Je ne connaissais pas. Merci pour le lien, mais l'URL incriminée n'est plus valide. Il doit s'agir d'une adresse dynamique. Je n'ai plus qu'à attendre la suivante puisque celle-ci s'est automatiquement ajoutée à ma list d'URLs bannies.

@+
Hors ligneUsualsuspect Le 27/03/2007 à 22:47 Profil de Usualsuspect Configuration de Usualsuspect

En condensation
Certains IP du log que tu as posté sont traçables sur RIPE, le 1er, par exemple. (Jusqu'à un certain point). Tu peux te plaindre auprès du FAI qui, j'imagine, ne te répondra pas et en tout cas n'acceptera jamais de te donner des coordonnées sur l' "expéditeur". (Techniquement, il pourrait: il doit conserver ses propres logs, qui le lui permettent )
Mais donner ces informations à des privés, ça fait désordre...
Bah, laisse passer l'orage, ça fait malheureusement partie du Net.
A+
Hors ligneMarculinos Le 27/03/2007 à 23:08 Profil de Marculinos Configuration de Marculinos

Viconaute Modérateur
Merci de tes efforts. C'est sympa.

De toute façon, comme je l'ai indiqué précédemment, celui qui veut me hacker devra s'accrocher.
J'avais depuis un certain temps activé deux types de protection :

1) un kick + ban de l'IP incriminée au bout de 3 tentatives de connexion infructueuses.

2) un blocage anti-hammering d'une heure si 10 tentatives en 15 secondes.

Avec ça, je suis tranquille, même si les attaques se répètent.

@+
Hors ligneAriane16 Le 29/03/2007 à 04:23 Profil de Ariane16 Configuration de Ariane16

Bonjour/soir Marculinos,

Pour ce sujet, un bon petit site gratuit, mais en anglais.
Aller au mileu de la page et sur whois entrer le ip. Il semblerais que l'attaquant
est au japon...


www.dnsstuff.com  

Au plaisir,
Ariane16


édit de Tigène : les URL doivebt être complet avec http://  merci pour la prochaine fois
Hors ligneMarculinos Le 29/03/2007 à 19:32 Profil de Marculinos Configuration de Marculinos

Viconaute Modérateur
Hello,

Tigene > pour l'URL, je crois que c'est moi qui ai édité et mal renseigné. J'avais pas fait attention.

Sinon, j'ai encore eu une attaque. Cette fois-ci émanant de la ville de Plano au Texas.
Je crois que j'en ai pas fini avec ça. Rassurez-vous, je ne vais pas raconter chaque attaque.

Merci pour ton lien Ariane16

@+
Vous avez résolu votre problème avec VIC ? Faites-le savoir sur les réseaux sociaux !
Vulgarisation-informatique.com
Cours en informatique & tutoriels