OVH Community, votre nouvel espace communautaire.

Tentative de Hack sur mon FTP


sloomy
21/11/2014, 07h48
Bonjour,

Pas de chance

Cdlt

Genki
17/11/2014, 13h05
En faite j'aurai du commencer depuis le début :P

Je suis sous Windows 2008 R2, et non pas LInux

buddy
15/11/2014, 09h34
Si tu regardes tes logs SSH tu verras que chaque jour il y a des centaines de tentatives de connexion, la seule solution c'est fail2ban + un ban time élevé.

bbr
15/11/2014, 09h17
tu installes fail2ban tout simplement

Genki
14/11/2014, 20h55
Citation Envoyé par sloomy
Bonjour,

Blacklister l'ip soit via iptables, soit via votre serveur ftp.

Cdlt
Bonjour,

C'est déjà fait, j'ai blacklister toutes les IP et autorisé que certaines, mais bon, c'est contourner le problème pas le régler

sloomy
14/11/2014, 19h02
Bonjour,

Blacklister l'ip soit via iptables, soit via votre serveur ftp.

Cdlt

Genki
14/11/2014, 13h29
Bonjour,

Client SYS depuis Juillet, j'héberge un serveur de données ainsi que des sites web. Aujourd'hui, en me connectant à mon serveur, je me rend compte que sur mon client FTP subit plusieurs tentatives de connexions avec des identifiants qui n'existent pas dans mon FTP (mais qui ont un rapport avec l'un de mes sites).

Code:
(020601)14/11/2014 14:08:18 - (not logged in) (**.**.**.**)> Connected, sending welcome message...
(020601)14/11/2014 14:08:18 - (not logged in) (**.**.**.**)> 220-FileZilla Server version 0.9.45 beta
(020601)14/11/2014 14:08:18 - (not logged in) (**.**.**.**)> 220-written by Tim Kosse (tim.kosse@filezilla-project.org)
(020601)14/11/2014 14:08:18 - (not logged in) (**.**.**.**)> 220 Please visit http://sourceforge.net/projects/filezilla/
(020601)14/11/2014 14:08:18 - (not logged in) (**.**.**.**)> USER monsite
(020601)14/11/2014 14:08:18 - (not logged in) (**.**.**.**9)> 331 Password required for monsite
(020601)14/11/2014 14:08:18 - (not logged in) (**.**.**.**)> PASS *******
(020601)14/11/2014 14:08:18 - (not logged in) (**.**.**.**)> 530 Login or password incorrect!
(020602)14/11/2014 14:08:19 - (not logged in) (**.**.**.**)> Connected, sending welcome message...
(020602)14/11/2014 14:08:19 - (not logged in) (**.**.**.**)> 220-FileZilla Server version 0.9.45 beta
(020602)14/11/2014 14:08:19 - (not logged in) (**.**.**.**)> 220-written by Tim Kosse (tim.kosse@filezilla-project.org)
(020602)14/11/2014 14:08:19 - (not logged in) (**.**.**.**)> 220 Please visit http://sourceforge.net/projects/filezilla/
(020602)14/11/2014 14:08:19 - (not logged in) (**.**.**.**)> USER user@monsite.com
(020602)14/11/2014 14:08:19 - (not logged in) (**.**.**.**)> 331 Password required for user@monsite.com
(020602)14/11/2014 14:08:19 - (not logged in) (**.**.**.**)> PASS *****
(020602)14/11/2014 14:08:19 - (not logged in) (**.**.**.**)> 530 Login or password incorrect!
(020602)14/11/2014 14:08:20 - (not logged in) (**.**.**.**)> disconnected.

Et comme ça des dizaines, en vert, c'est l'identifiant de mon site, donc la personne qui tente de se connecter pense que l'identifiant et le même que le domaine de mon site web (tu peux toujours essayer coco)

J'ai masquer son IP, mais bon, elle ne pointe vers rien et ne ping même pas donc, y aurai pas grand chose à en tirer

Mais du coup j'ignore quoi faire, j'ai pour le moment déconnecter mon serveur. C'est visiblement un bot qui fait ça car l'IP change souvent, et c'est constant, ça test, ça foire, ça s'arrête 1 ou 2 minutes et ça reprend.

Que faire ?

Merci.