Dénoncer IP suite à tentative de hack FTP
Dernière réponse : dans Connexions réseau et internet
Bonjour et merci de lire cette page.
Désolé pour le titre, j'ai pas pu faire plus court
Bon, je pense le titre assez explicite: j'ai chopé une personne qui essayait de hacker mon FTP (en essayant de se loguer avec le compte "administrateur" qui évidemment n'existait pas mais en essayant toute une suite de mots de passe). Comme le nombre de tentative était limité à 20 avant le ban-auto, il n'a pas pu aller plus loin.
Son adresse IP est 202.144.155.*, après un tracert, j'ai pu déterminer qu'il était hébergé chez British Telecom.
Où le dénoncer?
Désolé pour le titre, j'ai pas pu faire plus court
Bon, je pense le titre assez explicite: j'ai chopé une personne qui essayait de hacker mon FTP (en essayant de se loguer avec le compte "administrateur" qui évidemment n'existait pas mais en essayant toute une suite de mots de passe). Comme le nombre de tentative était limité à 20 avant le ban-auto, il n'a pas pu aller plus loin.
Son adresse IP est 202.144.155.*, après un tracert, j'ai pu déterminer qu'il était hébergé chez British Telecom.
Où le dénoncer?
Spoiler
Je ne me fais pas d'illusions, mais j'espère qu'ils lui enverront au moins un mail pour qu'il comprenne qu'aucune connerie que l'on fait sur internet n'est anonyme
Autres pages sur : denoncer suite tentative hack ftp
Lassé par la pub ? Créez un compte
Salut,
En faisant un Whois de son adresse IP tu devrais trouver les coordonnées de son FAI.
Exemple :
address: Club Internet - T-Online France
address: 11 rue de Cambrai
address: 75019 Paris
address: France
phone: +33 1 55 45 45 00
e-mail: ripe [at] clubint [dot] net
Ensuite, rédiges un email a son FAI.
Mais bon, a mon avis, ça ne fera pas bouger grand chose...
En faisant un Whois de son adresse IP tu devrais trouver les coordonnées de son FAI.
Exemple :
Citation :
role: Network Operation Centre T-ONLINE FRANCEaddress: Club Internet - T-Online France
address: 11 rue de Cambrai
address: 75019 Paris
address: France
phone: +33 1 55 45 45 00
e-mail: ripe [at] clubint [dot] net
Ensuite, rédiges un email a son FAI.
Mais bon, a mon avis, ça ne fera pas bouger grand chose...
frero ton oiseaux se trouve en inde et oui en inde tien va voire dessu
http://www.geoiptool.com/fr/?IP=202.144.155
http://www.geoiptool.com/fr/?IP=202.144.155
titelune69 a dit :
ah?J'en eu le cas pas plus tard qu'hier encore, seulement quand j'ai fait un NSLOOKUP sur l'ip ca m'a dit que ca ne trouvait pas de nom de domaine.
Tu va sur quel site pour reperer l'hebergeur?
C'est souvent le cas, car il utilisent des adresse IP différente de jour en jour.
Mais, ils ne peuvent pas mentir sur leur FAI (si l'IP est la bonne !)
Si sur ton système tu n'as pas de whois : http://whois.domaintools.com/
En SSH, c'est pire qu'avec le FTP...
Archange_nain a dit :
Perso, je les dénonce tous maintenant
J'ai un tier des cas où le FAI me recontacte pour me dire qu'ils ont pris les mesures nécessaires ou qu'ils ont bien pris en compte mon message.
Pour l'anecdote j'avais reçu un mail de mon FAI m'indiquant que mon IP avait été dénoncée comme initiatrice de "spam" !
Moi sous nunux, mon nunux à moi...(ça c'est ma réaction à la lecture...)
J'ai ouvert le fichier joint du plaignant...
Après analyse, il semblait que ce soit un PC du réseau du plaignant qui me spammait et non moi, et mon antispam, les bloquaient et notifiait le spammeur ! Comme le volume de spam venant d'eux était énorme, genre 30-40 mails/heure, et bien les notifications aussi !
Depuis j'ai arrête de notifier les fausse@dom.com et mis en place le Greylisting !
On passe de 20mails/heure à 10-11mails/24heures !
Archange_nain a dit :
J'utilise le site qu'a cité lolotux.Pour les attaques, il faut donner l'IP de la personne et l'heure du début et de la fin de l'attaque.
Et tu n'as jamais eu de chinois ?
Parce que de mon côté, j'en ai souvent !
Du coup je me pose la question de carrément filtrer la chine (en quelque sorte !)
lolotux a dit :
Et tu n'as jamais eu de chinois ?Parce que de mon côté, j'en ai souvent !
Du coup je me pose la question de carrément filtrer la chine (en quelque sorte !)
Moi, c'est surtout l'Inde qui doit représenter 70% des attaques
Mais sinon, je vais probablement moi aussi en finir par le blocage pur et simple des connexions chinoises et indiennes...
Sinon un petit outil Linux (qui devrait trouver son équivalent sous Windows) :
fail2ban.
Après un certain nombre d'echec de login par une IP, pan !
http://www.sourceforge.net/projects/fail2ban
fail2ban.
Après un certain nombre d'echec de login par une IP, pan !
http://www.sourceforge.net/projects/fail2ban
Je viens de lire un article sur l'augmentation des DDOS...
http://www.zdnet.fr/actualites/informatique/0,39040745,...
Je subis, quelques fois ce genre de tentative !
http://www.zdnet.fr/actualites/informatique/0,39040745,...
Je subis, quelques fois ce genre de tentative !
@lolo : , si je n'avai que ça à repousser au taf..., j'ai plutôt des chiffres de l'ordre de 800000 spam /heure en pointe avec un petite moyenne sur l'année dans les 100000 mails par heure (sachant que statistiquement, 80 à 95% des mails sont des spams...)
Le problème c'est qu'on a un système de forward pour certains utilisateurs (près de 20000 actuellement) et que le peu de spams qui passent représente tout de même un volume très important -> on est régulièrement blacklisté sur certains serveurs
sinon + 1 pour fail2ban, je l'utilise sur certains serveurs depuis quelques année (avec un peu de tuning pour virer les IP dynamiques de temps en temps), le principal intérêt que je trouve à ce soft c'est d'alléger mes logs
@ALL : quand un service doit être accessible à toute la planète (enfin quand vous ne pouvez pas filtrer par IP source, même si ce n'est pas infaillible, loin de là, ça dégage 99,999% des scripts kiddies) :
-utilisez des clefs asymétriques plutôt que des password
-si les password sont nécessaires, mettez des login (j'ai bien dit login) un minimum alambiqués (Martin Dupond -> m.Dupond plutôt qu'un simple dupond ou qu'un martin)
-pour les password, moins de 8 caractères alphanumérique ça ne vaut RIEN, 8 caractères ou plus combinant MAJ/min/num ça commence à être correct, ajouter quelques caractères spéciaux (tant qu'à faire des caractères d'échappement ou des quotes, les brutes force n'aiment pas ça), par exemple infosdunet est un mauvais mot de passe, iNf0sduN3t est un mot de passe correct, 1f@uXdUn3t! est un bon mot de passe
-n'autorisez pas plus de 4 ou 5 échecs dans une période de 10min, au pire pour vos utilisateurs qui ont des moufles (et oui c'est l'hiver), prévoyez une interface web avec captcha qui envoi par mail (mail saisi lors de la création du compte) ce qu'il faut pour réinitialiser le password
-si vos utilisateurs on un bon niveau ou sont conscients des risques en terme de sécu, n'hésitez pas à utiliser du portknocking
quand à envoyez des abuses à chaque tentative de hack... c'est peine perdue si l'attaquant n'est pas dans votre zone législative (renvoyer des abuses aux pays d'Europe occidentale ok, en Amérique du nord ok, pour le reste de la planète ça ne sert à rien...ou au Pakistan à la limite)
Citation :
Comme le volume de spam venant d'eux était énorme, genre 30-40 mails/heureLe problème c'est qu'on a un système de forward pour certains utilisateurs (près de 20000 actuellement) et que le peu de spams qui passent représente tout de même un volume très important -> on est régulièrement blacklisté sur certains serveurs
sinon + 1 pour fail2ban, je l'utilise sur certains serveurs depuis quelques année (avec un peu de tuning pour virer les IP dynamiques de temps en temps), le principal intérêt que je trouve à ce soft c'est d'alléger mes logs
@ALL : quand un service doit être accessible à toute la planète (enfin quand vous ne pouvez pas filtrer par IP source, même si ce n'est pas infaillible, loin de là, ça dégage 99,999% des scripts kiddies) :
-utilisez des clefs asymétriques plutôt que des password
-si les password sont nécessaires, mettez des login (j'ai bien dit login) un minimum alambiqués (Martin Dupond -> m.Dupond plutôt qu'un simple dupond ou qu'un martin)
-pour les password, moins de 8 caractères alphanumérique ça ne vaut RIEN, 8 caractères ou plus combinant MAJ/min/num ça commence à être correct, ajouter quelques caractères spéciaux (tant qu'à faire des caractères d'échappement ou des quotes, les brutes force n'aiment pas ça), par exemple infosdunet est un mauvais mot de passe, iNf0sduN3t est un mot de passe correct, 1f@uXdUn3t! est un bon mot de passe
-n'autorisez pas plus de 4 ou 5 échecs dans une période de 10min, au pire pour vos utilisateurs qui ont des moufles (et oui c'est l'hiver), prévoyez une interface web avec captcha qui envoi par mail (mail saisi lors de la création du compte) ce qu'il faut pour réinitialiser le password
-si vos utilisateurs on un bon niveau ou sont conscients des risques en terme de sécu, n'hésitez pas à utiliser du portknocking
quand à envoyez des abuses à chaque tentative de hack... c'est peine perdue si l'attaquant n'est pas dans votre zone législative (renvoyer des abuses aux pays d'Europe occidentale ok, en Amérique du nord ok, pour le reste de la planète ça ne sert à rien...ou au Pakistan à la limite)
maith a dit :
si je n'avai que ça à repousser au taf..., j'ai plutôt des chiffres de l'ordre de 800000 spam /heure en pointe avec un petite moyenne sur l'année dans les 100000 mails par heureAttention vous vous êtes fait flashé !
Je ne parlais que de mon petit serveur mail, pour 30-50 bal !
De plus mon greylisting fonctionne parfaitement !
Et pour le port knocking certains utilisateurs trouvaient cela contraignant !
ba pour les absorber, je n'ai en frontal "que" 4 serveurs (bon ok il s'agit de bi dual core xeon 3.6 avec 8go de ram), mais si on ramène ça au nb de bal, ça ne fait que quelques mails par heure
pour les petits serveurs que j'ai monté, c'est de l'ordre de quelques centaines à quelques milliers par jour soit le même ordre de grandeur que lolo
pour les petits serveurs que j'ai monté, c'est de l'ordre de quelques centaines à quelques milliers par jour soit le même ordre de grandeur que lolo
Y a même une époque, lorsque j'ai commencé à jeter un oeil à la sécu, où l'on devient presque parano....
Qu'est-ce qu'ils me veulent ?
Et si...
Bref un peu de recule, de sang froid, quelques outils...
Ossec-hids pour moi fût un tournant, au par avant j'avais essayé portsentry ou hostsentry, fail2ban, knocked et j'en oublie !
Plus les petits trucs du style limiter le nombre ACK/SYN par secondes, virer les TRACE|TRACK|CONNECT des requêtes HTTP, rediriger les vers un trou noir (http://www.addme.com/newsletters/issue222.htm), etc...
Qu'est-ce qu'ils me veulent ?
Et si...
Bref un peu de recule, de sang froid, quelques outils...
Ossec-hids pour moi fût un tournant, au par avant j'avais essayé portsentry ou hostsentry, fail2ban, knocked et j'en oublie !
Plus les petits trucs du style limiter le nombre ACK/SYN par secondes, virer les TRACE|TRACK|CONNECT des requêtes HTTP, rediriger les vers un trou noir (http://www.addme.com/newsletters/issue222.htm), etc...
Lassé par la pub ? Créez un compte
- Contenus similaires :
Tags :
, alors
+k.