Dénoncer IP suite à tentative de hack FTP

Bonjour,
Il me semble que tu dois à l'aide de ton adresse IP voir le centre a qui tu es relié et leur envoyer un mail.

Tu veux dire, contacter mon ou son FAI?

Enfaite je sais plus trop le quelle il faut contacter je crois que c'est le sien en a allant sur les site qui retrace et la ta une adresse mail pour contact je crois

Bon, je vais tenter sur le site de BT.

Salut,

En faisant un Whois de son adresse IP tu devrais trouver les coordonnées de son FAI.

Exemple :


Ensuite, rédiges un email a son FAI.
Mais bon, a mon avis, ça ne fera pas bouger grand chose...

frero ton oiseaux se trouve en inde et oui en inde tien va voire dessu

http://www.geoiptool.com/fr/?IP=202.144.155

tu parle, ca arrive tout le temps, c'est souvent meme des logiciels automatique qui font ca, qui scanne diverses adresses jusqu'a ce qu'ils tombent sur un FTP...
Ca m'arrive assez souvent avec mon FTP, mais de toute facon si tu ne te connecte pas en admin ou administrateur, ya pas de risques  

Perso, je les dénonce tous maintenant  
J'ai un tier des cas où le FAI me recontacte pour me dire qu'ils ont pris les mesures nécessaires ou qu'ils ont bien pris en compte mon message.

ah?
J'en eu le cas pas plus tard qu'hier encore, seulement quand j'ai fait un NSLOOKUP sur l'ip ca m'a dit que ca ne trouvait pas de nom de domaine.
Tu va sur quel site pour reperer l'hebergeur?

C'est souvent le cas, car il utilisent des adresse IP différente de jour en jour.
Mais, ils ne peuvent pas mentir sur leur FAI (si l'IP est la bonne !)
Si sur ton système tu n'as pas de whois : http://whois.domaintools.com/

En SSH, c'est pire qu'avec le FTP...

Et pour écrire c'est souvent abuse@FAI(attaquant)
Je crois même qu'il existe des outils abuse sous Linux, qui notifie en automatique chez abuse@...

Pour l'anecdote j'avais reçu un mail de mon FAI m'indiquant que mon IP avait été dénoncée comme initiatrice de "spam" !
Moi sous nunux, mon nunux à moi...(ça c'est ma réaction à la lecture...)

J'ai ouvert le fichier joint du plaignant...
Après analyse, il semblait que ce soit un PC du réseau du plaignant qui me spammait et non moi, et mon antispam, les bloquaient et notifiait le spammeur ! Comme le volume de spam venant d'eux était énorme, genre 30-40 mails/heure, et bien les notifications aussi !  

Depuis j'ai arrête de notifier les fausse@dom.com et mis en place le Greylisting !
On passe de 20mails/heure à 10-11mails/24heures !

ok je verrais ca, merci Lolotux  

J'utilise le site qu'a cité lolotux.
Pour les attaques, il faut donner l'IP de la personne et l'heure du début et de la fin de l'attaque.

Et tu n'as jamais eu de chinois ?
Parce que de mon côté, j'en ai souvent !

Du coup je me pose la question de carrément filtrer la chine (en quelque sorte !)

Mdr, raciste!    

Oui, je sais !

Mais faire monter le % du CPU à 10% juste avec le serveur web, scanné, scruté, testé par les IP chinoises entre 2h00-4h00 du matin !

jai une question commen peut ton entre dans un site

je vous explique avec ftp quan je doit metrre le password je peut plus ecrire donk svp

Moi, c'est surtout l'Inde qui doit représenter 70% des attaques  
Mais sinon, je vais probablement moi aussi en finir par le blocage pur et simple des connexions chinoises et indiennes...

Sinon un petit outil Linux (qui devrait trouver son équivalent sous Windows) :
fail2ban.
Après un certain nombre d'echec de login par une IP, pan !
http://www.sourceforge.net/projects/fail2ban

Sinon réellement un outil superbe : ossec hids
http://www.ossec.net/

Le seul problème était que certains utilisateur (j'ai une cinquantaine de comptes) plus doués que les autres, se loupaient dans leur login/mdp et recommençaient 5-6-7-8... fois.
Et paf ils étaient bannis !  

AU départ, j'avais prévu 5tentatives et 20secondes entre chaque tentative... j'ai banni la moitié des utilisateurs légitimes, j'ai du remonter à 20 le nombre de tentatives avant le BanIP

 

Des fois (tout le temps ?) y font ch... !  

Une règle simple mais stricte sur les mots de passe !
f = , alors +k.

Simple non ?

l'idéal serait 10 tentatives pour 20 secondes

svp komment pirater un site?
     

Tu achètes une barbe bleue ou rouge, un bandeau....
Bon ok !

Non, car il n'y a pas de contact direct entre ton ordinateur et cette personne, quelle qu'elle soit.

Je viens de lire un article sur l'augmentation des DDOS...
http://www.zdnet.fr/actualites/informatique/0,39040745,...

Je subis, quelques fois ce genre de tentative !

Perso, je n'ai encore jamais subi ce genre d'attaques... je dois être trop anonyme ^^

@lolo : , si je n'avai que ça à repousser au taf..., j'ai plutôt des chiffres de l'ordre de 800000 spam /heure en pointe avec un petite moyenne sur l'année dans les 100000 mails par heure (sachant que statistiquement, 80 à 95% des mails sont des spams...)
Le problème c'est qu'on a un système de forward pour certains utilisateurs (près de 20000 actuellement) et que le peu de spams qui passent représente tout de même un volume très important -> on est régulièrement blacklisté sur certains serveurs

sinon + 1 pour fail2ban, je l'utilise sur certains serveurs depuis quelques année (avec un peu de tuning pour virer les IP dynamiques de temps en temps), le principal intérêt que je trouve à ce soft c'est d'alléger mes logs  

@ALL : quand un service doit être accessible à toute la planète (enfin quand vous ne pouvez pas filtrer par IP source, même si ce n'est pas infaillible, loin de là, ça dégage 99,999% des scripts kiddies) :
-utilisez des clefs asymétriques plutôt que des password
-si les password sont nécessaires, mettez des login (j'ai bien dit login) un minimum alambiqués (Martin Dupond -> m.Dupond plutôt qu'un simple dupond ou qu'un martin)
-pour les password, moins de 8 caractères alphanumérique ça ne vaut RIEN, 8 caractères ou plus combinant MAJ/min/num ça commence à être correct, ajouter quelques caractères spéciaux (tant qu'à faire des caractères d'échappement ou des quotes, les brutes force n'aiment pas ça), par exemple infosdunet est un mauvais mot de passe, iNf0sduN3t est un mot de passe correct, 1f@uXdUn3t! est un bon mot de passe
-n'autorisez pas plus de 4 ou 5 échecs dans une période de 10min, au pire pour vos utilisateurs qui ont des moufles (et oui c'est l'hiver), prévoyez une interface web avec captcha qui envoi par mail (mail saisi lors de la création du compte) ce qu'il faut pour réinitialiser le password
-si vos utilisateurs on un bon niveau ou sont conscients des risques en terme de sécu, n'hésitez pas à utiliser du portknocking

quand à envoyez des abuses à chaque tentative de hack... c'est peine perdue si l'attaquant n'est pas dans votre zone législative (renvoyer des abuses aux pays d'Europe occidentale ok, en Amérique du nord ok, pour le reste de la planète ça ne sert à rien...ou au Pakistan à la limite)

Attention vous vous êtes fait flashé !  
Je ne parlais que de mon petit serveur mail, pour 30-50 bal !

De plus mon greylisting fonctionne parfaitement !
Et pour le port knocking certains utilisateurs trouvaient cela contraignant !

Oui, on ne parle pas de serveurs d'entreprise mais personnels, même si les deux sont assez proche...

si ma petite machine : PIII 1GHz : 384Mo, avait 100000 mails par heure, elle serait "out" tout le temps !  

ba pour les absorber, je n'ai en frontal "que" 4 serveurs (bon ok il s'agit de bi dual core xeon 3.6 avec 8go de ram), mais si on ramène ça au nb de bal, ça ne fait que quelques mails par heure
pour les petits serveurs que j'ai monté, c'est de l'ordre de quelques centaines à quelques milliers par jour soit le même ordre de grandeur que lolo

Y a même une époque, lorsque j'ai commencé à jeter un oeil à la sécu, où l'on devient presque parano....
Qu'est-ce qu'ils me veulent ?
Et si...

Bref un peu de recule, de sang froid, quelques outils...
Ossec-hids pour moi fût un tournant, au par avant j'avais essayé portsentry ou hostsentry, fail2ban, knocked et j'en oublie !
Plus les petits trucs du style limiter le nombre ACK/SYN par secondes, virer les TRACE|TRACK|CONNECT des requêtes HTTP, rediriger les vers un trou noir (http://www.addme.com/newsletters/issue222.htm), etc...