Bourriks Posté(e) le 9 juin 2009 Partager Posté(e) le 9 juin 2009 Salut à tous. Je prends 5 minutes pour vous parler d'un truc qui m'intrigue un peu. Sur mon serveur FTP que j'ai monté au boulot, et qui tourne depuis plus d'un an, je vois régulièrement dans les logs des tentatives de connexion de la part d'un inconnu qui essaye plusieurs logins différents, dont 'administrateur'. Pas de souci, il n'y a pas de compte adminitrateur, ni les quelques autres qu'il tente, et le serveur (filezilla server) bannit automatiquement cette ip au bout de 5 échecs (ce qui ne prend pas longtemps). Voulant être plus curieux, j'ai créé un compte 'administrateur' sur le serveur, partageant un dossier vide, et le compte n'a qu'un droit de listage des dossiers, même pas de lecture. J'ai constaté encore une tentative il y a une heure, l'utilisateur arrive à se connecter sur le compte 'administrateur' et met un mot de passe (alors que 'administrateur' n'en a pas besoin). et une fois la connexion établie, j'ai une commande RMD sarcaxxo qui est envoyée. Ca essaye donc d'effacer un dossier précis. 'ai vu que cette commande a été envoyée une quinzaine de fois en l'espace de trois minutes. Ca ressemble donc à l'action d'un bot lpus que d'un utilisateur humain. L'IP relevée aujourd'hui est 220.180.15.5. Je la pingue, mais n'arrive pas à la tracerouter sous dos. Je me suis documenté un peu, on dirait que ca vient de la Corée et que ce serait un ver qui effectuerait cette action, d'autres administrateurs de serveurs FTP ont constaté la même chose, mais pourquoi essayé d'effacer aveuglément un dossir au nom bizarre ? Je ne comprends pas. La 220.180.15.5, je l'ai souvent constatée en un an, mais ca varie parfois. C'est quand me^me la 220.180.15.5 que j'ai mémorisée personnellement. Avez-vous plus d'informations sur ce sujet ? Merci. Voici un extrait du log (002724) 09/06/2009 13:18:35 - (not logged in) (220.180.15.5)> 331 Password required for administrateur (002724) 09/06/2009 13:18:35 - (not logged in) (220.180.15.5)> USER Administrateur (002724) 09/06/2009 13:18:35 - (not logged in) (220.180.15.5)> 331 Password required for administrateur (002724) 09/06/2009 13:18:35 - (not logged in) (220.180.15.5)> PASS ***** (002724) 09/06/2009 13:18:35 - administrateur (220.180.15.5)> 230 Logged on (002724) 09/06/2009 13:18:36 - administrateur (220.180.15.5)> PASS ***** (002724) 09/06/2009 13:18:36 - administrateur (220.180.15.5)> 503 Bad sequence of commands. (002724) 09/06/2009 13:18:36 - administrateur (220.180.15.5)> PASS ***** (002724) 09/06/2009 13:18:36 - administrateur (220.180.15.5)> 503 Bad sequence of commands. (002724) 09/06/2009 13:18:36 - administrateur (220.180.15.5)> RMD sarcaxxo (002724) 09/06/2009 13:18:36 - administrateur (220.180.15.5)> 550 Permission denied (002724) 09/06/2009 13:18:36 - administrateur (220.180.15.5)> disconnected. (002725) 09/06/2009 13:18:36 - (not logged in) (220.180.15.5)> Connected, sending welcome message... (002725) 09/06/2009 13:18:37 - (not logged in) (220.180.15.5)> USER Administrateur (002725) 09/06/2009 13:18:37 - (not logged in) (220.180.15.5)> 331 Password required for administrateur (002725) 09/06/2009 13:18:37 - (not logged in) (220.180.15.5)> USER Administrateur (002725) 09/06/2009 13:18:37 - (not logged in) (220.180.15.5)> 331 Password required for administrateur (002725) 09/06/2009 13:18:37 - (not logged in) (220.180.15.5)> USER Administrateur (002725) 09/06/2009 13:18:37 - (not logged in) (220.180.15.5)> 331 Password required for administrateur (002725) 09/06/2009 13:18:38 - (not logged in) (220.180.15.5)> PASS ***** (002725) 09/06/2009 13:18:38 - administrateur (220.180.15.5)> 230 Logged on (002725) 09/06/2009 13:18:38 - administrateur (220.180.15.5)> PASS ***** (002725) 09/06/2009 13:18:38 - administrateur (220.180.15.5)> 503 Bad sequence of commands. (002725) 09/06/2009 13:18:38 - administrateur (220.180.15.5)> PASS ***** (002725) 09/06/2009 13:18:38 - administrateur (220.180.15.5)> 503 Bad sequence of commands. (002725) 09/06/2009 13:18:39 - administrateur (220.180.15.5)> RMD sarcaxxo (002725) 09/06/2009 13:18:39 - administrateur (220.180.15.5)> 550 Permission denied (002725) 09/06/2009 13:18:39 - administrateur (220.180.15.5)> disconnected. (002726) 09/06/2009 13:18:39 - (not logged in) (220.180.15.5)> Connected, sending welcome message... (002726) 09/06/2009 13:18:39 - (not logged in) (220.180.15.5)> USER Administrateur (002726) 09/06/2009 13:18:39 - (not logged in) (220.180.15.5)> 331 Password required for administrateur (002726) 09/06/2009 13:18:40 - (not logged in) (220.180.15.5)> USER Administrateur (002726) 09/06/2009 13:18:40 - (not logged in) (220.180.15.5)> 331 Password required for administrateur (002726) 09/06/2009 13:18:40 - (not logged in) (220.180.15.5)> PASS ***** (002726) 09/06/2009 13:18:40 - administrateur (220.180.15.5)> 230 Logged on (002726) 09/06/2009 13:18:41 - administrateur (220.180.15.5)> PASS ***** (002726) 09/06/2009 13:18:41 - administrateur (220.180.15.5)> 503 Bad sequence of commands. (002726) 09/06/2009 13:18:41 - administrateur (220.180.15.5)> RMD sarcaxxo (002726) 09/06/2009 13:18:41 - administrateur (220.180.15.5)> 550 Permission denied (002726) 09/06/2009 13:18:41 - administrateur (220.180.15.5)> disconnected. (...) (002786) 09/06/2009 13:21:05 - (not logged in) (220.180.15.5)> Connected, sending welcome message... (002786) 09/06/2009 13:21:06 - (not logged in) (220.180.15.5)> USER Administrateur (002786) 09/06/2009 13:21:06 - (not logged in) (220.180.15.5)> 331 Password required for administrateur (002786) 09/06/2009 13:21:06 - (not logged in) (220.180.15.5)> USER Administrateur (002786) 09/06/2009 13:21:06 - (not logged in) (220.180.15.5)> 331 Password required for administrateur (002786) 09/06/2009 13:21:06 - (not logged in) (220.180.15.5)> USER Administrateur (002786) 09/06/2009 13:21:06 - (not logged in) (220.180.15.5)> 331 Password required for administrateur (002786) 09/06/2009 13:21:07 - (not logged in) (220.180.15.5)> PASS ***** (002786) 09/06/2009 13:21:07 - administrateur (220.180.15.5)> 230 Logged on (002786) 09/06/2009 13:21:07 - administrateur (220.180.15.5)> PASS ***** (002786) 09/06/2009 13:21:07 - administrateur (220.180.15.5)> 503 Bad sequence of commands. (002786) 09/06/2009 13:21:07 - administrateur (220.180.15.5)> PASS ***** (002786) 09/06/2009 13:21:07 - administrateur (220.180.15.5)> 503 Bad sequence of commands. (002786) 09/06/2009 13:21:07 - administrateur (220.180.15.5)> disconnected. (002787) 09/06/2009 13:21:08 - (not logged in) (220.180.15.5)> Connected, sending welcome message... (002787) 09/06/2009 13:21:08 - (not logged in) (220.180.15.5)> USER Administrateur (002787) 09/06/2009 13:21:08 - (not logged in) (220.180.15.5)> 331 Password required for administrateur (002787) 09/06/2009 13:21:09 - (not logged in) (220.180.15.5)> USER Administrateur (002787) 09/06/2009 13:21:09 - (not logged in) (220.180.15.5)> 331 Password required for administrateur (002787) 09/06/2009 13:21:09 - (not logged in) (220.180.15.5)> USER Administrateur (002787) 09/06/2009 13:21:09 - (not logged in) (220.180.15.5)> 331 Password required for administrateur (002787) 09/06/2009 13:21:09 - (not logged in) (220.180.15.5)> PASS ***** (002787) 09/06/2009 13:21:09 - administrateur (220.180.15.5)> 230 Logged on (002787) 09/06/2009 13:21:10 - administrateur (220.180.15.5)> PASS ***** (002787) 09/06/2009 13:21:10 - administrateur (220.180.15.5)> 503 Bad sequence of commands. (002787) 09/06/2009 13:21:10 - administrateur (220.180.15.5)> PASS ***** (002787) 09/06/2009 13:21:10 - administrateur (220.180.15.5)> 503 Bad sequence of commands. (002787) 09/06/2009 13:21:10 - administrateur (220.180.15.5)> RMD sarcaxxo (002787) 09/06/2009 13:21:10 - administrateur (220.180.15.5)> 550 Permission denied (002787) 09/06/2009 13:21:10 - administrateur (220.180.15.5)> disconnected. (002788) 09/06/2009 13:21:10 - (not logged in) (220.180.15.5)> Connected, sending welcome message... (002788) 09/06/2009 13:21:11 - (not logged in) (220.180.15.5)> USER Administrateur (002788) 09/06/2009 13:21:11 - (not logged in) (220.180.15.5)> 331 Password required for administrateur (002788) 09/06/2009 13:21:11 - (not logged in) (220.180.15.5)> USER Administrateur (002788) 09/06/2009 13:21:11 - (not logged in) (220.180.15.5)> 331 Password required for administrateur (002788) 09/06/2009 13:21:11 - (not logged in) (220.180.15.5)> USER Administrateur (002788) 09/06/2009 13:21:11 - (not logged in) (220.180.15.5)> 331 Password required for administrateur (002788) 09/06/2009 13:21:12 - (not logged in) (220.180.15.5)> PASS ***** (002788) 09/06/2009 13:21:12 - administrateur (220.180.15.5)> 230 Logged on (002788) 09/06/2009 13:21:12 - administrateur (220.180.15.5)> PASS ***** (002788) 09/06/2009 13:21:12 - administrateur (220.180.15.5)> 503 Bad sequence of commands. (002788) 09/06/2009 13:21:12 - administrateur (220.180.15.5)> PASS ***** (002788) 09/06/2009 13:21:12 - administrateur (220.180.15.5)> 503 Bad sequence of commands. (002788) 09/06/2009 13:21:12 - administrateur (220.180.15.5)> RMD sarcaxxo (002788) 09/06/2009 13:21:12 - administrateur (220.180.15.5)> 550 Permission denied (002788) 09/06/2009 13:21:12 - administrateur (220.180.15.5)> disconnected. (002789) 09/06/2009 13:21:13 - (not logged in) (220.180.15.5)> Connected, sending welcome message... (002789) 09/06/2009 13:21:13 - (not logged in) (220.180.15.5)> USER Administrateur (002789) 09/06/2009 13:21:13 - (not logged in) (220.180.15.5)> 331 Password required for administrateur (002789) 09/06/2009 13:21:14 - (not logged in) (220.180.15.5)> PASS ***** (002789) 09/06/2009 13:21:14 - administrateur (220.180.15.5)> 230 Logged on (002789) 09/06/2009 13:21:14 - administrateur (220.180.15.5)> RMD sarcaxxo (002789) 09/06/2009 13:21:14 - administrateur (220.180.15.5)> 550 Permission denied (002789) 09/06/2009 13:21:14 - administrateur (220.180.15.5)> QUIT (002789) 09/06/2009 13:21:14 - administrateur (220.180.15.5)> 221 Goodbye (002789) 09/06/2009 13:21:14 - administrateur (220.180.15.5)> disconnected. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mephisto Posté(e) le 9 juin 2009 Partager Posté(e) le 9 juin 2009 pour le trip, un "firewall manuel" #!/bin/sh cat /var/log/auth.log | grep -i "illegal" | awk -F "from" '{ print $2 }' | awk '{ print $1 }' | sort -u >/var/log/blacklist.log cat /var/log/auth.log | grep -i "invalid" | awk -F "from" '{ print $2 }' | awk '{ print $1 }' | sort -u >>/var/log/blacklist.log cat /var/log/auth.log | grep -i "failed" | awk -F "from" '{ print $2 }' | awk '{ print $1 }' | sort -u >>/var/log/blacklist.log for i in `cat /var/log/blacklist.log`; do nerr1=`cat /var/log/auth.log | grep -i "illegal" | grep $i | wc -l` nerr2=`cat /var/log/auth.log | grep -i "invalid" | grep $i | wc -l` nerr3=`cat /var/log/auth.log | grep -i "failed" | grep $i | wc -l` let nerr=$nerr1+$nerr2+$nerr3 if [ "$nerr" -ge "3" ] then if [ "`echo $i | grep 82.227.154.233`" = "" ] then if [ "`cat /etc/hosts | grep $i`" = "" ] then if [ "`cat /etc/hosts.deny | grep $i`" = "" ] then echo "ALL : $i # matched on `date`" >>/etc/hosts.deny fi fi fi fi done bon, à la relecture, on pourrait simplifier les premières commandes (c'est assez porc comme méthode) quoi que, le plus porc là-dedans, c'est quand même le lancement du script (cron) toutes les 5 minutes mais pour le principe, c'est adaptable à ton cas pour la ptite histoire, avec ce script, je bash +/- 200 ip par mois et si c'est toujours la même IP qui t'attaque, c'est que tu ne l'as pas bloqué. Le jour où elle ne pourra plus accéder à l'identification, une autre prendra le relais Lien vers le commentaire Partager sur d’autres sites More sharing options...
Bourriks Posté(e) le 9 juin 2009 Auteur Partager Posté(e) le 9 juin 2009 C'est pas toujours la même IP, mais c'est celle que j'ai relevée le plus souvent. Je l'avauis déja bloquée, mais je l'ai ensuite débloquée et ouvert une porte pour voir ce qu'il voulait faire, et j'ai eu ma réponse : la commande RMD sarcaxxo. Bon, j'avoue que je ne saurais même pas comment rentrer ton script dans mon serveur, mais c'est pas vraiment la peine, filezilla server a une fonction autoban que j'utilise en temps normal. Bon, avec une localisation d'IP, j'ai ca Adresse IP : 220.180.15.5 Pays : China (CN) Région : Anhui Ville : Hefei Latitude : 31.86 Longitude : 117.28 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Serom Posté(e) le 9 juin 2009 Partager Posté(e) le 9 juin 2009 C'est un espece de bot qui fait un brute force attaque tout simplement. C'est un programme écrit par Inode, qui utilise un dictionnaire des plus complet. C'est un scanner de FTP en gros. Tu met ca en place et tu es sur d'avoir 30 ou 40 FTP dans l'heure (entre les FTP sans mot de passe, avec mot de passe root à la con etc ...). Le meilleur moyen de bloquer ca c'est d'utiliser des ACL de type CBAC ou un IDS Lien vers le commentaire Partager sur d’autres sites More sharing options...
Krapace Posté(e) le 9 juin 2009 Partager Posté(e) le 9 juin 2009 Dans ce cas précis le bot ne veut que supprimer un répertoire... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Bourriks Posté(e) le 9 juin 2009 Auteur Partager Posté(e) le 9 juin 2009 Ouais, rien de méchant en somme... bon ben merci pour les renseignements Lien vers le commentaire Partager sur d’autres sites More sharing options...
theocrite Posté(e) le 9 juin 2009 Partager Posté(e) le 9 juin 2009 Installe fail2ban Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 13 juin 2009 Partager Posté(e) le 13 juin 2009 Installe fail2ban Mmmh sous Windows pas facile Lien vers le commentaire Partager sur d’autres sites More sharing options...
Serom Posté(e) le 14 juin 2009 Partager Posté(e) le 14 juin 2009 Non mais pour ce type d'attaque il y a pas 36 solutions, c'est IDS ou CBAC Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.