Le 22/06/2010 12:15, Jérémy Martin a écrit : > Depuis plusieurs mois, on a de plus en plus de cas de comptes FTP > (hébergement mutualisés) qui se font hack via une connexion tout à fait > normale (password ok, pas de brute force). Après analyse auprès de > quelques clients qu'on a pu contacter, il apparait que la cause est > toujours la même : un magnifique trojan (on a vu un peu tout ce qui > traine sur le net) qui logue le clavier, et qui renvoi le password FTP > de notre client vers le pirate. > > Alors, vu qu'on réfléchit à refaire notre infra depuis quelques > semaines, me vient une question qui peut paraitre bête. Comment se > protéger de connexion non autorisés de ce type en FTP ?
Pour notre part, on a constaté que la totalité de ces tentatives venait de pays exotiques ou nous n'avons pas de client. C'est un peu casse noix mais nous avons pris le parti de firewaller le FTP et d'ouvrir par AS (en récupérant les préfixes concernés avec un peval) Pour ceux que ca interesse, voila la liste d'AS que nous avons retenu et alimenté au fil du temps avec les remarques clients : AS174 AS286 AS702 AS1273 AS1836 AS1849 AS2119 AS2134 AS2200 AS2482 AS2486 AS2529 AS2856 AS3209 AS3215 AS3259 AS3269 AS3292 AS3320 AS3324 AS3344 AS3352 AS3955 AS4589 AS5378 AS5410 AS5432 AS5501 AS5511 AS5533 AS5560 AS5669 AS6461 AS6678 AS6713 AS6774 AS6805 AS6838 AS6848 AS8196 AS8218 AS8220 AS8228 AS8228 AS8272 AS8304 AS8311 AS8399 AS8426 AS8452 AS8527 AS8565 AS8677 AS8687 AS8784 AS8839 AS8864 AS8922 AS8928 AS8972 AS9003 AS9013 AS9029 AS9036 AS9057 AS9078 AS9153 AS9595 AS10806 AS12322 AS12392 AS12566 AS12626 AS12628 AS12641 AS12670 AS12670 AS12826 AS12844 AS12876 AS13035 AS13037 AS13128 AS13193 AS13237 AS13270 AS13273 AS15399 AS15404 AS15436 AS15522 AS15557 AS15569 AS15570 AS15600 AS15657 AS15830 AS16211 AS16276 AS20529 AS20563 AS20704 AS20760 AS21000 AS21449 AS21458 AS21498 AS21502 AS23889 AS24292 AS24632 AS24640 AS24653 AS24776 AS24798 AS24961 AS25049 AS25261 AS25273 AS25493 AS25562 AS28694 AS28877 AS29075 AS29152 AS29204 AS29322 AS29372 AS29608 AS30741 AS30781 AS30972 AS31103 AS31167 AS31178 AS31197 AS31216 AS31221 AS31414 AS31449 AS33779 AS34002 AS34006 AS34177 AS34308 AS34391 AS34453 AS34536 AS34861 AS34997 AS35189 AS35217 AS35244 AS35283 AS35393 AS35632 AS35655 AS35701 AS35716 AS35822 AS35830 AS36408 AS37054 AS38943 AS39196 AS39720 AS39771 AS39894 AS40999 AS41020 AS41514 AS41523 AS41526 AS41690 AS41886 AS42761 AS43150 AS43254 AS43424 AS44494 AS44944 AS47400 AS47427 AS47518 AS47612 AS48789 AS49430 AS47732 plus quelques classes IP qui n'ont pas l'objet route: qui va bien pour les lier a un AS : 196.192.40.0/24 81.200.176.0/20 193.248.0.0/14 193.252.0.0/15 194.2.0.0/16 194.51.0.0/18 194.3.0.0/16 194.206.0.0/16 194.51.128.0/17 194.51.64.0/18 194.250.0.0/16 195.6.0.0/16 195.25.0.0/16 195.101.0.0/16 62.160.0.0/16 212.234.0.0/16 62.161.0.0/16 213.56.0.0/16 217.108.0.0/15 217.128.0.0/16 217.167.0.0/16 80.8.0.0/13 81.48.0.0/13 81.80.0.0/16 81.248.0.0/13 82.120.0.0/13 83.112.0.0/14 83.192.0.0/12 86.192.0.0/10 90.0.0.0/9 92.128.0.0/10 195.20.198.0/23 92.61.163.0/24 83.112.0.0/16 173.161.144.145/32 41.190.237.0/24 --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
