[FRnOG] Re: [FRnOG] Re: [FRnOG] Comment vous protégez vous ?
[snip] Citez moi un serveur SFTP qui est capable de : - faire des soft quota - trouver ses uid/gid/login/pass/clef publique depuis une db ou un annuaire ldap - qui soit évidement opensource et portable ailleurs que sur du linux... [/snip] proFTPd avec mod_sftphttp://www.castaglia.org/proftpd/modules/mod_sftp.htmlet mod_sql (pour la base des users). Il est compatible avec la gestion des quotas. Par contre je ne sais pas pour le stockage de la clé publique dans la db. -- Jérémie Pogeant
[FRnOG] Re: [FRnOG] Comment vous protégez vous ?
Nina Popravkanina.popra...@gmail.com a écrit : Pas de brute force, très certainement un keylogger, et très vraisemblablement rentré par une faille d' _acrobat reader_ Rémi Bouhl a ecrit: Hem. Et pourquoi pas Flash tant qu'on y est? C'est pas comme si les produits de Adobe étaient connus pour être de vraies passoires.. En fait il y a eu bien des trous récemment dans Acrobat Reader et Flash. http://www.adobe.com/support/security/advisories/apsa10-01.html Gros troll velu C'est Apple qui se cache derrière les virus, pour prouver leur point qu'il ne faut pas utiliser Flash :P /Gros troll velu Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Comment vous protégez vous ?
Le 23/06/10, Gregory Agerbag...@agerba.net a écrit : Jérémy Martin wrote: Et vous, rencontrez vous la même problématique ? Avez vous trouvé des solutions ? En ce qui concerne le mandat d’hébergeur, à mon avis il s’arrête à fournir un service de qualité, lutter contre les attaques, maintenir les infrastructures à jour, consolider les données des clients et garder des logs des activités. Si c'était aussi simple.. dans la vraie vie, c'est l'hébergeur qui se fait blacklister sa plateforme d'hébergement mutualisé (pénalisant les clients propres) en cas d'envoi massif de spams. Vivement IPv6 on vous dit! --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Comment vous protégez vous ?
Le 22 juin 2010 12:15, Jérémy Martin li...@freeheberg.com a écrit : Depuis plusieurs mois, on a de plus en plus de cas de comptes FTP (hébergement mutualisés) qui se font hack via une connexion tout à fait normale (password ok, pas de brute force). Après analyse auprès de quelques clients qu'on a pu contacter, il apparait que la cause est toujours la même : un magnifique trojan (on a vu un peu tout ce qui traine sur le net) qui logue le clavier, et qui renvoi le password FTP de notre client vers le pirate. Et vous, rencontrez vous la même problématique ? Avez vous trouvé des solutions ? Excellente question, et je parle de l'autre côté de la barrière, m'enfin je suis quand même pas une totale incompétente, ni une totale évaporée niveau sécurité, et je me suis fait trouer 2 serveurs dédiés il y a 2 mois. Pas de brute force, très certainement un keylogger, et très vraisemblablement rentré par une faille d'acrobat reader, et sur ma machine (l'antimachin s'est réveillé 3 semaines après suite à une maj pourtant journalière) Alors j'ai tout remonté en mode paranoïaque (maj win quotidiennes, et t'as pas le choix, ellle s'applique et tu redémarres, antimachin de la mort qui tue mis à jour toutes les 2 heures, dès qu'il y a une maj du moindre applicatif, hop elle se déploie etc...) Même comme ça, je ne suis plus rassurée, le FarWest était une promenade de santé face au naininternet de nos jours :-/ Alors oui, j'ai la même problématique, et je cherche d'autres solutions, m'enfin si il faut déclarer des listes d'IP autorisées et n'autoriser l'accès qu'à certaines versions de BSD, l'exploitation va devenir très difficile, forcément :-) Ca me déprime, tiens... -- Nina
Re: [FRnOG] Re: [FRnOG] Comment vous protégez vous ?
Le 23/06/2010 22:34, Nina Popravka a écrit : Le 22 juin 2010 12:15, Jérémy Martin li...@freeheberg.com mailto:li...@freeheberg.com a écrit : Depuis plusieurs mois, on a de plus en plus de cas de comptes FTP (hébergement mutualisés) qui se font hack via une connexion tout à fait normale (password ok, pas de brute force). Après analyse auprès de quelques clients qu'on a pu contacter, il apparait que la cause est toujours la même : un magnifique trojan (on a vu un peu tout ce qui traine sur le net) qui logue le clavier, et qui renvoi le password FTP de notre client vers le pirate. Et vous, rencontrez vous la même problématique ? Avez vous trouvé des solutions ? Excellente question, et je parle de l'autre côté de la barrière, m'enfin je suis quand même pas une totale incompétente, ni une totale évaporée niveau sécurité, et je me suis fait trouer 2 serveurs dédiés il y a 2 mois. Pas de brute force, très certainement un keylogger, et très vraisemblablement rentré par une faille d'acrobat reader, et sur ma machine (l'antimachin s'est réveillé 3 semaines après suite à une maj pourtant journalière) Alors j'ai tout remonté en mode paranoïaque (maj win quotidiennes, et t'as pas le choix, ellle s'applique et tu redémarres, antimachin de la mort qui tue mis à jour toutes les 2 heures, dès qu'il y a une maj du moindre applicatif, hop elle se déploie etc...) Même comme ça, je ne suis plus rassurée, le FarWest était une promenade de santé face au naininternet de nos jours :-/ Alors oui, j'ai la même problématique, et je cherche d'autres solutions, m'enfin si il faut déclarer des listes d'IP autorisées et n'autoriser l'accès qu'à certaines versions de BSD, l'exploitation va devenir très difficile, forcément :-) Ca me déprime, tiens... -- Nina Coté utilisateur on pourrait citer l'utilisation de SFTP à la place du FTP, couplé à l'utilisation impérative d'une clé SSH avec passphrase. Ca ne fait certainement pas tout, mais déjà ça évite les problèmes de sniffing et coté malware il faut un soft qui face keylogger + récupération de la clé RSA sur le disque. Je suis probablement naïf, mais je me dis que ça limite déjà un peu les problèmes. Dommage que ce genre de chose n'est pas aussi simplement intégré à Windows que sur un desktop Linux ; à moins qu'il y ait des outils simples permettant ça ? J'entends par là que sous Linux/Gnome la passphrase de l'utilisateur lui est automatiquement demandée graphiquement (et mémorisée pendant toute la session ou X minutes), et que la plupart des softs type SFTP vont également utiliser cette clé SSH par défaut. Dans mes souvenirs sous Windows faut installer PuttyAgent, le configurer pour se lancer au démarrage, lui faire précharger la clé (et donc demander le pass dès le démarrage), puis espérer que le soft passera par PuttyAgent ; non ? Mais la suggestion de Spyou de whitelister uniquement les réseaux susceptibles d'être utilisés par les clients / la société, ça me botte bien aussi. En complément bien sûr. Maintenant sans verser dans le troll, ne pas utiliser de produit Adobe peut-être une solution relativement efficace également :) En passant, le poste Windows en question, il n'a pas de firewall ? Et le réseau local non plus ? Parce que le keylogger, il les envoi bien quelque part les infos récupérées, non ? Olivier
[FRnOG] Re: [FRnOG] Re: [FRnOG] Comment vous protégez vous ?
Le 23/06/10, Nina Popravkanina.popra...@gmail.com a écrit : Le 22 juin 2010 12:15, Jérémy Martin li...@freeheberg.com a écrit : Excellente question, et je parle de l'autre côté de la barrière, m'enfin je suis quand même pas une totale incompétente, ni une totale évaporée niveau sécurité, et je me suis fait trouer 2 serveurs dédiés il y a 2 mois. Pas de brute force, très certainement un keylogger, et très vraisemblablement rentré par une faille d' _acrobat reader_ Hem. Et pourquoi pas Flash tant qu'on y est? C'est pas comme si les produits de Adobe étaient connus pour être de vraies passoires.. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Comment vous protégez vous ?
Bonjour, Le problème se situant entre la chaise et le clavier, c'est peut-être là qu'il faut chercher la solution, non? Le 22/06/10, Jérémy Martinli...@freeheberg.com a écrit : Bonjour à tous, Comme la volonté du FRnOG est de (je cite) : Améliorer la qualité d'internet et autres services IP en France, je viens vers vous pour avoir votre ressentit et discuter autour d'un sujet sur lequel on débat en interne depuis quelques jours. On a pour vocation de rester très petit comme hébergeur (ça contraste un peu sur ce marché :) ), donc pour le coup, cette liste est la bienvenue. Depuis plusieurs mois, on a de plus en plus de cas de comptes FTP (hébergement mutualisés) qui se font hack via une connexion tout à fait normale (password ok, pas de brute force). Après analyse auprès de quelques clients qu'on a pu contacter, il apparait que la cause est toujours la même : un magnifique trojan (on a vu un peu tout ce qui traine sur le net) qui logue le clavier, et qui renvoi le password FTP de notre client vers le pirate. Alors, vu qu'on réfléchit à refaire notre infra depuis quelques semaines, me vient une question qui peut paraitre bête. Comment se protéger de connexion non autorisés de ce type en FTP ? On a bien pensé à un filtrage d'ip, mais quid des IP dynamique ? De plus, un proxy sur le poste infecté remet le problème à jour. On a pensé aussi à géolocaliser les IP se connectant avant de lancer la session de login. Mais vu le nombre de requêtes, ça peut poser problème, d'autant que le client est bridé à une connexion franco-française dans ce type de situation. Et vous, rencontrez vous la même problématique ? Avez vous trouvé des solutions ? -- Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com __ FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Comment vous protégez vous ?
Salut ! C'est pas tres IP tout ca, j'imagine que tu va te faire flamer. Tu pourrais mettre en place un systeme de whitelisting temporaire des IPs: par defaut personne ne peut se connecter au port FTP, et un passage sur l'interface web de gestion du compte valide l'IP client pendant 1h/12h/24h. Probablement pas applicable pour ta clientiele/business model, mais bon, regarde quand meme Yubikey, qui est un genre d'alternative aux tokens RSA. http://www.yubico.com/products/yubikey/ Stefan 2010/6/22 Jérémy Martin li...@freeheberg.com Bonjour à tous, Comme la volonté du FRnOG est de (je cite) : Améliorer la qualité d'internet et autres services IP en France, je viens vers vous pour avoir votre ressentit et discuter autour d'un sujet sur lequel on débat en interne depuis quelques jours. On a pour vocation de rester très petit comme hébergeur (ça contraste un peu sur ce marché :) ), donc pour le coup, cette liste est la bienvenue. Depuis plusieurs mois, on a de plus en plus de cas de comptes FTP (hébergement mutualisés) qui se font hack via une connexion tout à fait normale (password ok, pas de brute force). Après analyse auprès de quelques clients qu'on a pu contacter, il apparait que la cause est toujours la même : un magnifique trojan (on a vu un peu tout ce qui traine sur le net) qui logue le clavier, et qui renvoi le password FTP de notre client vers le pirate. Alors, vu qu'on réfléchit à refaire notre infra depuis quelques semaines, me vient une question qui peut paraitre bête. Comment se protéger de connexion non autorisés de ce type en FTP ? On a bien pensé à un filtrage d'ip, mais quid des IP dynamique ? De plus, un proxy sur le poste infecté remet le problème à jour. On a pensé aussi à géolocaliser les IP se connectant avant de lancer la session de login. Mais vu le nombre de requêtes, ça peut poser problème, d'autant que le client est bridé à une connexion franco-française dans ce type de situation. Et vous, rencontrez vous la même problématique ? Avez vous trouvé des solutions ? -- Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com __ FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go
[FRnOG] Re: [FRnOG] Comment vous protégez vous ?
Le 22/06/10, Gilles PIETRIcontact+fr...@gilouweb.com a écrit : Typiquement, ce genre de vol de mot de passe se fait par un troyen ou un sniffeur qui récupère le pass en clair lors de la connexion FTP. C'est au final, et pour diverses raisons, assez rare que ça soit un keylogger. Il y a aussi les stealers qui vont récupérer les mots de passe enregistrés dans les clients FTP les plus courants. Je doute que les pirates infectent les sites à la main, est-ce qu'il n'est pas possible de repérer (via les logs du FTP) un profil type de connexion pirate, reconnaissable à une suite de commandes toujours identiques, à un rythme d'envoi de celles-ci, etc..? --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Comment vous protégez vous ?
Lu, En ce qui concerne les clients SFTP, tu peux aussi avoir recours à une clé (rsa,dsa,) pour l'authentification, que tu peux doubler par un mot de passe. Mehdi Le 22 juin 2010 13:48, Antoine Drochon anto...@drochon.net a écrit : Salut, Le 22 juin 10 à 12:15, Jérémy Martin a écrit : [couic] Depuis plusieurs mois, on a de plus en plus de cas de comptes FTP (hébergement mutualisés) qui se font hack via une connexion tout à fait normale (password ok, pas de brute force). Après analyse auprès de quelques clients qu'on a pu contacter, il apparait que la cause est toujours la même : un magnifique trojan (on a vu un peu tout ce qui traine sur le net) qui logue le clavier, et qui renvoi le password FTP de notre client vers le pirate. Alors, vu qu'on réfléchit à refaire notre infra depuis quelques semaines, me vient une question qui peut paraitre bête. Comment se protéger de connexion non autorisés de ce type en FTP ? [recouic] Et vous, rencontrez vous la même problématique ? Avez vous trouvé des solutions ? Comme indiqué plus haut, c'est plus un problème de sécurité au sein même des clients qu'autre chose. Malgré tout, quelques pistes : - rendre le FTP uniquement utilisable en read-only - rendre l'accès sécurité SFTP (et autres protocoles en tant soit peu sécurisés) - laisser passer les exceptions FTP read-write après moult explications qui font comprendre que l'accès d'un poste utilisateur, c'est pas tip top. Par contre un process sur une machine de prod supervisée, je peux comprendre que conserver le FTP ça a du sens (et surtout un coup d'upgrader à du SFTP et consors). Ca ne stoppera pas l'hémorragie chez certains mais bon, ça fait effectivement des bons devoir de l'hébergeur. ++ Antoine--- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Comment vous protégez vous ?
vous utilisez dnsbl ? Le 22 juin 2010 23:06, Jérôme Nicolle jer...@ceriz.fr a écrit : Le mardi 22 juin 2010 à 21:20 +0200, DELOBEL Gary a écrit : j'adore la liste d'AS venant de pays *exotique*, on est déjà vendredi? C'est la whitelist :O Et puis vendredi, comme on sera en live, il faut préparer un peu l'ambiance ;) -- Jérôme Nicolle
[FRnOG] Re: [FRnOG] Re: [FRnOG] Comment vous protégez vous ?
Bonsoir, je trouve qu'un des problèmes majeurs et très difficile à résoudre reste la sécurité du poste de travail utilisateur. On peut facilement imaginer un poste infecté qui sert de proxy/passerelle pour accéder au services. Dans ce domaine il y a encore plus de solutions, souvent peu fonctionnelles, mais il est difficile d'interdire la sauvegarde automatique des mots de passe, et tout ce genre de choses... Je sais pas pourquoi mais je sens le troll arrivé...