Attaque de mon serveur ftp ?

Salut à tous

J’ai mis en place un serveur FTP (proftpd ) avec dyndns et ddclient pour avoir une IP dynamique. Tout ça juste pour que ma famille puisse avoir accés aux photos et vidéos de ma fille. C’est en place depuis qques jours pour le plus grand bonheur des grand-parents. Trêve de baliverne, voici le sujet de mon poste:
Hiers, pdt environs 1h30, j’ai eu ceci dans mon fichier /var/log/ulog/syslogemu.log:

Je fais un traceroute sur 221.186.129.145 :

quote
6 verio-1.GW.opentransit.net (193.251.241.190) 173.951 ms 121.742 ms 164.001 ms
7 ae-0.r21.dllstx09.us.bb.gin.ntt.net (129.250.2.59) 247.978 ms 175.266 ms 174.593 ms
8 p64-4-0-0.r21.snjsca04.us.bb.gin.ntt.net (129.250.3.152) 312.084 ms 185.820 ms 187.994 ms
9 ae-0.r20.snjsca04.us.bb.gin.ntt.net (129.250.2.96) 187.993 ms 177.966 ms 249.991 ms
10 p64-2-0-0.r21.mlpsca01.us.bb.gin.ntt.net (129.250.3.42) 195.996 ms 189.812 ms 197.965 ms
11 p64-0-2-0.r21.osakjp01.jp.bb.gin.ntt.net (129.250.3.206) 332.052 ms 309.993 ms 317.981 ms
12 ae-2.r20.osakjp01.jp.bb.gin.ntt.net (129.250.4.133) 396.075 ms 303.750 ms 316.027 ms
13 ge-7-4.a11.osakjp01.jp.ra.gin.ntt.net (61.200.80.130) 360.072 ms 301.741 ms 414.044 ms
14 [b]ae-0-1.a20.osakjp01.jp.ra.gin.ntt.net /b 430.137 ms 301.969 ms 398.127 ms
15 60.37.18.37 (60.37.18.37) 393.936 ms 297.897 ms 328.077 ms
16 61.207.14.177 (61.207.14.177) 302.048 ms 349.867 ms 382.097 ms
17 61.207.14.22 (61.207.14.22) 292.099 ms 313.836 ms 422.107 ms
18 210.254.188.178 (210.254.188.178) 442.079 ms 298.004 ms 297.937 ms
19 60.37.11.42 (60.37.11.42) 300.024 ms 398.002 ms 370.064 ms
20 221.184.12.234 (221.184.12.234) 295.973 ms 293.809 ms 295.968 ms
21 219.160.1.12 (219.160.1.12) 302.200 ms 305.821 ms 364.035 ms
22 * * *[/quote]

Aucun membre de ma famille (les seuls qui ont accés à mon serveur) n’habite au Japon.
J’ai donc interdit (via iptables) l’accés de mon ordi à 221.186.129.145. Et tout est revenu dans l’ordre (c’est avec gkrellm que j’avais remarqué que ma carte réseau tournait à plein régime ).

Ma question (sans doute stupide, mais ça ne fait que qques jours que je dispose d’un serveur FTP): était-ce bien une attaque ?

Surement mais tu sais,

  • La première fois que j’ai mis un serveur FTP (vers 2000), c’était un serveur BSD avec des failles, entre autres il permettait si on mettait un repertoire en upload avec les droits d’écriture mais pas de lecture de créer un repertoire qui lui était avec les droits de lecture et d’ecriture. 3 jours plus tard, il y avait un répertoire .warez dans ce répertoire avec des choses diverses dedans.

  • va voir http://forum.debian-fr.org/viewtopic.php?t=6569 pour te donner une idée…

Suite à ma “supposée” attaque, j’avais justement relu ton post : [quote]Un gugus, dont l’IP est 201.243.110.27, a essayé sans discontinuer à raison d’un essai toutes les 5 secondes en moyenne du 13 Février 04:51:03 au 16 Février à 06:43:45 des mots de passe sur mon serveur pour un total de 28638 essais (il a essayé le FTP). Des tenaces comme ça, j’en n’avais pas encore vu…
[/quote]
Comment sais-tu qu’il a essayé des mots de passe ? Parce que c’est la seule chose qu’il a à faire (le port 21 ne sert-il qu’à ça ?), ou parce que qquechose dans tes logs te le laisse penser ?
Je dois avouer que j’étais presque content de cette attaque : plein de nvlles choses à apprendre.
D’ailleurs, si vous avez l’adresse d’un site qui répond à tout ce genre de questions concernant les serveurs FTP, je suis preneur.

[quote]Mar 13 21:27:01 cerbere wu-ftpd[28512]: PAM-listfile: Refused user root for serv
ice wu-ftpd
Mar 13 21:27:01 cerbere PAM_unix[28512]: authentication failure; (uid=0) -> root
for wu-ftpd service
[/quote]

Fait un

$ grep failure /var/log/auth.log

Tu seras surpris :slightly_smiling:

Ah, merci pour cette info : le le connaissais pas encore lui ( /var/log/auth.log et consors), et je suis enchanté de faire sa connaissance :wink:
Mais d’après /var/log/auth.log.0 , mon pseudo pirate n’a essayé aucun mot de passe( en tout cas, au moment de l’ “attaque”, aucun mot de passe n’a été essayé concernant proftpd… Mais qu’est-ce qu’il a bien pu essayer de faire ??..
Passionnant cette histoire de serveur FTP :smiley:

Scan, test d’un serveur anonyme avec upload autorisé, etc. Si le piratage t’intéresse, tu peux voir ce fil

http://lists.debian.org/debian-user-french/2003/12/msg01134.html
en fait le fil Machine infectée sur
http://lists.debian.org/debian-user-french/2003/12/thrd3.html#01134

j’ai appris beaucoup de choses à l’occasion et dans le fil je décris ce que j’ai fait…

[edit: tu as entre autres dans ce fil la genèse de cacheproc]

Je viens de jeter un coup d’oeil au fil que tu m’envoies…Un coup d’oeil ne sera pas suffisant: je le savais que je mettais les pieds dans un nvx monde avec ce serveur, et ça promet d’être passionnant :smiley:
Encore merci pour tes réponses fran.b, et juste une dernière question: t’as pas l’air d’être “Jo le rigolo” pour ce qui est de la sécurité de tes serveurs, alors pourquoi avoir choisi wu-ftpd, qui a la réputation d’être un nid de failles de sécurités, et pas vsftpd qui a la réputation inverse ?

[quote=“yanlolot”]Je viens de jeter un coup d’oeil au fil que tu m’envoies…Un coup d’oeil ne sera pas suffisant: je le savais que je mettais les pieds dans un nvx monde avec ce serveur, et ça promet d’être passionnant :smiley:
Encore merci pour tes réponses fran.b, et juste une dernière question: t’as pas l’air d’être “Jo le rigolo” pour ce qui est de la sécurité de tes serveurs, alors pourquoi avoir choisi wu-ftpd, qui a la réputation d’être un nid de failles de sécurités, et pas vsftpd qui a la réputation inverse ?[/quote]

Je pars du principe que je fais pas confiance aux applications. Du coup je porte mon effort sur la détection d’une intrusion plus que sur la prévention. Ça m’oblige à surveiller les logs et à ne pas faire n’importe quoi. Sinon wu-ftp traine cette réputation de ses débuts (il la méritait bien d’ailleurs), depuis il a été vu et revu et est devenu assez sûr je pense.

ok, et encore merci pour tes réponses, et tes liens.
A plus.