Fail2ban pour Vsftp

Support Debian
#1

Bonjour à tous,

Ma config : NLSU2 avec une Debian Lenny.

Je ne pouvais pas trouver meilleur endroit pour exposer mon probleme vu que c’est ici que j’ai eu le plus d’indications !

Je rencontre depuis un moment des “fausses” attaques sur mon Vsftp, mon serveur Ftp est 100% ssl et n’accepte pas les connexions non securisé… Dans mon fichier /etc/log/vsftp.log qui explose en ce moment je retrouve ces lignes:
Sun May 24 12:25:47 2009 [pid 7778] FTP command: Client “168.255.254.135”, "USER reagan"
Sun May 24 12:25:47 2009 [pid 7778] [reagan] FTP response: Client “168.255.254.135”, "530 Non-anonymous sessions must use encryption."
Plusieurs attaques par secondes !! et seulement ces 2 lignes…

je ne parviens pas à créer un failregex correct pour bloquer ces tests de connexion.
Fail2ban fonctionne correctement avec le failregex d’origine, mais celui ci ne bloque pas ce type d’essai de connexion.

D’avance merci de votre expertise !

Gart

#2

Je ne pourrai pas répondre sur la regex de fail2ban.

Cependant regardes si les adresses IPs sont récurrentes ou non et drop les par iptables à la main.
C’est pas génial mais cela ralentira déjà pas mal les tentatives.

Autre point, si tu es le seul ou bien que vous êtes très peu à utiliser ce serveur ftp, tu peux envisager de changer le port d’écoute du serveur ftp.

#3

Cool merci pour la réponse :wink:

J’ai toujours des adresses Ip differentes, mais qui continue une suite logique C’est à dire, l’host A m’attaque avec comme login Barbarra, je bloque à la main l’host A, et presque aussi vite j’ai un host B qui m’attaque avec comme login benjamin, surement pas le hazard :wink:
Par contre je peux changer facilement mon port d’ecoute ca me possera pas de problème mais ne peux resoudre les attaques !!! Surement que temporaire, le nom de domaine se fait scanné assez souvent !

Un Fail2ban bien configuré est pour moi la meilleur idée !! avez vous d’autres idées ?

D’avance merci,

Gart

#4

Je viens de verifier actuellement les attaques sont au niveau “abc123”, si je traite mes logs je vais pouvoir me faire un dico de login et mot de passe :wink:

C n’importe koi le brute force…
Si il pouvait lire ces lignes “j’espere”, connaissant mon login ftp, ben il est pas pret d’y arriver !!!

Gart !

#5

Pour information tu peux empêcher le scan de port avec le paquet portsentry.

#6

Merci pour l’info, je vais essayer de l’installer sur mon NSLU2, j’espere qu’il prend pas bcp en memoire je suis un peu limite de ce cote !!

Si y’a un specialiste de fail2ban qui peux m’expliquer comment marche les failregex ca m’interesse !!!

Gart,