Login suspect avec vsftpd

Support Debian
#1

bonjour à tous,

j’ai installé un serevur ftp (ftp://82.229.91.141) et j’ai trouvé ceci dans /var/log/vsftpd.log:

# cat /var/log/vsftpd.log Mon May 28 02:55:46 2012 [pid 2] CONNECT: Client "174.142.192.219" Mon May 28 02:55:49 2012 [pid 1] [administrator] FAIL LOGIN: Client "174.142.192.219" Mon May 28 02:55:52 2012 [pid 1] [user] FAIL LOGIN: Client "174.142.192.219" Mon May 28 02:55:56 2012 [pid 1] [administrador] FAIL LOGIN: Client "174.142.192.219"
une recherche whois sur cette adresse ip me donne:

[code]# whois 174.142.192.219

Query terms are ambiguous. The query is assumed to be:

“n 174.142.192.219”

Use “?” to get help.

The following results may also be obtained via:

http://whois.arin.net/rest/nets;q=174.142.192.219?showDetails=true&showARIN=false&ext=netref2

iWeb Dedicated CL2 IWEB-CL-T210-01SH (NET-174-142-192-192-1) 174.142.192.192 - 174.142.192.223
iWeb Technologies Inc. IWEB-BLK-06 (NET-174-142-0-0-1) 174.142.0.0 - 174.142.255.255

ARIN WHOIS data and services are subject to the Terms of Use

available at: https://www.arin.net/whois_tou.html

#[/code]

quelqu’un pourait-il me dire ce que signifie la sortie de “cat /var/log/vsftpd.log” indiquée ci-dessus?

#2

Salut,

Oui, c’est une tentative de connexion sur ton ftp…
Pas de fail2ban installé ?

#3

merci pour la réponse

je ne connaissais pas fail2ban, j’ai donc regardé sur internet, wiki. Ce logiciel bannit donc les adresses ip.
Mais mon serveur ftp est sans mot de passes, anonyme. fail2ban ne va pas bannir tout le monde?

#4

voici mon vsftpd.conf:

anonymous_enable=YES local_enable=YES write_enable=NO use_localtime=YES async_abor_enable=YES dirmessage_enable=YES listen=YES ls_recurse_enable=YES no_anon_password=YES text_userdb_names=YES xferlog_enable=YES xferlog_std_format=NO hide_ids=YES text_userdb_names=YES xferlog_file=/var/log/vsftpd.log accept_timeout=600 anon_root=/home/ftp idle_session_timeout=600 data_connection_timeout=120 pam_service_name=vsftpd chroot_local_user=YES #chroot_list_enable=YES #chroot_list_file=/etc/vsftpd.chroot_list

#5

lu
c’est dangereux de mettre ton ftp en anonyme
en écriture, lecture ou juste en lecture pour les anonymes ?
fail2ban bloque les ip de ceux qui n’ont pas les bons id et mot de passe après x tentative.

#6

1/ Son compte anonymous ne permet pas l’écriture (et est donc bien configuré)
2/ Fail2ban ne bannira que les adresses IP des machines sources voulant bruteforcer* le compte administrateur du serveur FTP
3/ Installe Fail2ban

bruteforcer = recherche un nom d’utilisateur et son mot de passe en essayant toutes les possibilités ou en se basant sur un attaque par dictionnaires (il existe des dictionnaires spécialisés avec par exemple “users.txt” qui contiendra "administrateur,administrator,admin,root,ftproot,adminftp,…) ou encore “password.txt” du style "azerty,azerty123,administrateur2012,ftp2012,julien,toto,password,nopassword,…)

#7

ok, merci pour les réponses.
Je vais donc de ce pas installer fail2ban sur ce serveur

#8

encore une question:

fail2ban est déjà configuré?

#9

[quote=“matser”]encore une question:
fail2ban est déjà configuré?[/quote]

Par défaut, seulement ssh (et sur le port 22) doit être configuré.
Pour vsftp, il suffit de l’activer (et de vérifier que le “logpath” est le bon):

[quote][vsftpd]

enabled = true
port = ftp,ftp-data,ftps,ftps-data
filter = vsftpd
logpath = /var/log/vsftpd.log

or overwrite it in jails.local to be

logpath = /var/log/auth.log

if you want to rely on PAM failed login attempts

vsftpd’s failregex should match both of those formats

maxretry = 6[/quote]

#10

super merci les gars, le sujet est résolu