Se connecter / S'enregistrer
Votre question

Dénoncer IP suite à tentative de hack FTP

Tags :
  • Adresse IP
  • Internet
Dernière réponse : dans Internet
2 Février 2008 11:53:16

Bonjour et merci de lire cette page.
Désolé pour le titre, j'ai pas pu faire plus court :jap: 
Bon, je pense le titre assez explicite: j'ai chopé une personne qui essayait de hacker mon FTP (en essayant de se loguer avec le compte "administrateur" qui évidemment n'existait pas mais en essayant toute une suite de mots de passe). Comme le nombre de tentative était limité à 20 avant le ban-auto, il n'a pas pu aller plus loin.
Son adresse IP est 202.144.155.*, après un tracert, j'ai pu déterminer qu'il était hébergé chez British Telecom.
Où le dénoncer?
Spoiler
Je ne me fais pas d'illusions, mais j'espère qu'ils lui enverront au moins un mail pour qu'il comprenne qu'aucune connerie que l'on fait sur internet n'est anonyme ;) 

Autres pages sur : denoncer suite tentative hack ftp

2 Février 2008 12:09:33

Bonjour,
Il me semble que tu dois à l'aide de ton adresse IP voir le centre a qui tu es relié et leur envoyer un mail.
2 Février 2008 12:19:26

Tu veux dire, contacter mon ou son FAI?
Contenus similaires
2 Février 2008 12:20:53

Enfaite je sais plus trop le quelle il faut contacter je crois que c'est le sien en a allant sur les site qui retrace et la ta une adresse mail pour contact je crois
2 Février 2008 12:22:00

Bon, je vais tenter sur le site de BT.
2 Février 2008 13:47:30

Salut,

En faisant un Whois de son adresse IP tu devrais trouver les coordonnées de son FAI.

Exemple :
Citation :
role: Network Operation Centre T-ONLINE FRANCE
address: Club Internet - T-Online France
address: 11 rue de Cambrai
address: 75019 Paris
address: France
phone: +33 1 55 45 45 00
e-mail: ripe [at] clubint [dot] net


Ensuite, rédiges un email a son FAI.
Mais bon, a mon avis, ça ne fera pas bouger grand chose...
7 Novembre 2008 12:53:04

tu parle, ca arrive tout le temps, c'est souvent meme des logiciels automatique qui font ca, qui scanne diverses adresses jusqu'a ce qu'ils tombent sur un FTP...
Ca m'arrive assez souvent avec mon FTP, mais de toute facon si tu ne te connecte pas en admin ou administrateur, ya pas de risques ;) 
7 Novembre 2008 12:58:08

Perso, je les dénonce tous maintenant :D 
J'ai un tier des cas où le FAI me recontacte pour me dire qu'ils ont pris les mesures nécessaires ou qu'ils ont bien pris en compte mon message.
7 Novembre 2008 13:04:13

ah?
J'en eu le cas pas plus tard qu'hier encore, seulement quand j'ai fait un NSLOOKUP sur l'ip ca m'a dit que ca ne trouvait pas de nom de domaine.
Tu va sur quel site pour reperer l'hebergeur?
7 Novembre 2008 13:14:03

titelune69 a dit :
ah?
J'en eu le cas pas plus tard qu'hier encore, seulement quand j'ai fait un NSLOOKUP sur l'ip ca m'a dit que ca ne trouvait pas de nom de domaine.
Tu va sur quel site pour reperer l'hebergeur?


C'est souvent le cas, car il utilisent des adresse IP différente de jour en jour.
Mais, ils ne peuvent pas mentir sur leur FAI (si l'IP est la bonne !)
Si sur ton système tu n'as pas de whois : http://whois.domaintools.com/

En SSH, c'est pire qu'avec le FTP...
7 Novembre 2008 13:14:50

Et pour écrire c'est souvent abuse@FAI(attaquant)
Je crois même qu'il existe des outils abuse sous Linux, qui notifie en automatique chez abuse@...
7 Novembre 2008 13:30:39

Archange_nain a dit :
Perso, je les dénonce tous maintenant :D 
J'ai un tier des cas où le FAI me recontacte pour me dire qu'ils ont pris les mesures nécessaires ou qu'ils ont bien pris en compte mon message.


Pour l'anecdote j'avais reçu un mail de mon FAI m'indiquant que mon IP avait été dénoncée comme initiatrice de "spam" !
Moi sous nunux, mon nunux à moi...(ça c'est ma réaction à la lecture...)

J'ai ouvert le fichier joint du plaignant...
Après analyse, il semblait que ce soit un PC du réseau du plaignant qui me spammait et non moi, et mon antispam, les bloquaient et notifiait le spammeur ! Comme le volume de spam venant d'eux était énorme, genre 30-40 mails/heure, et bien les notifications aussi ! :) 

Depuis j'ai arrête de notifier les fausse@dom.com et mis en place le Greylisting !
On passe de 20mails/heure à 10-11mails/24heures !
7 Novembre 2008 13:34:16

ok je verrais ca, merci Lolotux :) 
7 Novembre 2008 14:21:08

J'utilise le site qu'a cité lolotux.
Pour les attaques, il faut donner l'IP de la personne et l'heure du début et de la fin de l'attaque.
7 Novembre 2008 14:59:28

Archange_nain a dit :
J'utilise le site qu'a cité lolotux.
Pour les attaques, il faut donner l'IP de la personne et l'heure du début et de la fin de l'attaque.

Et tu n'as jamais eu de chinois ?
Parce que de mon côté, j'en ai souvent !

Du coup je me pose la question de carrément filtrer la chine (en quelque sorte !)
7 Novembre 2008 15:55:36

lolotux a dit :

Du coup je me pose la question de carrément filtrer la chine


Mdr, raciste! :D  :D  [:artisong]
7 Novembre 2008 17:24:35

Oui, je sais !

Mais faire monter le % du CPU à 10% juste avec le serveur web, scanné, scruté, testé par les IP chinoises entre 2h00-4h00 du matin !
Anonyme
7 Novembre 2008 19:43:17

jai une question commen peut ton entre dans un site
Anonyme
7 Novembre 2008 19:44:36

je vous explique avec ftp quan je doit metrre le password je peut plus ecrire donk svp
7 Novembre 2008 19:46:55

lolotux a dit :
Et tu n'as jamais eu de chinois ?
Parce que de mon côté, j'en ai souvent !

Du coup je me pose la question de carrément filtrer la chine (en quelque sorte !)

Moi, c'est surtout l'Inde qui doit représenter 70% des attaques :o 
Mais sinon, je vais probablement moi aussi en finir par le blocage pur et simple des connexions chinoises et indiennes...
7 Novembre 2008 20:17:54

Le seul problème était que certains utilisateur (j'ai une cinquantaine de comptes) plus doués que les autres, se loupaient dans leur login/mdp et recommençaient 5-6-7-8... fois.
Et paf ils étaient bannis ! :lol: 
8 Novembre 2008 03:37:58

AU départ, j'avais prévu 5tentatives et 20secondes entre chaque tentative... j'ai banni la moitié des utilisateurs légitimes, j'ai du remonter à 20 le nombre de tentatives avant le BanIP
8 Novembre 2008 04:22:37

:) 

Des fois (tout le temps ?) y font ch... ! :) 
8 Novembre 2008 04:28:18

Une règle simple mais stricte sur les mots de passe !
f = , alors +k.

Simple non ?
8 Novembre 2008 04:49:27

l'idéal serait 10 tentatives pour 20 secondes
Anonyme
8 Novembre 2008 12:20:52

svp komment pirater un site?
:??:  :??:  :??: 
8 Novembre 2008 13:41:37

Tu achètes une barbe bleue ou rouge, un bandeau....
Bon ok !
8 Novembre 2008 19:41:35

Non, car il n'y a pas de contact direct entre ton ordinateur et cette personne, quelle qu'elle soit.
12 Novembre 2008 22:08:06

Perso, je n'ai encore jamais subi ce genre d'attaques... je dois être trop anonyme ^^
12 Novembre 2008 22:59:05

@lolo :
Citation :
Comme le volume de spam venant d'eux était énorme, genre 30-40 mails/heure
, si je n'avai que ça à repousser au taf..., j'ai plutôt des chiffres de l'ordre de 800000 spam /heure en pointe avec un petite moyenne sur l'année dans les 100000 mails par heure (sachant que statistiquement, 80 à 95% des mails sont des spams...)
Le problème c'est qu'on a un système de forward pour certains utilisateurs (près de 20000 actuellement) et que le peu de spams qui passent représente tout de même un volume très important -> on est régulièrement blacklisté sur certains serveurs

sinon + 1 pour fail2ban, je l'utilise sur certains serveurs depuis quelques année (avec un peu de tuning pour virer les IP dynamiques de temps en temps), le principal intérêt que je trouve à ce soft c'est d'alléger mes logs :) 

@ALL : quand un service doit être accessible à toute la planète (enfin quand vous ne pouvez pas filtrer par IP source, même si ce n'est pas infaillible, loin de là, ça dégage 99,999% des scripts kiddies) :
-utilisez des clefs asymétriques plutôt que des password
-si les password sont nécessaires, mettez des login (j'ai bien dit login) un minimum alambiqués (Martin Dupond -> m.Dupond plutôt qu'un simple dupond ou qu'un martin)
-pour les password, moins de 8 caractères alphanumérique ça ne vaut RIEN, 8 caractères ou plus combinant MAJ/min/num ça commence à être correct, ajouter quelques caractères spéciaux (tant qu'à faire des caractères d'échappement ou des quotes, les brutes force n'aiment pas ça), par exemple infosdunet est un mauvais mot de passe, iNf0sduN3t est un mot de passe correct, 1f@uXdUn3t! est un bon mot de passe
-n'autorisez pas plus de 4 ou 5 échecs dans une période de 10min, au pire pour vos utilisateurs qui ont des moufles (et oui c'est l'hiver), prévoyez une interface web avec captcha qui envoi par mail (mail saisi lors de la création du compte) ce qu'il faut pour réinitialiser le password
-si vos utilisateurs on un bon niveau ou sont conscients des risques en terme de sécu, n'hésitez pas à utiliser du portknocking

quand à envoyez des abuses à chaque tentative de hack... c'est peine perdue si l'attaquant n'est pas dans votre zone législative (renvoyer des abuses aux pays d'Europe occidentale ok, en Amérique du nord ok, pour le reste de la planète ça ne sert à rien...ou au Pakistan à la limite)
13 Novembre 2008 00:48:46

maith a dit :
si je n'avai que ça à repousser au taf..., j'ai plutôt des chiffres de l'ordre de 800000 spam /heure en pointe avec un petite moyenne sur l'année dans les 100000 mails par heure

Attention vous vous êtes fait flashé ! :) 
Je ne parlais que de mon petit serveur mail, pour 30-50 bal !

De plus mon greylisting fonctionne parfaitement !
Et pour le port knocking certains utilisateurs trouvaient cela contraignant !
13 Novembre 2008 06:48:41

Oui, on ne parle pas de serveurs d'entreprise mais personnels, même si les deux sont assez proche...
13 Novembre 2008 09:59:03

si ma petite machine : PIII 1GHz : 384Mo, avait 100000 mails par heure, elle serait "out" tout le temps ! :) 
13 Novembre 2008 20:16:37

ba pour les absorber, je n'ai en frontal "que" 4 serveurs (bon ok il s'agit de bi dual core xeon 3.6 avec 8go de ram), mais si on ramène ça au nb de bal, ça ne fait que quelques mails par heure
pour les petits serveurs que j'ai monté, c'est de l'ordre de quelques centaines à quelques milliers par jour soit le même ordre de grandeur que lolo

13 Novembre 2008 20:53:28

Y a même une époque, lorsque j'ai commencé à jeter un oeil à la sécu, où l'on devient presque parano....
Qu'est-ce qu'ils me veulent ?
Et si...

Bref un peu de recule, de sang froid, quelques outils...
Ossec-hids pour moi fût un tournant, au par avant j'avais essayé portsentry ou hostsentry, fail2ban, knocked et j'en oublie !
Plus les petits trucs du style limiter le nombre ACK/SYN par secondes, virer les TRACE|TRACK|CONNECT des requêtes HTTP, rediriger les vers un trou noir (http://www.addme.com/newsletters/issue222.htm), etc...
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS