DEDIBOX-NEWS.COM
Le Forum Non Officiel de la DEDIBOX
Vous n'êtes pas identifié.
#1 2008-06-18 13:07:44
- TheSquad
- Je débarque
- Date d'inscription: 2008-06-18
- Messages: 4
Abuse BruteForce
Bonjour tout le monde...
J'ai aujourd'hui un abuse concernant un bruteForce venant de ma dédibox...
J'ai été tout de suite vérifier les ip de connections au serveur via ssh... (last)
Je n'ai rien trouvé...
Les seuls ports ouvert sont 22 (ssh) 80 (reverse proxy pointant vers 1 seul site) et 8080 (serveur web lorsque le reverse proxy n'est pas sollicité...)
Quelqu'un aurait une idée, de ce que je pourrais faire pour régler ce problème ?
Ou encore une idée d'où chercher...?
Merci à tous.
Hors ligne
#3 2008-06-18 17:31:27
- TheSquad
- Je débarque
- Date d'inscription: 2008-06-18
- Messages: 4
Re: Abuse BruteForce
Phach a écrit:
un script codé avec les pieds, une vieille version pas mis à jour de : programme, scripts, etc.
bref, regarde tes logs.
justement, j'ai tout regardé...
Je n'ai aucun script, tous mes programmes sont a jours...
j'ai surtout remarqué que le site en question est tout nouveau, et n'a même pas de page login...
j'ai envoyé un mail a la personne qui est a l'origine de l'abuse... il semblerait qu'il a lancer pour le même abuse sur 5 autres serveurs dedibox...
J'ai plutot l'impression que ce n'est pas serieux...
Hors ligne
#4 2008-06-19 11:01:23
- TheSquad
- Je débarque
- Date d'inscription: 2008-06-18
- Messages: 4
Re: Abuse BruteForce
J'ai contacter la personne en question...
Il semblerait que SNORT, qui est installé sur son serveur lui log un scan des services uPnP...
Alors apparement le type d'attaque : BruteForce, à été peut être choisis par la personne un peu trop à la hâte...
D'ou pourrais provenir ces Scan de services uPnP ?
Merci
Hors ligne
#5 2008-06-27 02:22:03
- highleaf
- Petit scarabé
- Date d'inscription: 2007-04-25
- Messages: 60
Re: Abuse BruteForce
TheSquad a écrit:
J'ai contacter la personne en question...
Il semblerait que SNORT, qui est installé sur son serveur lui log un scan des services uPnP...
Alors apparement le type d'attaque : BruteForce, à été peut être choisis par la personne un peu trop à la hâte...
D'ou pourrais provenir ces Scan de services uPnP ?
Merci
Bonjour,
Le problème des IDS du type Snort est que leur efficacité repose
sur la connaissance parfaite et de son architecture et de snort lui-même.
Mal configuré il est soit trop sensible soit pas assez et/ou en tout cas peu de personne peuvent interpréter
les résultats.
Un scan uPnP pourrait servir par exemple à chercher des serveurs de medias (streaming)...
Il me semble en plus que ce type de technologie utilise des ports dynamiques et snort ne doit pas
aimer cela.
Mes 2 morceaux de speculos 
Hors ligne