[AVERTISSEMENT] tentatives de login - attaques [Résolu]

[frp31]

bonjour,

depuis mercredi 6 à 02h00GMT, nous avons un certains nombre d'attaques "login" depuis plusieurs pays différents, (aucune intrusion réussie). Après avoir demandé conseil à un ami qui m'a mis en relation avec un type plus expert qui m'a aussi mis en relation avec 2 autres cibles :

Il s'avère qu'au moins une 20aine/30aine de personnes du sud ouest de la France et quelques entreprises, subissent une attaque à l'ancienne (pas très dangereuse donc).
tentative de login automatiques à base de passwords de dictionnaires...
tentatives qui visent les noms d'utilisateurs :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
oracle
root
php
guest
cron
jerome
anonymous
invite
mysql
gerard
herve
henri
natalie
pleins de prénoms francophones

les adresses les plus insistantes, incriminées sont essentiellement
israel, chine, corée italy et Roumanie :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
192.117.0.0/15 
192.113.0.0/16 
192.114.0.0/15 
192.116.0.0/15 
192.115.0.0/16 
192.113.0.0/16 
80.96.0.0/16 
118.217.0.0/16
80.96.150.0/24
81.95.157.0/24
62.149.203.0/24
82.247.65.0/24
58.211.5.0/24

mais il y en a d'autre...
ce qui lui font dire que c'est des attaques bots, c'est que des tentatives de connexion ssh sont tentées sur des nas hardware ou des routeurs, ou d'autres équipements passifs tels imprimantes liées aux box ADSL pour service de fax etc......

J'ai commencé par fermer au maximum mon routeur, tout éteindre sauf la machine qui a eu les tentatives de connexion, et j'ai alimenté le hosts.deny et hosts.allow pour être hyper restrictif, j'ai passé toutes les mises à jour sécurité que j'ai trouvé, et rebouté...des tests nessus seront fait demain ...
tiger m'a remonté que quelques Waring sans importance... fail2ban rempli la log au fur et à mesure... mais depuis ce matin ça c'est vraiment calmé, de 500 essais jours, ce matin y'en a 4.

sur le moment ça fait peur...

si vous êtes dans le sud ouest de la france avec free, sfr ou orange comme opérateurs ADSL faites les mises à jour sécurité rapidement.... vous pourriez vous aussi être impactés...

Personnellement jusqu'à ce matin, qu'on m'a alerté, je ne m'étais pas rendu compte que moi aussi je faisais parti des "cibles"... effectivement si....

[Senaku-seishin]

Citation:

Il s'avère qu'au moins une 20aine/30aine de personnes du sud ouest de la France et quelques entreprises, subissent une attaque à l'ancienne

Sais t'ont si les cibles ont été choisies au hasard ou choisie?

Des attaques il y a en a tout les jours, avec mon petit serveur dans le 64 j'ai est une par semaine (mais elles échouent tous).

J'ai que des attaques http. Les bots ne t'attaque pas si tu change le port par défaut de ssh, cacher le port (port knocking par exemple) et connexion par clé.

Tu panique vite à se genre d'attaque . Au moins ton système sera très sécurisé après

Citation:

depuis mercredi 6 à 02h00GMT,

C'est un détail. GMT est obsolète, on utilise UTC.

[frp31]

il semblerai que ce soit plus ou moins terminé, quelques bots qui font du scan de port trainnent encore....

on surveille ce w.e. mais si y'a plus de "vagues" l'affaire sera close... au moins ça m'aura appris 2/3 bricoles sur la sécurisation

[frp31]

il y a encore 8 tentatives chinoises hier
et 2 coréennes ce matin mais on est moins nombreux ... à être visés maintenant.

bizarre quand même...