Comment Voir Les Mots De Passe Essay

[oliviervdb]

Hello,

Je suis regulierement informé que des IP ont été bloquées suite a plusieurs tentatives de connection.

Le sujet ici n'est pas comment bien parametres sont Syno (desactiver le port 22, le changer, rerouter vie le routeur, mots de passé fort...ect)

Je connais tt ca, et d'autres sujet en discute deja largement.

Ma question est plus lié a "l'attaquant". S'il est facile de trouver l'IP qui a tenté de se connecter, ainsi que le login qu'il a essayé (via le centre de journaux), je ne sais pas comment voir le ou les mots de passe essayés.

Je suppose que c'est qq part enregistré dans un log, mais où et comment le consulter?

nb: si je pose la question, c'est que depuis 2j, je suis attaqué par une "organisation" asiatique, qui change d'adresse de machine tt les 3-4 min.

par exemple, après 3 tentatives bloqués avec l'adresse 103.41.124.121, il passé a 103.41.124.125, puis ainsi de suite... Apres une 50aine d'essais, j'ai bloqué tt le domaine de 103.41.124.1 -> 103.41.124.255), mais j'aurai voulu savoir si en plus de changer de machine d'attaque, s'il changait aussi de mots de passé (pour le login il utilise tjs "root" ....evidemment...

Merci

[domlas]

Je ne vois pas vraiment l'intérêt surtout si ils sont cryptés.

[gaetan.cambier]

toute facon, les password envoyé, c'est soit une attaque par brute force, soit une attaque par dico avec en priorité les pire mot de passe utilisé

mais dans tous les cas, qu'une personne essaye un mot de passe x ou y, c'est un peu la meme chose, chez moi, 3 tentatives et byebye

en parlant de cela, j'ai pas une seule attaque en ssh, il suffit de simplement lister les ip autorisée ou plus large si ip dinamique

meme une limitation à ton pays supprime la plupart des attaque et à moin que tu ne te deplace souvent à l'etranger, c'est pas restrictif pour toi.

[Patrickdu34]

Pareil Gaetan, 3 tentatives en 2mn et bye bye.

Blocage d'adresse IP par pays, je n'ai laissé que ceux ou je voyage, d'ailleurs je me demande même si je ne vais laisser que la France et activé les pays au coup par coup

[oliviervdb]

Hello,

donc comme je l'expliquais dans mon post initial, je n'ai pas besoin de conseils sur la sécurité.... je sais bien comment gérer ca sur mon Syno.

Ma question est techique, et je la repose :

Il est facile de trouver l'IP qui a tenté de se connecter, ainsi que le login qu'il a essayé (via le centre de journaux), je ne sais pas comment voir le ou les mots de passe essayés.

Donc je ne demande pas si c'est utile ou comment éviter les attaques. Pour des raisons qui me sont propre, je voudrais voir les login et PW essayés. Est ce qu'il y a moyen? Et si oui, comment?

Merci.

[loli71]

Alors pour répondre à ta question : non il n'est pas prévu de voir les mots de passe essayé .. et heureusement, sinon cela voudrait dire qu'un admin pourrait avoir accès à tous les mots de passe de tous les utilisateurs et cela serait contraire à la première des règles de sécurité : un mot de passe est personnel !!! Et désolé si cela ne correspond pas à ta phrase "Je n'ai pas besoin de conseils sur la sécurité".

De plus, même s'il y avait un moyen de voir les mots de passe, selon les protocoles utilisés pour tenter de se connecter (https, ssh, scp ..etc. le mot de passe serait crypté.

[oliviervdb]

OK Merci loli71. Reponse tres clair.

[franck61700]

Pareil Gaetan, 3 tentatives en 2mn et bye bye.

Blocage d'adresse IP par pays, je n'ai laissé que ceux ou je voyage, d'ailleurs je me demande même si je ne vais laisser que la France et activé les pays au coup par coup

Bonjour, je profite du sujet.

Patrick pouvez-vous indiquer à quel endroit/ comment vous bloquez les adresses par pays ? Cela semble très efficace en matière de sécurité.

En vous remerciant.

[gaetan.cambier]

dans panneau de config --> securité --> firewall

quand tu crée tes regles, tu as dans ip source "Région" qui permet d'autoriser/bloquer par pays

donc par exemple pour juste filtre le port 22 :

tu crée une regle qui autorise 192.168.0.0/255.255.0.0 sur le port 22

tu crée une regle qui autorise ton pays sur le port 22

tu crée une regle qui refuse tout sur le port 22

(dans cet ordre)

Modifié le 31 mars 2015 par Gaetan Cambier

[Patrickdu34]

Merci Gaetan, même pas eu le temps de répondre.

[domlas]

Attention quand même le blocage par pays n'est pas une parade universelle !

D'abord il existe des gangsters même habitant la Chine qui installent leurs cochonneries sur des serveurs européens ainsi que de bons services français qui s'hébergent à l'étranger pour telle ou telle raison...

[gaetan.cambier]

bloquer 200 pays ou ne rien faire quel est le mieux ? faut parfois rester réaliste et pas sans cesse etre alarmiste

toute facon, la meilleure protection, c'est de debrancher la prise !

Modifié le 31 mars 2015 par Gaetan Cambier

[domlas]

Et même en débranchant la prise, il n'est pas dit....

Et puis sur le syno il y a le détecteur d'intrusion qui est très efficace. Inscription comme IP interdite après 5 tentatives d'entrée infructueuse en moins de 10mn ça vire au moins 99% des truands.

Et puis surtout de la protection censée : ne pas trainer sur les sites de téléchargement (vous voyez desquels je parle), ne pas trainer sur les sites de rencontres, de X, bien cerner les peu de fonctions réellement nécessaires d'accès distant au syno et bien trier les utilisateurs autorisés. Et éviter les ports "standardisés" et les modifier avec des numéros personnels, mettre de bons mots de passe, pas obligatoirement en hiéroglyphes mais légèrement différents de "123456" par exemple.