Aller au contenu

Attaques Internet "massives" sur SSH


Messages recommandés

Depuis hier j'ai eu plus d'une centaine de tentatives d'intrusions sur le port SSH qui ont toutes été repoussées au bout de 3 échecs en moins de 10 minutes.

Choses "demi-bizarres" :

  • les adresses IP changent à chaque tentative et semblent venir de tous les pays du monde (sauf Chine et Russie ce qui d'expériences précédentes est un scoop... Je pense à l'utilisation de proxies),
  • Mon port SSH n'était pas le 22 sur le NAT de ma box et était redirigé (j'ai changé ce matin la redirection pour voir et laissé le 22 désactivé) donc les attaques ont eu lieu sur la redirection qui était présente jusqu'à ce matin.
  • Je conviens que le port que j'utilisais était "plutôt facile" à trouver mais "plutôt" ne signifie pas trivial ;-)

Si vous avez des recommandations, des suggestions, des idées.... elles seront bienvenues.

 

Modifié par HommeTranquille
Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, firlin a dit :

Bonjour HommeTranquille,

Lit ca et applique le en partie ou en totalité tu devrais avoir moins de probléme.

Merci de ton aide mais j'ai déjà fait ce travail (je vais relire quand même)...

Ce qui m'inquiète le plus est en amont :

  • Changement permanent des IPs,
  • Découverte du port SSH qui n'était pas standard dans le NAT de ma boxe qui me rassure c'est la betise des "logon id" utilisés.... A part "postgres", et "root" tout le reste est une collection de noms "banals" sauf un "sistemas" qui est peut être "système" en espagnol.... (je ne connais rien en espagnol à part senorita  :biggrin:)

 

il y a une heure, Mic13710 a dit :

Laisser le ssh accessible de l'extérieur n'est pas vraiment safe. Mieux vaut passer par le VPN pour accéder au NAS en SSH dans un tunnel sécurisé (voir le tuto de Fenrir sur le serveur VPN)

Pour l'instant j'ai redirigé le SSH/22 sur un autre port et cela s'est calmé provisoirement (peut être grâce au décalage horaire des ^pirates")....

Aujourd'hui dans le paramétrage du Firewall, j'ai limité les IPs sources pour le port 22 à la France..

Mais je vais probablement travailler à la mise en place du VPN si cela recommence sous peu...

Merci.

Modifié par HommeTranquille
Lien vers le commentaire
Partager sur d’autres sites

En 2017 croire que le changement des ports par défaut est suffisant, c'est aussi futile que de laissé le ssh ouvert sur le net...

Tu ne connais pas les scanner de port ?

En temps que modérateur je vois ton adresse IP... tu as un nombre incalculable de port ouvert... je te recommande de reprendre le conseil de firlin... j'ai vue le port ftp sur son port par défaut... l'interface du dsm en http, webdav en http, etc....

Tu parles de proxy.. il y a aussi des vpn... et il en existe en france aussi... donc la limitation géographique réduit l'impact, mais ne l'empêche pas... surtout si tu laisses ton nas en openbar

Lien vers le commentaire
Partager sur d’autres sites

Je n'ai jamais pensé cela et bien sûr je connais l'existence des scanneurs de ports... C'est une erreur de ma part que d'avoir compté sur le changement de port et d'avoir oublié ce problème... Je le reconnais bien volontiers.

Ce qui m'a surpris c'est bien sûr ma propre erreur/mon oubli mais surtout l'attaque directe (du moins en apparence...) du port de substitution que j'avais mis en place.

Tu exagères en parlant d'un nombre incalculable de ports ouverts. Moins de 12 et au pif de l'ordre de 10 (je vais vérifier).

L'interface en HTTP du DSM ou de WEBDAV ne m'a pas choqué car je ne recherche pas la "confidentialité" de mes échanges réseaux que me procurerait HTTPS (quel apport autre que préserver la confidentialité ?... Rien en matière de sécurité que je sache..).

FTP n'est pas utilisé sur le NAS. Ce que tu vois c'est l'IP de ma box, pas celle du NAS.... et le trafic FTP est redirigé sur un PC à partir du NAT de la box.

Je ne parles pas de proxy ou je deviens dingue et je ne me souviens pas de ce j'ai écrit... :surprised:

Je n'ai rien contre les VPNs même si j'ai toujours craint les problèmes de performance et de facilité de mise en oeuvre... Comme je le dit plus haut, je vais y travailler.

PS : Merci quand même de ta réponse même si j'en trouve le ton sévère et un tantinet moqueur.

Il y a 3 heures, firlin a dit :

Si tu n'as pas de raison d’ouvrir tous les ports au reste du monde (déplacement fréquent à l’autre bout de la planète ) limite toi à la France et a l'Europe si tu en as besoin.

Bien compris.. Merci.

Modifié par Mic13710
inutile de répéter le message précédent si ça n'apporte rien de plus à la compréhension
Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, HommeTranquille a dit :

L'interface en HTTP du DSM ou de WEBDAV ne m'a pas choqué car je ne recherche pas la "confidentialité" de mes échanges réseaux que me procurerait HTTPS (quel apport autre que préserver la confidentialité ?... Rien en matière de sécurité que je sache..).

Tes logins en clair par exemple ? Comme pour le ftp...

Tu parles bien de proxy plus haut, refait la lecture de tes posts...

Bref ton nas est une vraie porte ouverte et il est temps que potasse certains post qu'on te recommande, sauf si vraiment tu n'accorde aucune confidentialité aux données que Tu stock sur ton nas et la porte ouverte qu'il donne sur ton réseau interne...

Lien vers le commentaire
Partager sur d’autres sites

J'ai vérifié les portes du NAS.... 7 sont ouvertes... 8 lorsque le FTP n'est pas fermé....

J'ai passé un scanner de portes (Free Port Scanner de http://www.nsauditor.com) et il me trouve ouvert le port 53 (DNS) qui n'est pas listé dans les ports vu par le NAS...

Je peux tenter de le déclarer et de le bloquer dans le NAT de la box mais je vais tenter de glaner des infos là-dessus sur le net avant de faire n'importe quoi.

Modifié par HommeTranquille
Lien vers le commentaire
Partager sur d’autres sites

Je fais parti de ceux qui recommandent de ne pas changer les ports par défaut quand c'est possible car ça n'apporte presque rien coté sécurité (c'est même plutôt le contraire dans certains cas).

Dans l'absolu, laisser le port SSH ouvert à la planète n'a pour seule conséquence que de remplir les logs SI ET SEULEMENT SI le service est correctement configuré :

  • authentification uniquement par clef Ed25519 ou RSA (>= 4096)
  • root interdit, même avec clef
  • les utilisateurs autorisés ne doivent pas être dans sudo
  • les ciphers ssh doivent être limités
  • ...

Dans le cas des Synology, ce n'est pas possible de le configurer correctement => pas de ssh ouvert depuis Internet pour synology

il y a une heure, HommeTranquille a dit :

L'interface en HTTP du DSM ou de WEBDAV ne m'a pas choqué car je ne recherche pas la "confidentialité" de mes échanges réseaux que me procurerait HTTPS (quel apport autre que préserver la confidentialité ?... Rien en matière de sécurité que je sache..).

Je te donne un exemple, si tu te connectes depuis un réseau non sécurisé à ton nas en http (par exemple un hotspot, le réseau ouvert des voisins, en 3G/4G) => toutes les personnes à portée peuvent connaitre les login/pass utilisés, modifier les requêtes, modifier les réponses (et t'envoyer ce qui veulent).

Idem pour le FTP ou tout autre protocole d'échange non signé.

Il y a 5 heures, HommeTranquille a dit :

les adresses IP changent à chaque tentative et semblent venir de tous les pays du monde (sauf Chine et Russie ce qui d'expériences précédentes est un scoop... Je pense à l'utilisation de proxies),

Pour info, les "pirates" (en pratique il s'agit de programmes 100% automatisé) passent par différents "intermédiaires" pour masquer leurs traces et faire croire qu'ils sont en France, il peut s'agir de proxy, de vpn, de ... mais en pratique c'est rarement utilisé car il est nettement plus simple de se servir de machines infectés dans différents pays (botnet).

Modifié par Fenrir
Lien vers le commentaire
Partager sur d’autres sites

 

@Einsteinium

il y a 24 minutes, Einsteinium a dit :

Tu parles bien de proxy plus haut, refait la lecture de tes posts...

Pardonne mon coté "tête de mule" mais je ne trouve pas cette allusion dans mes écrits... Tu pourrais compter les posts depuis le début et me dire ? :biggrin:

@Fenrir

Merci de tes infos très utiles pour me faire prendre conscience des risques...

Je ne suis pas très inquiet pour HTTP/HTTPS car seuls les comptes users lambda passent par Internet...

Les comptes administrateurs, sont utilisés par "bibi" uniquement sur le LAN. J'espère que mon raisonnement tient la route...

Modifié par HommeTranquille
Lien vers le commentaire
Partager sur d’autres sites

Il y a 4 heures, HommeTranquille a dit :

@Einsteinium

Pardonne mon coté "tête de mule" mais je ne trouve pas cette allusion dans mes écrits... Tu pourrais compter les posts depuis le début et me dire ? :biggrin:

Fenrir quote pourtant bien ton message avec le mot clef en gras...

Tu utilises un scanner de port alors que tu bloques les pays extérieur à la France :rolleyes:

Port : 21,1290,2022,5000,5001,5005,5006,5022,9007,9008,13214,22976,59821.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 4 heures, HommeTranquille a dit :

J'espère que mon raisonnement tient la route...

Non

Il y a 4 heures, Fenrir a dit :

modifier les réponses (et t'envoyer ce qui veulent)

Je reformule de manière plus explicite. Les trames n'étant pas signées (il ne s'agit même pas de chiffrement ici), un "attaquant" peut facilement se faire passer pour ton serveur (même sans faire de MitM) et t'envoyer des fausses réponses contenant, par exemple, une charge virale (ou n'importe quoi en fait, cookie traceur, image pédopornonazie, redirection vers un site tiers ...). En chiffrant, en plus de protéger le contenu des échanges, les paquets sont signés, donc il n'est plus possible de falsifier les réponses (c'est l'intégrité ci dessous).

Citation

TLS (ou SSL) fonctionne suivant un mode client-serveur. Il permet de satisfaire aux objectifs de sécurité suivants :

Dit autrement, il ne faut JAMAIS se connecter à une ressource non chiffrée si on passe par un réseau non fiable. Un site comme ce forum qui ne propose du chiffrement que sur la page de connexion ne devrait pas être consulté depuis un hotspot par exemple.

Lien vers le commentaire
Partager sur d’autres sites

Je suis bouché mais je ne demande qu'a comprendre... Si j'utilise pas de compte administrateur sur Internet, ils peuvent bricoler ce qu'ils veulent, ils ne pourront pas faire de dégats autres qu'un utilisateur basic qui entrerait sur mon NAS ? Ils ne pourront pas utiliser les privilèges d'un utilisateur admis comme admin ? Non ? Désolé d'être si long à comprendre mais quelque chose doit m'échapper....

Il y a 3 heures, Einsteinium a dit :

Fenrir quote pourtant bien ton message avec le mot clef en gras...

Tu utilises un scanner de port alors que tu bloques les pays extérieur à la France :rolleyes:

Port : 21,1290,2022,5000,5001,5005,5006,5022,9007,9008,13214,22976,59821.

Fenrir doit probablement le faire mais je ne vois rien... Tu ne veux pas me dire où ? je dois être c... mais sincèrement je ne vois rien.

J'ai utilisé le scanner sur une machine sur le LAN qui lui est autorisé. Ces plages d'adresses sont autorisées chez moi.

  • 192.168.0.0 - 192.168.255.255 (65,536 IP addresses)
  • 172.16.0.0 - 172.31.255.255 (1,048,576 IP addresses)
  • 10.0.0.0 - 10.255.255.255 (16,777,216 IP addresses)

Le scanner de port scanne en standard les portes 21-23,25,53,80,110,135,137-139,443,445,1080,1433,3128,3306,8080 auquel j'ajouté quelques portes redirigées.... et j'ai été surpris de trouver le port 53 (DNS) ouvert alors qu'il n'est pas mentionné dans le NAT de ma boxe.

 

Modifié par HommeTranquille
inutile de répéter le message précédent si ça n'apporte rien de plus à la compréhension
Lien vers le commentaire
Partager sur d’autres sites

Il y a 8 heures, HommeTranquille a dit :

Je suis bouché mais je ne demande qu'a comprendre... Si j'utilise pas de compte administrateur sur Internet, ils peuvent bricoler ce qu'ils veulent, ils ne pourront pas faire de dégats autres qu'un utilisateur basic qui entrerait sur mon NAS ? Ils ne pourront pas utiliser les privilèges d'un utilisateur admis comme admin ? Non ? Désolé d'être si long à comprendre mais quelque chose doit m'échapper....

Un exemple concret :

Bref... 

Lien vers le commentaire
Partager sur d’autres sites

@einsteinium

Merci de toutes ces infos - j'ai de la lecture pour un moment ;-) - Je vais explorer tout cela et cela va le faire du bien aux méninges car j'ignorais ce type d'attaque sur le matériel Synology mais j'aurais dû m'en douter car aucun matériel/logiciel n'est à l'abri de ces "co.....ards" :crashh:

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.