Journaux Syst

[Hayholten]

Hello everyone!

Voilà, en jetant un coup d’œil à mes journaux système, je constate que depuis deux trois jours j'ai des tentatives de connexion en SSH à mon NAS particulièrement anormales (1083!!!) !

Voyez plutôt:

Cela me fait un peu peur... Dois-je m'inquiéter?

[CoolRaoul]

Bof, c'est inévitable dès lors que si ton port SSH est visible sur le net.

Le blocage auto doit jouer son rôle (s'assurer qu'il est bien activé)

Quelques pistes pour limiter la visibilité de ton NAS en ligne:

• utiliser (via la redirection de port de ton routeur) un autre port que le 22 pour le service ssh
• mettre des règles firewall, spécifiquement sur le port 22 limitant les ranges d’adresses aux sources "amies" et connues de toi.
• activer ssh que quand necessaire

[Hayholten]

Re! Merci pour ton retour CoolRaoul!

A lire ton "bof", il semblerait que je n'ai pas à m'en faire

Seulement, le truc c'est que ces tentatives de connexions sont apparus du jour au lendemain, sans raison apparente! Et le fait d'en constater le nombre ne fait que m'inquiéter tout de même...

Cependant, sur tes conseils:

1. j'ai activé le blocage auto

2. j'ai désactivé le SSH (car pas utile pour l'heure)

J'ai tout de même constaté de nouvelles tentatives et je continue à me demander pourquoi je suis subitement pris pour cible. Parmi les évènements récents (sur cette période donc), il y a eu:

1. mise à jour du DSM en 4.2

2. mise ne place de VPN Serveur pour l'accès distant à mon NAS

Cela pourrait-il être lié?

Si d'autres constatent ce genre de comportement, n'hésitez pas à le faire savoir!

[pluton212+]

salut,

moi aussi j'en suis farci

[Fennecoide]

Bonjour,

Oups je viens de voir le post et je viens de poster le mien!

J'ai effectivement le même "problème".

Un nslookup sur les IP's m'ont appris que "la personne de l'autre coter" utilise un VPN/Proxy, car l'IP change régulièrement chez moi.

Une fois en Inde, puis en Korée, etc...

Faire du brute forcing sur des protocoles tel que FTP ou SSH, c'est moyen moyen niveau compétences de pen-testing. Cette personne n'est pas pas très maline, lamerz...

Soit, en attendant que quelqu'un me donne d'autres idées, je désactive ces protocoles et passe maintenant par un VPN.

Si vous avez d'autres conseils, je suis preneur!

[Hayholten]

Hello!

Merci de vous joindre à moi ;-)

Dites, c'est arrivé comme ça d'un coup pour vous aussi?

Perso, c'est usant, depuis ce matin 8 adresses IP bloquées par la blocage auto du DSM (configuré pour 8 tentatives en moins de 5 minutes).

En effet, celui qui a la solution...

[pluton212+]

Hello!

Merci de vous joindre à moi ;-)

Dites, c'est arrivé comme ça d'un coup pour vous aussi?

Perso, c'est usant, depuis ce matin 8 adresses IP bloquées par la blocage auto du DSM (configuré pour 8 tentatives en moins de 5 minutes).

En effet, celui qui a la solution...

Çà devrait te rassurer, au moins le blocage auto fonctionne bien... J'ai mis 3 tentatives en 60 mn dans les réglages (çà soulage un peu les log)

Modifié le 10 mars 2013 par pluton212+

[Hayholten]

Yes ça fonctionne mais j'aimerai ne pas en avoir besoin... Ça commence à faire beaucoup là...

Pour toi aussi c'est arrivé d'un coup?

[Hayholten]

Encore une douzaine de blocages en quelques heures (donc 96 de tentatives!). Rah...

En parcourant un peu le forum, j'ai constaté que beaucoup d'entre vous posent en ce moment des questions sur le SSH et la sécurité. C'est moi ou bien? Et pourquoi en ce moment particulièrement?

[bud77]

La sécurité a toujours été dans l'esprit, c'est juste qu'on avait pas les moyens de "voir" toutes ces connexions auparavant

Les méthodes de "sécurisation" sont toujours les mêmes

[Hayholten]

La sécurité a toujours été dans l'esprit, c'est juste qu'on avait pas les moyens de "voir" toutes ces connexions auparavant

Les méthodes de "sécurisation" sont toujours les mêmes

Hum... Tu veux dire que le DSM 4.2 permet la visualisation "poussée" de ces logs, ce qui n'était pas le cas avant (sauf paramétrage particulier je suppose)?

Auquel cas, j'ai "toujours autant" été "attaqué"?

Dans ce cas, je dois peut-être avoir le moyen de désactiver les notifications pour ce type d'erreur... Y a des gens qui ont du temps à perdre quand même...

[bud77]

Tu temps perdu, pas vraiment, c'est que des scripts qu'ils lancent, et reviennent 3h plus tard

Et après, ils peuvent toujours tomber sur des fichiers qui les intéresseraient par exemple

Pour les notifications, je pense que çà doit etre désactivable, mais je ne saurais te dire, je suis encore en DSM 4.0

[Hayholten]

Tu temps perdu, pas vraiment, c'est que des scripts qu'ils lancent, et reviennent 3h plus tard

Et après, ils peuvent toujours tomber sur des fichiers qui les intéresseraient par exemple

Pour les notifications, je pense que çà doit etre désactivable, mais je ne saurais te dire, je suis encore en DSM 4.0

Évidement, je comprends la "logique" du hacker: "dans le tas, on verra bien"...

Ce qui m'a inquiété, c'est le fait que ça m'apparaisse d'un coup d'un seul.

Quant aux notifications, je n'ai pas trouvé où les désactiver... Rah, c'était plus simple sous DSM 4.1 pour le coup...

[L@f@yette]

Bonsoir,

Je suis également dans ce cas. Avec la 4.1 pas un blocage, avec la 4.2 c'est régulier.

La question : meilleur monitoring ou faille (ou firmware attirant fortement les robots/hackers) sur la 4.2 ?

N'ayant que peu de connaissance dans le domaine je fais confiance naïvement au firewall de mon syno ...

[Thierry94]

Bonsoir,

J'ai aussi de nombreuses tentatives de connexion à mail server ... Plus de 10 IP par jour bloquees depuis le week-end end dernier ... Avant je n'avais rien !

[reddel]

Idem pour nous. Les 8 NAS que nous gérons et qui sont passés en 4.2 renvoient tous des logs de tentatives brute force en SSH depuis une dizaine de jours.

Serait-ce une tentative d'exploitation d'une faille 0day inconnue ?

Si quelqu'un a une info ?

Merci d'avance.

@+

[bud77]

Idem pour nous. Les 8 NAS que nous gérons et qui sont passés en 4.2 renvoient tous des logs de tentatives brute force en SSH depuis une dizaine de jours.

Serait-ce une tentative d'exploitation d'une faille 0day inconnue ?

Si quelqu'un a une info ?

Merci d'avance.

@+

Si c'était l'exploitation d'une faille, il n'y aurait pas d'échec

[Brunchto]

Bonsoir,

J'ai aussi de nombreuses tentatives de connexion à mail server ... Plus de 10 IP par jour bloquees depuis le week-end end dernier ... Avant je n'avais rien !

ben, avant, le blocage d'IP n'était pas actif sur Mail Server, donc tu n'avais rien.

[pluton212+]

ben, avant, le blocage d'IP n'était pas actif sur Mail Server, donc tu n'avais rien.

et le /var/log/messages était rempli de tentatives d'accès

[Brunchto]

et le /var/log/messages était rempli de tentatives d'accès

yes

[L@f@yette]

Ok je comprends mieux. Merci pour ces explications pour ma part c'est également sur le mail server que j'ai ces blocages.

[Hayholten]

Yep...

La mise à jour DSM 4.2 nous permet de voir ce que l'on ne voyait pas avant (mais qui pourtant était bien réel). Concernant le SSH, j'ai créé un port 2222 que je forwarde vers un port 22 sur l'IP de mon Syno.

Depuis, je n'ai plus de notification de blocage d'IP. Quant à Mail Serveur, je ne l'utilise pas (encore), donc je ne saurai dire...

[Thierry94]

Bonjour,

Problème .... maintenant je n'ai plus aucun blocage d'IP depuis 2 jours ...

Cela veut il dire qu'il n'y a réellement plus d'attaques ou bien qu'ils ont réussi à entrer dans le NAS ;-)

Comment savoir ?

[pluton212+]

a mon avis ils sont entrés,

ils sont en train de te piquer toutes tes photos de vacances

ils écoutent tes musiques

ils regardent tes films

arghhhh c'est la guerre...

[Thierry94]

et plus sérieusement ... y a t-il quelque chose à faire ou contrôler sur la NAS, pour essayer de savoir si j'ai été piraté ?