Tentative De Connexion....hack ?

[tisote]

Bonjour !

J'ouvre ce topic pour avoir quelques avis.

J'ai quelques soucis avec mon CloudStation, ce qui a nécessité (via le chat hier soir) quelques commandes en activant le SSH. Au passage merci du temps passé par oli pour essayer de m'aider : j'ouvrirai un autre topic bientôt si le problème perdure (en gros une mauvaise synchro entre mes répertoires Cloud...)

Bref,

J'ai activé le SSH hier soir, je me suis connecté en root (via putty sur mon PC) et ai pu faire les vérifications nécessaires.

Jusque là, rien de grave.

Ce matin, au réveil, je me suis apercu que, vers 3 heures du matin, des tentatives de connexion avaient eu lieu sur mon NAS, avec le login root et ghost.

User [root] from [.82.114.129] failed to log in via [sSH] due to authorization
failure

User [ghost] from [.82.114.129] failed to log in via [sSH] due to
authorization failure

et ceci un certain nombre de fois......mais sans jamais avoir réussi (OUF)

Une petite recherche sur myip montre que cette IP est située en GB (toutes les infos via myip / whois), et.....je ne vous cache pas que, à part quelques cousins bretons, je n'ai PAS de connaissances en grande bretonnie

Alors, qu'en pensez vous ?

Tentative de hack ?

Comment être sûr que cela n'a pas "réussi" ?

Comment bien sécuriser son accés ? (je suis derrière une adresse DDNS) ?

Bref, j'ai besoin de vos lumières .....

Merci !

[Gandalf_alx]

Tu peux regarder dans le journal de connexion pour vérifier si il y a eu des connexions a ce moment (journaux système/onglet connexion).

Je te conseil d'activer le blocage auto si tu laisse le port 22 ouvert (panneau de configuration/blocage auto) ce qui blacklistera les ip et donc limitera les risques que les tentatives des robots aboutissent.

[tisote]

ok, donc tu penses que c'est l'oeuvre d'un robot qui "scanne" ... le port 22 c'est bien celui du SSH ?

mon blocage auto était activé et d'après le log de connexion, pas de réussite pour l'IP qui a été blacklistée....

J'en déduit que la tentative a échouée ?

Si c'est bien ça, je pense refermer mon accès via SSH, pour une 1ère, ça m'a refroidi !!

En revanche j'ai toujours mon petit souci avec mon CloudStation.Je prépare un autre petit topic !

Modifié le 12 mars 2013 par tisote

[Gandalf_alx]

oui en général c'est des robot qui scanne les ports ouvert.

En effet si l'adresse à été bloqué il n'a pas pu se connecté a ton nas.

Au lieu de refermé ton port sur le NAS, supprime la règle NAT de ton routeur, il ne sera plus visible de l'extérieur et tu pourras toujours te connecter en ssh sur ton réseau local.

[tisote]

oups, j'ai besoin d'une indication....NAT ?

[Gandalf_alx]

NAT = redirection vers l'adresse IP local de ton nas dans ton routeur pour que le port 22 soit accessible de l'extérieur.

Tu as du créer une règles dans ton routeur du genre : port 22 => port 22 de l'IP local de ton nas ?

[tisote]

oui effectivement mon port 22 redirige vers mon IP interne NAS...si je supprime cette règle, pas de soucis qu'il y ait un disfonctionnement ?

[Gandalf_alx]

Cette règle permet d'ouvrir une session ssh de l'extérieur.

Si tu la supprime tu pourras accéder à une session ssh seulement quans tu est connecté sur le réseau chez toi

[mikijone]

Sinon tu peux juste modifier la règle NAT de ton routeur si tu as vraiment besoin d'y accéder en ssh de l'extérieur:

Au lieu de mettre "from port 22 to port 22" tu met un truc du genre "from port 56230 to port 22". J'ai mis le port 56230 au pif à toi de choisir celui qui te plait ! Le port 56230 étant ton port extérieur (internet) et le 22 ton port local (coté LAN).

Ainsi si tu as besoin d'accéder de l'extérieur lorsque tu es en voyage (un reboot à distance en ssh peut parfois aider!!), tu spécifie simplement "port 56230" sur Putty (ou ton logiciel ssh) et voilà. Le routeur ré-adressera ce que tu lui envoie sur le port 56230 vers le port 22 de ton NAS.

Je fais comme ça et je n'ai jamais d'attaque. Par contre en laissant sur 22 to 22, là ça n'arrêtait pas.... Les scans sont quasiment toujours sur les ports par défaut.

Miki

[Gandalf_alx]

+1 en effet c'est ce que j'ai fait chez moi, mais pas sur le port 56230

[tisote]

merci de vos conseils ! je vais faire ça !

(si vous pouviez regarder un peu mon nouveau topic sur CloudStation aussi, ça m'aiderait)

[Gandalf_alx]

j'ai vu mais je ne peux pas t'aider à ce sujet désolé

[tisote]

arf tant pis ! merci quand même !