Bonjour,

Heureux possesseur d'un 213j depuis queslques mois, j'avais depuis le départ activé la fonction "Blocage auto" qui me parait être un bon moyen de se protéger des attaques de type brute-force. Je n'avais jamais reçu le signe d'une quelconque attaque depuis.

Mon syno est passé sur DSM 5.0 hier matin et ce matin entre 5h et 10h j'ai eu quatre tentatives (visible depuis le journal "connexion") dont trois blocages (journal "général").

Ce qui m'inquiète c'est que ces tentatives se font depuis SSH alors que je ne l'ai pas activé. Par ailleurs, elles se font via des comptes utilisateurs que je ne connais pas même si j'imagine que ce sont des comptes systèmes qui nous sont invisibles normalement.

Les logs des deux dernières "attaques":

Niveau Journal Date et Heure Utilisateur

Evénement

Warning Connexion 2014/03/11 10:37:30 SYSTEM

User [root] from [58.248.9.140] failed to log in via [sSH] due to authorization failure.

Warning Connexion 2014/03/11 10:37:25 SYSTEM

User [db2inst1] from [58.248.9.140] failed to log in via [sSH] due to authorization failure.

Warning Connexion 2014/03/11 10:37:20 SYSTEM

User [root] from [58.248.9.140] failed to log in via [sSH] due to authorization failure.

Warning Connexion 2014/03/11 10:15:55 SYSTEM

User [postgres] from [61.74.68.163] failed to log in via [sSH] due to authorization failure.

Warning Connexion 2014/03/11 10:15:44 SYSTEM

User [postgres] from [61.74.68.163] failed to log in via [sSH] due to authorization failure.

Warning Connexion 2014/03/11 10:15:36 SYSTEM

User [postgres] from [61.74.68.163] failed to log in via [sSH] due to authorization failure.

J'ai depuis abaissé le blocage automatique à deux connexions infructueuses.

Mes questions :
- Est-ce normal que SSH soit activé alors que je n'ai pas coché la case dans le panneau de configuration?
- Avez-vous aussi une activité suspecte depuis le passage à DSM 5.0?
- Y a-t-il un moyen de me protéger efficacement?

Merci!

N'a aurais-tu pas le serveur sftp et/ou le service de sauvegarde réseau rsync actifs (tous les deux s'appuient sur ssh)?

Sinon pour te protéger suffit simplement de ne pas rediriger le port ssh (22) dans ta box puisque tu dis ne pas l'utiliser.

9 IP bloquées en 24h. Je ne sais pas si c'est beaucoup. Ca vous arrive souvent?

Merci CoolRaoul, j'ai enlevé la redirection.

Ca m'arrive régulièrement (et même sans DSM 5). Se sont des bots qui essaient avec des login/password par défaut. Pas beaucoup d'inquiétude à avoir.

+1 comment faire pour changer le port 22 et pouvoir continuer a effectuer une sauvegarde de nas a nas ? Merci par avance