Aller au contenu

Soudaine et inexplicable flambée d'attaques SSH


CoolRaoul

Messages recommandés

il y a 13 minutes, gaetan.cambier a dit :

je m'inquiéterai plutôt de tout ce qui pourrait passé inaperçu qu'une liste d'attaque bloquée en bon et due forme ...

S'inquiéter ou pas est un autre problème et n'est pas mon propos ici, c'est surtout que j'aimerai comprendre la cause de ce qui ce passe (disons par curiosité intellectuelle).

Modifié par CoolRaoul
Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, Fenrir a dit :

Donc pour moi, les utilisateurs sont les premiers fautifs. Fautifs d'être des moutons de Panurge, fautifs de se limiter aux infos du 20h, fautifs de ne pas chercher à comprendre en quoi ils sont concernés, fautifs de ne pas réfléchir 30 secondes aux implications de leurs choix ...

Je dis toujours que si les utilisateurs lisaient les CGU (et les comprenaient), ils hésiteraient à créer un compte sur certains services en ligne (Facebook étant l'un des plus dissuasifs à l'époque où j'avais songé à créer un compte). Mais honnêtement, qui les lit ? (à part moi, encore un truc qui justifie la fin de mon pseudonyme)

Maintenant, étant ici entre gens ayant une bonne culture des systèmes d'information, il faut aussi savoir se mettre à la place de l'utilisateur moyen qui (par exemple) veut simplement un smartphone (à 700€ l'aspirateur de vie privée) pour communiquer avec ses proches et qui se contre-fout de ce qui se cache derrière. C'est de toute façon trop technique pour lui et ça ne l'intéresse pas, il a autre chose de mieux à faire. Et ça, c'est la réalité vue par l'utilisateur et je ne pense pas qu'on puisse le lui reprocher.

il y a une heure, CoolRaoul a dit :

[...] c'est surtout que j'aimerai juste comprendre la cause de ce qui ce passe (disons par curiosité intellectuelle).

Je ne sais pas si tu as poussé ton questionnement jusque là, mais la vraie question est "À qui profite le crime ?". Qui se fait suffisamment chier au quotidien pour pondre un botnet qui va se propager sur un maximum de machines (n'importe laquelle du moment que c'est une passoire connectée) et dont le but est de paralyser les services d'une cible bien identifiée (comme OVH qui s'est pris un DDoS avec 1Tbps de débit entrant il y a quelques mois).

À priori, le but est de provoquer un comportement anormal d'un système (par exploitation de faille) afin de le fragiliser et de dérober des données personnelles réutilisables (pour usurpation d'identité, paiements frauduleux, ... ) pour soi-même ou pour une organisation. Ça concerne principalement les services de messagerie et de stockage personnel (Yahoo, iCloud, ...). Personne ne s'amuserait à faire ça s'il n'y avait pas de gain permettant de financer une activité obscure (ou la dernière Koenigsegg).

Si ce n'est vraiment pas pour l'argent, le but serait alors de paralyser l'activité économique en s'attaquant aux services les plus utilisés par les entreprises d'un pays visé. Là on va plutôt retrouver quelques services populaires (G Suite, Office 365, ...) voir carrément les infrastructures (EC2, Azure, OVH, ...). On qualifierait ça de guerre économique ?

Enfin voilà à peu près la température du courant d'air qui me siffle entre les deux oreilles.

Pour l'anecdote, cette situation préoccupe visiblement certains états dont la France. Travaillant dans un domaine soit-disant "prioritaire", on avait reçu fin 2015 un courier du Ministère de l'Intérieur nous informant que nous devions apporter une grande attention à la sécurisation de nos systèmes d'information, et qu'en cas de "situation majeure" nos sites de production seraient réquisitionnés (ainsi que le postérieur d'une célèbre fouetteuse de produits laitiers).

Lien vers le commentaire
Partager sur d’autres sites

Il y a 6 heures, PiwiLAbruti a dit :

Je ne sais pas si tu as poussé ton questionnement jusque là, mais la vraie question est "À qui profite le crime ?". 

:confused:

Faut croire que je m'y prend mal à expliquer sur quoi porte plus précisément mon interrogation (le titre du fil me semblait pourtant peu ambigu pourtant): je n'est que *l'augmentation* soudaine (de quasi rien à plusieurs par jour) dont j'aimerai , juste par curiosité, trouver une possible raison. Pour le reste (la cause des attaques en général) je ne suis quand-même pas né de la derniere pluie, je connais déjà.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, CoolRaoul a dit :

[...] *l'augmentation* soudaine (de quasi rien à plusieurs par jour) dont j'aimerai , juste par curiosité, trouver une possible raison.

L'augmentation du nombre d'attaque est proportionnel au nombre de nouveaux botnets recrutés, en période de fêtes c'est tout à fait normal (comme le disait @Fenrir).

Lien vers le commentaire
Partager sur d’autres sites

D'environ 1 par mois à de l'ordre de la dizaine par semaine ça donne une augmentation de rien moins que 4000%: j'invite ceux qui en ont l'occasion à regarder leurs logs avant et après le 25, m'étonnerait que beaucoup constatent une progression comparable (le "proportionnel" reviendrait à dire que le nombre de botnet dans le monde aurait été multiplié par 40 entre le 24 et le 25 décembre)

Voila pourquoi je resterai persuadé que cette explication ne peut être que partielle. (et je le répète il ne s'agit ici que de simple curiosité)

Lien vers le commentaire
Partager sur d’autres sites

il y a 29 minutes, PiwiLAbruti a dit :

Il peut y avoir tout un tas de raisons à une augmentation aussi brusque, comme une augmentation de la fréquence des attaques d'un botnet existant, ou carrément un nouveau botnet. Ça suffirait amplement à faire exploser le nombre de tentatives d'intrusion.

Voila des explications qui me vont bien mieux. Suffit également comme je l'ai également envisagé plus haut que mon IP (ou son range) se soit soudain trouvée dans le pool utilisé par un bot nouvellement apparu sur le "marché".

Me semble plus difficile de penser que c'est uniquement du à la période des fêtes.

Au passage, j'ai remarqué en analysant les logs que le bot semble savoir tenir compte que la cible est un Syno: la majorité des tentatives se font sur le compte "admin" et pas "root".

Modifié par CoolRaoul
Lien vers le commentaire
Partager sur d’autres sites

Il y a 4 heures, CoolRaoul a dit :

le "proportionnel" reviendrait à dire que le nombre de botnet dans le monde aurait été multiplié par 40 entre le 24 et le 25 décembre

Que le nombre total de bot ait été multiplié par 40 j'en doute mais que le nombre de bot actif l'ait été, c'est tout à fait possible. Ensuite il y a d'autres facteurs (plein d'autres, trop pour tous les énumérer).

Quelques exemples :

  • un voisin (au sens ip) s'est fait trouer => ton bloc d'adresse est remonté dans les classements
  • ton fai a modifié truc (peering, protection, arin, ...)
  • la faute à pas de bol
  • un machine chez toi a été détectée, il suffit parfois de se rendre sur un site (via une pub généralement) pour voir son adresse (et toutes les infos comme l'os, l'antivirus, ...) apparaitre dans des listes de cibles
  • un nouveau 0day est sorti sur le port que tu utilises
  • ...
  • et j'insiste sur l'aspect "périodes de fêtes", au travail c'est flagrant, le volume d'attaque (je ne parle même pas des scan) explose d'un facteur 100 à 1000 tous les ans pendant les fêtes (à tel point qu'on augmente la rotation des logs entre le 15/12 et le 15/01).

Quand j'ai commencé mon travail actuel, un de mes premiers projets a été de refaire la partie frontale (mx, relai, antispam, antivirus) de la messagerie. La pire des année, on a reçu environ 1'000'000'000 de spam (ça commence à faire), 50% de ces spams arrivaient en décembre et 30% entre juillet et aout.

Ensuite les techniques de découvertes de cibles évoluent constamment, si tu prends le dernier bot à la mode, 1337 (leet, c'est un gros méchant celui là), il utilise des techniques qui mettent en défaut la plupart des protections contre la découverte qu'on trouve dans les box. Il est sortie au grand jour le 21 décembre.

Mais encore une fois, dans ton cas le volume est tellement faible qu'on ne peut en tirer aucune conclusion.

Tout ce que je peux te conseiller, c'est d'éviter de rendre tes machines accessibles depuis tout Internet. Au moins 4 des ip listées plus haut viennent de Corée du Nord, je doute que tu ais besoin de te connecter en ssh à ton nas depuis ce pays, je doute même que tu ais le droit de le faire (à moins que tu sois dans les petits papiers de Kim Jong-un).

Il y a 4 heures, CoolRaoul a dit :

Au passage, j'ai remarqué en analysant les logs que le bot semble savoir tenir compte que la cible est un Syno: la majorité des tentatives se font sur le compte "admin" et pas "root".

N'importe quel scanner peut détecter avec un bon taux de fiabilité l'os et la version du service derrière un port ouvert, peu importe le numéro de port.

Par exemple un scan du port sur lequel écoute ssh sur mon Syno renvoi : linux_kernel:3.10.77 OpenSSH 6.8p1-hpn14v6 (protocol 2.0)

Avec ces 2 éléments (version du noyau et d'openssh), on peut facilement en déduire l'OS exact (il existe des tables de correspondance avec des millions de combinaisons).

Lien vers le commentaire
Partager sur d’autres sites

il y a 32 minutes, Fenrir a dit :

Ensuite les techniques de découvertes de cibles évoluent constamment, si tu prends le dernier bot à la mode, 1337 (leet, c'est un gros méchant celui là), il utilise des techniques qui mettent en défaut la plupart des protections contre la découverte qu'on trouve dans les box. Il est sortie au grand jour le 21 décembre.

nous faudrait pas çà au travail ... un afflut normal provoque deja un ddos sur nos pauvres serveurs ... alors 650 Gbs, tout implose  :lol:

Lien vers le commentaire
Partager sur d’autres sites

il y a 40 minutes, Hedy a dit :

Cest quoi le principe ? C est d avoir tellement de requetes entrantes que les routeurs ne gerent plus et qui finalement laisse passer des choses ?

laisee passer quelque chose même pas, mais "simple" saturation de la ligne et du/des équipement qui sont derrière

après niveau répercutions, çà dépend ... pour les sociétés, si ils ont des clients avec SLA, çà peux vite chiffrer, ...

Lien vers le commentaire
Partager sur d’autres sites

il y a 55 minutes, Hedy a dit :

Cest quoi le principe ? C est d avoir tellement de requetes entrantes que les routeurs ne gerent plus et qui finalement laisse passer des choses ?

En général les routeurs ne bronchent pas (sauf s'ils sont visés directement).

La cible c'est les applications, ça peut être du déni de service comme indiqué par @gaetan.cambier mais dans certains cas ça permet aussi de les faire planter et d'ouvrir des brèches.

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, Fenrir a dit :

Tout ce que je peux te conseiller, c'est d'éviter de rendre tes machines accessibles depuis tout Internet. Au moins 4 des ip listées plus haut viennent de Corée du Nord, je doute que tu ais besoin de te connecter en ssh à ton nas depuis ce pays, je doute même que tu ais le droit de le faire (à moins que tu sois dans les petits papiers de Kim Jong-un).

J'insiste également fortement sur ce point, le plus efficace est d'utiliser une liste blanche sur mesure et de bloquer tout le reste.

Par exemple, on a une flotte de commerciaux équipés de portables avec des cartes SIM réparties chez deux opérateurs. Je n'ai autorisé que les plages auxquelles appartiennent les adresses IP avec lesquelles ils se connectent à accéder au VPN.

Sur un NAS Synology, autoriser toute la France élimine aussi beaucoup de problèmes mais pas tous. Mais il reste des irréductibles comme le plus gros aspirateur de données en France, la BnF, qui depuis 2012 se contrefout ouvertement du "savoir crawler" sur internet.

Lien vers le commentaire
Partager sur d’autres sites

il y a 49 minutes, Fenrir a dit :

Pas plus que de saisir un code pour son smartphone :biggrin:

J'avoue .. en parlant de smartphone, c'est un peu hors sujet, mais le payement par NFC est enfin arrivé en Belgique ... Faut imaginer la tête de la caissière quand tu met pas la carte et que la caisse dit que s'est payé :lol:

Lien vers le commentaire
Partager sur d’autres sites

il y a 34 minutes, gaetan.cambier a dit :

J'avoue .. en parlant de smartphone, c'est un peu hors sujet, mais le payement par NFC est enfin arrivé en Belgique ... Faut imaginer la tête de la caissière quand tu met pas la carte et que la caisse dit que s'est payé :lol:

Ça fait un moment qu'on a ça ici, mais je refuse de m'en servir pour le moment, pas encore assez sécurisé. je ne parle pas que du risque de se faire piquer 5*20€ (en changeant de devise on peut même faire sauter les plafonds), mais aussi des infos (n° de carte, date d'expiration, liste des derniers paiements, ...) qu'on peut récupérer à distance.

  • Pour les cartes : j'ai déjà testé avec succès une activation avec récupération des infos à plus d'un mètre, imagine dans le métro aux heures de pointe, comme sur la ligne 1 à 8h en semaine (pour les non franciliens, cliquez ici vous allez comprendre).
  • Pour les smartphone : c'est moins pire à la condition de ne pas laisser le NFC allumé en permanence ou de demander un code systématiquement, mais dans ce cas c'est aussi rapide de payer "normalement"

=>pour le moment j'attends que l'écosystème se stabilise et se sécurise

Lien vers le commentaire
Partager sur d’autres sites

Jai fait un scandale a la banque lan passe quand ils m ont impose cette fabuleuse option.
La conseillere me vantait ce service. Qd je lui ai demande sa CB pour la mettre pres de mon telephone, Etrangement elle a refuse.
Apres coup elle m a explique qu il lui etait impossible de virer le NFC. Quid d une option qui nest pas annulable !?!?!?
Resultat, l option a ete annulee quand meme. Jen veux pas de ce truc et il est bien plus serieux de taper son code. ( attebtion aux cams au dessus des caisses)
Dans le metro / grande surface cest ce que jai pense en premier.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.