Attaques sshd en masse : qui fait çà ?

ortolojf · 19 Mai 2020

Bonjour

J'ai Debian 9, maintenant avec backports

Sur mon site de Turf, j'ai plus de 6300 ip blacklistées par Fail2ban pour sshd.

J'ai mis ces ips dans un fichier et je les déblackliste à la volée.

Déjà 1550 ips déblacklistées en 5 minutes.

J'ai fail2ban 0.9.6 ( pas 1.10.1 ) donc je ne peux pas faire : `fail2ban-client sshd unban --all`

Au fur et à mesure les ips sont reblacklistées.

Que faire ?

Merci beaucoup.

spout · 19 Mai 2020

Changer de port ça va déjà diminuer les attaques de moitié

theunholy · 19 Mai 2020

En plus du port, je suggère de désactiver SSH et de ne l'activer que le temps de se connecter.

spout · 19 Mai 2020

@theunholy ah et tu connectes comment d'autre toi ?

ortolojf · 19 Mai 2020

Super spout

J'ai changé le port après avoir déblacklisté plus de 6900 ips.

Plus d'ip blacklistée.

Problème résolu.

Merci beaucoup Monsieur spout

theunholy · 19 Mai 2020

spout a dit: ↑

@theunholy ah et tu connectes comment d'autre toi ?
Cliquez pour agrandir...

Je n'ai pas dit de le désinstaller mais de le désactiver. Arrêter le service, si tu préfères.
Quand t'en as besoin, tu le lances via un panneau de contrôle et tu l'arrêtes dès que t'es connecté.

passion · 19 Mai 2020

je te conseille de désactiver ta connexion par ssh. Passe plutôt par une clé sécurisée en rsa et là, aucun risque. Les attaques pourront crever dans l'oeuf

ortolojf · 19 Mai 2020

Merci beaucoup passion

Si j'avais une clé sur mon ordinateur, j'aurais peur que mon ordi soit hacké.

Une clé çà se communique facilement ( entre hackers ),

Mon password ( ultra complexe, 30 caractères ), est une protection.

D'un autre côté iptables n'est pas une solution, avec nmap et autres joyeusetés.

Côté sécurité, mon maillon faible c'est le password.

Mais, même avec un ordinateur, ( sous Linux ! ) que peut faire un hack contre ssh ?

A moins de dériver les entrées clavier ?

Merci beaucoup de vos suggestions.

Amicalement.

spout · 20 Mai 2020

@theunholy j'avais bien lu que tu parlais de le désactiver mais je fais tout à la mano sans panel, donc SSH obligé.

Similar Threads - Attaques sshd masse	Forum	Date
"Attaques" de mon site (négatif SEO)	Problèmes de référencement spécifiques à vos sites	16 Février 2018
Mes sites sont attaqués !	Google Analytics	7 Décembre 2016
Que faire contre les attaques seo	Demandes d'avis et de conseils sur vos sites	13 Juillet 2016
Lutte contre les attaques en cross scripting	Google Analytics	17 Septembre 2015
Attaques SEO Negative, que faire AVANT que ça arrive?	Débuter en référencement	4 Juillet 2014
Apache optimisation et sécurisation (attaques DoS)	Administration d'un site Web	4 Mai 2011
Se prémunir des attaques de type union select (...)	Administration d'un site Web	6 Juillet 2010
Des attaques sur mon serveur	Administration d'un site Web	8 Juin 2010
Sécuriser/protéger un site contre d'éventuelles attaques	Développement d'un site Web ou d'une appli mobile	12 Mars 2010
Google discuterait de ses attaques informatiques avec la NSA	Google : l'entreprise, les sites web, les services	4 Février 2010