Attaques sshd en masse : qui fait çà ?

Discussion dans 'Administration d'un site Web' créé par ortolojf, 19 Mai 2020.

  1. ortolojf
    ortolojf WRInaute accro
    Inscrit:
    14 Août 2002
    Messages:
    3 457
    J'aime reçus:
    27
    Bonjour

    J'ai Debian 9, maintenant avec backports

    Sur mon site de Turf, j'ai plus de 6300 ip blacklistées par Fail2ban pour sshd.

    J'ai mis ces ips dans un fichier et je les déblackliste à la volée.

    Déjà 1550 ips déblacklistées en 5 minutes.

    J'ai fail2ban 0.9.6 ( pas 1.10.1 ) donc je ne peux pas faire : `fail2ban-client sshd unban --all`

    Au fur et à mesure les ips sont reblacklistées.

    Que faire ?

    Merci beaucoup.
     
    #1 ortolojf, 19 Mai 2020
  2. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    9 177
    J'aime reçus:
    328
    Changer de port ça va déjà diminuer les attaques de moitié
     
    #2 spout, 19 Mai 2020
  3. theunholy
    theunholy WRInaute impliqué
    Inscrit:
    6 Août 2013
    Messages:
    589
    J'aime reçus:
    81
    En plus du port, je suggère de désactiver SSH et de ne l'activer que le temps de se connecter.
     
    #3 theunholy, 19 Mai 2020
  4. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    9 177
    J'aime reçus:
    328
    @theunholy ah et tu connectes comment d'autre toi ?
     
    #4 spout, 19 Mai 2020
  5. ortolojf
    ortolojf WRInaute accro
    Inscrit:
    14 Août 2002
    Messages:
    3 457
    J'aime reçus:
    27
    Super spout ;)

    J'ai changé le port après avoir déblacklisté plus de 6900 ips.

    Plus d'ip blacklistée.

    Problème résolu.

    Merci beaucoup Monsieur spout
     
    #5 ortolojf, 19 Mai 2020
  6. theunholy
    theunholy WRInaute impliqué
    Inscrit:
    6 Août 2013
    Messages:
    589
    J'aime reçus:
    81
    Je n'ai pas dit de le désinstaller mais de le désactiver. Arrêter le service, si tu préfères.
    Quand t'en as besoin, tu le lances via un panneau de contrôle et tu l'arrêtes dès que t'es connecté.
     
    #6 theunholy, 19 Mai 2020
  7. passion
    passion WRInaute accro
    Inscrit:
    6 Janvier 2006
    Messages:
    3 936
    J'aime reçus:
    183
    je te conseille de désactiver ta connexion par ssh. Passe plutôt par une clé sécurisée en rsa et là, aucun risque. Les attaques pourront crever dans l'oeuf ;)
     
    #7 passion, 19 Mai 2020
  8. ortolojf
    ortolojf WRInaute accro
    Inscrit:
    14 Août 2002
    Messages:
    3 457
    J'aime reçus:
    27
    Merci beaucoup passion

    Si j'avais une clé sur mon ordinateur, j'aurais peur que mon ordi soit hacké.

    Une clé çà se communique facilement ( entre hackers ),

    Mon password ( ultra complexe, 30 caractères ), est une protection.

    D'un autre côté iptables n'est pas une solution, avec nmap et autres joyeusetés.

    Côté sécurité, mon maillon faible c'est le password.

    Mais, même avec un ordinateur, ( sous Linux ! ) que peut faire un hack contre ssh ?

    A moins de dériver les entrées clavier ?

    Merci beaucoup de vos suggestions.

    Amicalement.
     
    #8 ortolojf, 19 Mai 2020
  9. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    9 177
    J'aime reçus:
    328
    @theunholy j'avais bien lu que tu parlais de le désactiver mais je fais tout à la mano sans panel, donc SSH obligé.
     
    #9 spout, 20 Mai 2020
(Vous devez vous identifier ou vous inscrire pour poster ici.)
Chargement...
Similar Threads - Attaques sshd masse Forum Date
"Attaques" de mon site (négatif SEO) Problèmes de référencement spécifiques à vos sites 16 Février 2018
Mes sites sont attaqués ! Google Analytics 7 Décembre 2016
Que faire contre les attaques seo Demandes d'avis et de conseils sur vos sites 13 Juillet 2016
Lutte contre les attaques en cross scripting Google Analytics 17 Septembre 2015
Attaques SEO Negative, que faire AVANT que ça arrive? Débuter en référencement 4 Juillet 2014
Apache optimisation et sécurisation (attaques DoS) Administration d'un site Web 4 Mai 2011