Aller au contenu

Journaux Syst


Messages recommandés

Hello everyone!

Voilà, en jetant un coup d’œil à mes journaux système, je constate que depuis deux trois jours j'ai des tentatives de connexion en SSH à mon NAS particulièrement anormales (1083!!!) !

Voyez plutôt:

512210Capture.jpg

Cela me fait un peu peur... Dois-je m'inquiéter?

Lien vers le commentaire
Partager sur d’autres sites

Bof, c'est inévitable dès lors que si ton port SSH est visible sur le net.

Le blocage auto doit jouer son rôle (s'assurer qu'il est bien activé)

Quelques pistes pour limiter la visibilité de ton NAS en ligne:

  • utiliser (via la redirection de port de ton routeur) un autre port que le 22 pour le service ssh
  • mettre des règles firewall, spécifiquement sur le port 22 limitant les ranges d’adresses aux sources "amies" et connues de toi.
  • activer ssh que quand necessaire

Lien vers le commentaire
Partager sur d’autres sites

Re! Merci pour ton retour CoolRaoul!

A lire ton "bof", il semblerait que je n'ai pas à m'en faire :D

Seulement, le truc c'est que ces tentatives de connexions sont apparus du jour au lendemain, sans raison apparente! Et le fait d'en constater le nombre ne fait que m'inquiéter tout de même...

Cependant, sur tes conseils:

1. j'ai activé le blocage auto

2. j'ai désactivé le SSH (car pas utile pour l'heure)

J'ai tout de même constaté de nouvelles tentatives et je continue à me demander pourquoi je suis subitement pris pour cible. Parmi les évènements récents (sur cette période donc), il y a eu:

1. mise à jour du DSM en 4.2

2. mise ne place de VPN Serveur pour l'accès distant à mon NAS

Cela pourrait-il être lié?

Si d'autres constatent ce genre de comportement, n'hésitez pas à le faire savoir!

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Oups je viens de voir le post et je viens de poster le mien!

J'ai effectivement le même "problème".

Un nslookup sur les IP's m'ont appris que "la personne de l'autre coter" utilise un VPN/Proxy, car l'IP change régulièrement chez moi.

Une fois en Inde, puis en Korée, etc...

Faire du brute forcing sur des protocoles tel que FTP ou SSH, c'est moyen moyen niveau compétences de pen-testing. Cette personne n'est pas pas très maline, lamerz...

Soit, en attendant que quelqu'un me donne d'autres idées, je désactive ces protocoles et passe maintenant par un VPN.

Si vous avez d'autres conseils, je suis preneur!

Lien vers le commentaire
Partager sur d’autres sites

Hello!

Merci de vous joindre à moi ;-)

Dites, c'est arrivé comme ça d'un coup pour vous aussi?

Perso, c'est usant, depuis ce matin 8 adresses IP bloquées par la blocage auto du DSM (configuré pour 8 tentatives en moins de 5 minutes).

En effet, celui qui a la solution... ;)

Lien vers le commentaire
Partager sur d’autres sites

Hello!

Merci de vous joindre à moi ;-)

Dites, c'est arrivé comme ça d'un coup pour vous aussi?

Perso, c'est usant, depuis ce matin 8 adresses IP bloquées par la blocage auto du DSM (configuré pour 8 tentatives en moins de 5 minutes).

En effet, celui qui a la solution... ;)

Çà devrait te rassurer, au moins le blocage auto fonctionne bien... J'ai mis 3 tentatives en 60 mn dans les réglages (çà soulage un peu les log)

Modifié par pluton212+
Lien vers le commentaire
Partager sur d’autres sites

Encore une douzaine de blocages en quelques heures (donc 96 de tentatives!). Rah...

En parcourant un peu le forum, j'ai constaté que beaucoup d'entre vous posent en ce moment des questions sur le SSH et la sécurité. C'est moi ou bien? Et pourquoi en ce moment particulièrement? :wacko:

Lien vers le commentaire
Partager sur d’autres sites

La sécurité a toujours été dans l'esprit, c'est juste qu'on avait pas les moyens de "voir" toutes ces connexions auparavant

Les méthodes de "sécurisation" sont toujours les mêmes :)

Hum... Tu veux dire que le DSM 4.2 permet la visualisation "poussée" de ces logs, ce qui n'était pas le cas avant (sauf paramétrage particulier je suppose)?

Auquel cas, j'ai "toujours autant" été "attaqué"?

Dans ce cas, je dois peut-être avoir le moyen de désactiver les notifications pour ce type d'erreur... Y a des gens qui ont du temps à perdre quand même...

Lien vers le commentaire
Partager sur d’autres sites

Tu temps perdu, pas vraiment, c'est que des scripts qu'ils lancent, et reviennent 3h plus tard :P

Et après, ils peuvent toujours tomber sur des fichiers qui les intéresseraient par exemple

Pour les notifications, je pense que çà doit etre désactivable, mais je ne saurais te dire, je suis encore en DSM 4.0 :P

Lien vers le commentaire
Partager sur d’autres sites

Tu temps perdu, pas vraiment, c'est que des scripts qu'ils lancent, et reviennent 3h plus tard :P

Et après, ils peuvent toujours tomber sur des fichiers qui les intéresseraient par exemple

Pour les notifications, je pense que çà doit etre désactivable, mais je ne saurais te dire, je suis encore en DSM 4.0 :P

Évidement, je comprends la "logique" du hacker: "dans le tas, on verra bien"...

Ce qui m'a inquiété, c'est le fait que ça m'apparaisse d'un coup d'un seul.

Quant aux notifications, je n'ai pas trouvé où les désactiver... Rah, c'était plus simple sous DSM 4.1 pour le coup...

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

Je suis également dans ce cas. Avec la 4.1 pas un blocage, avec la 4.2 c'est régulier.

La question : meilleur monitoring ou faille (ou firmware attirant fortement les robots/hackers) sur la 4.2 ?

N'ayant que peu de connaissance dans le domaine je fais confiance naïvement au firewall de mon syno ...

Lien vers le commentaire
Partager sur d’autres sites

Idem pour nous. Les 8 NAS que nous gérons et qui sont passés en 4.2 renvoient tous des logs de tentatives brute force en SSH depuis une dizaine de jours.

Serait-ce une tentative d'exploitation d'une faille 0day inconnue ?

Si quelqu'un a une info ?

Merci d'avance.

@+

Lien vers le commentaire
Partager sur d’autres sites

Idem pour nous. Les 8 NAS que nous gérons et qui sont passés en 4.2 renvoient tous des logs de tentatives brute force en SSH depuis une dizaine de jours.

Serait-ce une tentative d'exploitation d'une faille 0day inconnue ?

Si quelqu'un a une info ?

Merci d'avance.

@+

Si c'était l'exploitation d'une faille, il n'y aurait pas d'échec :)

Lien vers le commentaire
Partager sur d’autres sites

Yep...

La mise à jour DSM 4.2 nous permet de voir ce que l'on ne voyait pas avant (mais qui pourtant était bien réel). Concernant le SSH, j'ai créé un port 2222 que je forwarde vers un port 22 sur l'IP de mon Syno.

Depuis, je n'ai plus de notification de blocage d'IP. Quant à Mail Serveur, je ne l'utilise pas (encore), donc je ne saurai dire...

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.