Tentative De Piratage ?

[KZL]

Bonjour,

Je remarque ceci en regardant les log de mes connexions : http://hpics.li/e159cc9

Une adresse ip qui tente de se connecter aux comptes par défaut et à un compte "pi" (je ne sais pas si c'est cela, mais je me suis acheter une Raspberry Pi ^^)

Je trouve ça perturbant, car il s'agit d'un site chinois ^^ (avec messagerie)

Quand je défile dans les logs je remarque que plusieurs autres ip ont tenté d'accéder plusieurs fois de la meme façon.

Qu'en pensez-vous ? Que puis-je faire contre cela ? Mise à part moi et ma famille, personne n'utilise ce serveur à priori..

J'ai remarqué de plus que après avoir éteint mon serveur, il se rallumait tout seul parfois, normal ?

Hier soir je l'ai éteint à 22h15 et il se rallume à 23h35 alors que je regardais un film ^^

Cela pourrait être causé par un système qui utilise le WOL de mon système ou il s'agit d'une autre erreur depuis la mise à jours du DSM de la semaine dernière ?

Modifié le 2 mai 2013 par KZL

[bud77]

Je n'ai pas accès à ton screen depuis le taf, mais si ton service (je ne sais pas lequel) tourne sur le port par défaut, rien de bien inquiétant

Si c'est pas le cas, inquiète toi ...

[KZL]

Il s'agit du service SSH sur le port 22, je ne m'inquiète donc pas alors ^^

J'ai quand même activé le blocage ip après 10 tentatives en 5 minutes, en sachant qu'on a aussi tenté de se connecter 131 fois en 5 minutes depuis la même ip.

Modifié le 2 mai 2013 par KZL

[bud77]

Regarde toujours de temps en temps les users connectés ,si tu vois quelque chose de "bizarre"

[Diaoul]

Tu peux ouvrir un autre port sur ta box pour le rediriger vers le 22 du NAS ça devrait déjà pas mal limiter.

Ce n'est pas une tentative d'intrusion spécifique, il s'agit probablement d'un robot faisant le tour du web à la recherche de Raspberry Pi ayant leur compte par défaut et le port ouvert.

L'utilisateur pi étant dans les sudoers, ça revient à accéder en root à un Raspberry Pi...

[DeathMou]

Le port 22 est l'un des port les plus attaqué du web (nombre de script kiddies utilise des robots te/ou script dans ce sens).

La redirection est une bonne initiative bien que pas totalement sécurisé.

Le nombre de tentative avant blocage ip est bien.

Mon avis c'est d'ouvrir le ssh vers ton NAS uniquement en cas de besoin (activer/désactiver dans le panneau configuration du DSM)

Petite expérience perso : j'ai ouvert le port 22 sur ma box et redirigé vers le port 22 d'un serveur linux, j'ai configurer un Fail2ban pour voir la fréquence d'attaque et la provenance : en moyenne 75 IP bannis et de provenance principalement Chine et Russie...

[pi-r*]

Ce sujet est tres interressant du fait que j'ai le meme style d'attaque sur mon serveur.

Ma question est simple: peut-on voir depuis l'interface du syno si quelqu'un s'est connecté avec le login root ou un autre user qui n'aura pas été crée au prealable?

[KZL]

Oui il suffit de regarder les syslog, après avoir installé le package qui porte le même nom.

Je suis assez surpris depuis 2 semaines, je crois que je vais désactiver, les notifications tellement je reçois de mail à propos des tentatives ^*^

[BenGamin]

Ce sujet est tres interressant du fait que j'ai le meme style d'attaque sur mon serveur.

Ma question est simple: peut-on voir depuis l'interface du syno si quelqu'un s'est connecté avec le login root ou un autre user qui n'aura pas été crée au prealable?

En bas à droite de ton DSM ?