Aller au contenu

Blocage Ip ;(

fact

Par fact
dans Internet et réseaux

 Partager

Messages recommandés

fact Newbie

fact

Posté(e)
Posté(e) (modifié)

Bonjour a tous

Un vilain internaute essaie (120 fois) depuis le 27 octobre... de pénétrer mon serveur NAS (DS213+ -DSM 4.3) sur le port SSH (qui n'est pas ouvert pour le moment) j'ai mis le blocage auto d'I-P et normalement au bout de 3 fois en 1 minute l'I-P est bloqué sauf qu'il arrive à déjouer le blocage que puis-je faire de plus ?

Merci de vos conseils

L'ip du vilain 184.154.99.234

Modifié par fact
0
fact Newbie

fact

Posté(e)
  • Auteur
Posté(e)

Merci pour ta réponse mais ce que je voudrais savoir c'est comment lui, il arrive à contourné la blocage I-P normalement puisqu'il est bloqué il ne devrait plus pour y arriver ?

0
CoolRaoul Community Regular

CoolRaoul

Posté(e)
Posté(e)

Tu as bien écrit que le port SSH n'était "pas ouvert pour le moment" ?

Par conséquent, le blocage d'IP ne joue aucune rôle dans ce cas sur le port SSH et, en outre, je ne comprend pas sur quoi tu te bases pour dire que le blocage d'IP avait été contourné .

0
fact Newbie

fact

Posté(e)
  • Auteur
Posté(e) (modifié)

hmmm je me base sur les log's (ma boule de cristal et cassé :P ) pourquoi certains essayes et sont bloqués sur le port ssh (le service n'est pas actif) et lui il y arrive ?

Il ne peut pas y avoir 2 poids et 2 mesures !

Modifié par fact
0
CoolRaoul Community Regular

CoolRaoul

Posté(e)
Posté(e) (modifié)

Et si tu nous montrais un extrait de ces logs?

Si, comme tu le dis, le port ssh n'est pas ouvert (aur passage peux-tu donner plus de détails par ce que tu veux dire par la ?) , je ne vois pas comment on peut constater une connexion ssh dans quelque log que ce soit

Modifié par CoolRaoul
0
Fravadona Newbie

Fravadona

Posté(e)
Posté(e) (modifié)

Si ton service SSH n'est pas actif alors il n'y a aucun blocage possible

Au pire tu peux l'ajouter manuellement a la liste des IP bloquees

---------

Perso j'ai eu quelques petits malins qui tentaient des connexiona a intervalles superieurs a mon autoblock, du coup je ne permets plus qu'une tentative de connexion avant blocage;

faut pas se louper mais j'ai mis une IP Whitelistee qui me permet de me debloquer moi meme en cas de fausse manip.

PS: je vais bientot feter ma 2000 ieme IP bloquee en meme pas 1 an

Modifié par Fravadona
0
fact Newbie

fact

Posté(e)
  • Auteur
Posté(e)

Si ton service SSH n'est pas actif alors il n'y a aucun blocage possible

Au pire tu peux l'ajouter manuellement a la liste des IP bloquees

---------

Perso j'ai eu quelques petits malins qui tentaient des connexiona a intervalles superieurs a mon autoblock, du coup je ne permets plus qu'une tentative de connexion avant blocage;

faut pas se louper mais j'ai mis une IP Whitelistee qui me permet de me debloquer moi meme en cas de fausse manip.

PS: je vais bientot feter ma 2000 ieme IP bloquee en meme pas 1 an

c'est compliqué pour mettre une capture d'écran sur ce forum !

Sinon quand tu indique que "Si ton service SSH n'est pas actif alors il n'y a aucun blocage possible" alors la je suis dubitatif parce que j'ai des ip auto-bloqué sur ce service qui n'est pas actif pour le moment !

forumSynology.png

0
CoolRaoul Community Regular

CoolRaoul

Posté(e)
Posté(e)

Ce log montre que, contrairement à ce que tu penses, ton service SSH *est* actif


Et en outre, si tu as des traces de connexions reussies (non bloquées donc) c'est tout betement qu'elle viennent d'une autre IP qu'une de celles qui ont été bloquées et que le gugusse a trouvé le mot de passe.

0
Fravadona Newbie

Fravadona

Posté(e)
Posté(e)

Je corrige un peu ma formulation : "Si SSH n'est pas démarré (actif) alors SSH ne fait rien : pas de blocage, pas de message de log, pas de connexion, etc" ^_^

0
fact Newbie

fact

Posté(e)
  • Auteur
Posté(e)

PasCOOLRAOUL le service n'est pas coché dans l'interface du syno... et que pour le moment je n'ai jamais dit qu'il y avait des connexions réussies ! tu t'avance énormément :P quand à la découverte de mes mots de passe sur le syno laisse

moi rire encore un peu :D avec plus de 20 caractères !!!! il aura plus de chance de trouver une faille que le mot de passe !!!

0
CoolRaoul Community Regular

CoolRaoul

Posté(e)
Posté(e) (modifié)

PasCOOLRAOUL le service n'est pas coché dans l'interface du syno... et que pour le moment je n'ai jamais dit qu'il y avait des connexions réussies ! tu t'avance énormément :P quand à la découverte de mes mots de passe sur le syno laisse

moi rire encore un peu :D avec plus de 20 caractères !!!! il aura plus de chance de trouver une faille que le mot de passe !!!

Tu a bien écris, je cite, "sauf qu'il arrive à déjouer le blocage"? Arriver à déjouer le blocage, si il ne s'agit pas d'une connexion réussie, de quoi s'agit-il alors?

**edit**

Si si le service n'est pas coché alors qu'on constate qu'il crache des logs c'est franchement zarbi

Je te conseille de redémarrer ton NAS puis de tester une connexion ssh en local, juste pour voir

Modifié par CoolRaoul
0
fact Newbie

fact

Posté(e)
  • Auteur
Posté(e) (modifié)

Ok je parles ici de déjouer " l'auto-blocage I-P" pas de connexion réussie et ce n'est pas la 1er fois que je constate ce phénomènes des i-p peuvent essayer de se connecter 3 ou 4,5 fois en 1 minutes et sans que l'auto-blocage empêches les vilains internautes de tester !

Modifié par fact
0
CoolRaoul Community Regular

CoolRaoul

Posté(e)
Posté(e) (modifié)

Ok je parles ici de déjouer " l'auto-blocage I-P" pas de connexion réussie et ce n'est pas la 1er fois que je constate ce phénomènes des i-p peuvent essayer de se connecter 3 ou 4,5 fois en 1 minutes et sans que l'auto-blocage empêches les vilains internautes de tester !

Il aurait fallu commencer par nous montrer les logs mettant ce phénomène en évidence plutôt que la log précédente qui ne montre que les cas ou ça fonctionne comme prévu

Mais, vu que ton service SSH, bien qu'inactivé dans le panneau de conf apparaît toujours actif , serait pas étonnant qu'il soit dans un état un peu ... brumeux.

Commence par relancer la NAS pour que déja tout se remette d"équerre et ensuite on verra.

Modifié par CoolRaoul
0
fact Newbie

fact

Posté(e)
  • Auteur
Posté(e) (modifié)

Donc après moult vérification

j'ai éteins le NAS hier soir !

Voila ce que j'ai au niveau des services !

forumSynology1.png

Modifié par fact
0
CoolRaoul Community Regular

CoolRaoul

Posté(e)
Posté(e)

T'inquiete, on ne met pas ta parole en doute quand tu dis que la case n'est pas coché.

Mais si tu pouvais faire ce qu'on te demande (redémarrer et revérifier si ssh est bien désacrivé) on pourrait avancer.

0
CoolRaoul Community Regular

CoolRaoul

Posté(e)
Posté(e)

de plus bloquer le port 22 au niveau de votre routeur, vous n'aurez plus d'attaque.

Pas besoin de le bloquer, suffit de ne pas avoir mis une règle de redirection (à moins que le NAS soit configuré en DMZ)

Si on a effectivement besoin de disposer d'une connexion ssh de l'extérieur, une autre option, qui fait nettement baisser le volume des attaques, utiliser un autre numero de port que le 22, avec une règle de redirection sur le port 22 du NAS.

Possible aussi de configurer le firewall du NAS pour limiter à une liste d'IP "amies" et connues celles autorisées en entrée sur le port 22.

0
Fravadona Newbie

Fravadona

Posté(e)
Posté(e)

Donc tu vois des connexions echouees dans tes logs mais qui n'aboutissent pas sur un bloquage.

Si tu as plusieurs IPs dispo alors tente un petit truc :

Initialises une connexion sans envoyer le mot de passe; le serveur SSH restera en attente et ne devrait pas bloquer ton IP. Le comportement du service SSH dans ce cas-la peut etre revelateur pour un analyste: il pourra determiner la version de logiciel SSH, le systeme d'exploitation, si l'utilisateur est valide, etc ...

0
CoolRaoul Community Regular

CoolRaoul

Posté(e)
Posté(e) (modifié)

Initialises une connexion sans envoyer le mot de passe; le serveur SSH restera en attente et ne devrait pas bloquer ton IP.

Ah oui, bien vu: le blocage ne se fait qu'en cas d'echec effectif de connexion (mauvais mot de passe ou utilisation d'une clé inconnue).

Une connexion ouverte puis fermée sans tentative de login n’entraîne effectivement pas de blocage.

Modifié par CoolRaoul
0
fact Newbie

fact

Posté(e)
  • Auteur
Posté(e) (modifié)

Ok merci pour vos réponses .

JE n'ai pas la main sur le routeur c'est bouyguetel qui m'ouvre et ferme les ports a la demande et c'est payant 45 € la demande donc quand un port et ouvert tu le garde ouvert :P moi j'ai juste la gestions du NAS et après le NAS ! et comme je ne suis pas dans les locaux de l'entreprise il me faut le SSH a disposition et le VPN que j'active uniquement quand j'ai besoin !

Sinon j'accède par le port 5001 par le navigateur

Modifié par fact
0

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.