Soudaine et inexplicable flambée d'attaques SSH

[CoolRaoul]

Alors que depuis toujours j'observais à peine une tentative par mois au maximum, depuis moins d'une semaine je constate une flambée de tentative d'acces ssh sur mon NAS venant de pays différents, 9 en moins de 5 jours!

Je me demande bien ce qui pourrait expliquer ce changement  (je n'ai rien modifié de mon coté, mon ssh utilise le même port qu'avant)

Date & Time	Event
29/12/2016 08:24	Host [91.148.196.46] was blocked via [SSH].
29/12/2016 05:40	Host [211.187.185.48] was blocked via [SSH].
28/12/2016 05:07	Host [114.38.89.216] was blocked via [SSH].
27/12/2016 20:03	Host [178.239.232.60] was blocked via [SSH].
26/12/2016 11:21	Host [119.193.140.196] was blocked via [SSH].
26/12/2016 06:25	Host [184.155.216.200] was blocked via [SSH].
25/12/2016 22:24	Host [5.154.32.194] was blocked via [SSH].
25/12/2016 19:01	Host [187.62.52.36] was blocked via [SSH].
25/12/2016 14:25	Host [223.17.211.43] was blocked via [SSH].
10/12/2016 19:05	Host [192.168.1.254] was blocked via [SSH].
16/11/2016 18:05	Host [106.247.230.226] was blocked via [SSH].
15/07/2016 20:20	Host [202.168.151.198] was blocked via [SSH].
07/07/2016 23:56	Host [122.10.86.102] was blocked via [SSH].
01/06/2016 14:01	Host [218.38.19.158] was blocked via [SSH].
18/05/2016 01:14	Host [51.175.185.148] was blocked via [SSH].
27/04/2016 22:15	Host [217.75.250.200] was blocked via [SSH].
05/04/2016 14:15	Host [185.110.132.65] was blocked via [SSH].
03/03/2016 19:07	Host [185.110.132.68] was blocked via [SSH].
27/02/2016 17:38	Host [199.217.113.237] was blocked via [SSH].

 

[gaetan.cambier]

la réponse va probablement être oui, mais as-tu réellement besoin du ssh à distance et si oui pour quel besoin  ?

sous questions : as-tu un site web ou un autre service public sur ton nas qui pourrait attirer le fait de faire un scan de cette ip ?

le couple vpn/ssh est mieux qd même ;)

selon plusieurs site de sécurité, on n'est qu'au beau début des attaques ddos et autres joyeusetés grâce aux botnet iot (ses magnifique objets connectés jamais à jour), suffit que quelqu'un ait envie de faire des scan ...

 

 

[CoolRaoul]

@gaetan.cambier bien entendu je suis d'accord avec tes remarques

Je n'ai pas besoin de l'acces SSH *shell* la plupart du temps, mais par contre comme j'utilise SFTP pour accéder à distance à ma base keypass j'ai besoin d'avoir le port disponible.

Mon interrogation porte surtout sur l'ordre de grandeur de cette flambée soudaine, passant aussi brusquement de quasi jamais à plus d'un par jour et avec des sources et pays divers.

 

[PiwiLAbruti]

En prenant la première adresse de ton tableau, j'ai trouvé du Telnet et du SSH ouvert (nmap -Pn -sS -p 22-23 91.148.196.46). Et comme il s'agit forcément d'une machine faisant parti d'un botnet, j'ai essayé des mots de passe déconseillés et ai pu me connecter en SSH au bout du 5^ème essai :

Tomato v1.28.0000 MIPSR2-124 K26 USB VPN-64K
 ========================================================
 Welcome to the Asus RT-N66U [TomatoUSB]
 Uptime:  09:48:06 up 2 days, 12:50
 Load average: 1.10, 1.16, 1.47
 Mem usage: 12.5% (used 31.18 of 249.89 MB)
 WAN : 192.168.1.20/24 @ F0:79:59:88:C2:11
 LAN : 192.168.9.1/24 @ DHCP: 192.168.9.2 - 192.168.9.51
 WL0 : Andrew UK @ channel: 9 @ F0:79:59:88:C2:10
 WL1 : Andrew UK @ channel: auto @ F0:79:59:88:C2:14
 ========================================================

root@unknown:/tmp/home/root#

Je vends le mot de passe au plus offrant en MP 

[gaetan.cambier]

0€ pour moi , c joli c en couleur le ssh 

[CoolRaoul]

il y a 49 minutes, PiwiLAbruti a dit :

En prenant la première adresse de ton tableau, j'ai trouvé du Telnet et du SSH ouver

Il est probable que ces IP sont sans doute utilisées par des bots pour des campagnes d'attaques globales, ce qui explique les sources diverses.

[gaetan.cambier]

c'est ce que je disait ... 

v eviter de trop fouiller ... @PiwiLAbruti m'a déjà donné l'envie là.

Sur l'ip concerné, on a même une connection openvpn en entrée que demander de mieux 

 

[PiwiLAbruti]

il y a 9 minutes, CoolRaoul a dit :

Il est probable certain que ces IP sont sans doute utilisées par des bots [...]

[CoolRaoul]

Dans tous les cas, la très subite augmentations de ces attaques en ce qui me concerne est sans doute du à ca que mon IP fixe de soit retrouvée du jour au lendemain dans un pool d'addresses utilisée par différents bots.

Si ça reste à ce rythme le mieux est que je désactive les notifications de blocages,  inutile de stresser.

[pluton212+]

Citation

10/12/2016 19:05

Host [192.168.1.254] was blocked via [SSH].

Quelqu'un a réussit à passer?

 

[CoolRaoul]

Ah non, celui-la c'était moi 

[Fenrir]

Oui c'est normal, les scannent sont toujours plus fréquents pendant les périodes de vacances et surtout en périodes de fêtes.

[gaetan.cambier]

en parlant de ddos et autres botnet : http://www.silicon.fr/leet-un-botnet-iot-plus-effrayant-que-mirai-arrive-166022.html

[PiwiLAbruti]

Il y a 2 heures, Fenrir a dit :

[...] et surtout en périodes de fêtes.

Rien qu'avec toute les frivolités connectées déposées au pied des sapins cette année, il y a de quoi se monter une vraie armée. Quand on sait que le phénomène va fortement progresser (ou empirer, au choix) dans les prochaines années et que la sécurité est la dernière chose dont se préoccupent les constructeurs, ça laisse rêveur... 

[Fenrir]

il y a 8 minutes, PiwiLAbruti a dit :

la sécurité est la dernière chose dont se préoccupent les constructeurs

Je ne suis pas d'accord, ils sont très soucieux de la sécurité de leurs capitaux

@CoolRaoul : je viens de regarder les logs de mon firewall, j'ai en moyenne 35 hit/jour sur le port T22 (qui est fermé depuis presque tout Internet), donc 9 en 5 jours ça va, c'est calme.

[gaetan.cambier]

il y a une heure, PiwiLAbruti a dit :

dans les prochaines années et que la sécurité est la dernière chose dont se préoccupent les constructeurs, ça laisse rêveur...

disont que la 1° ip de ta liste, c'est la couche 8 du modèle OSI qui a encore foiré 

et c'est le + gros problème de la sécurité informatique : l'interface chaise - clavier

[Fenrir]

il y a 7 minutes, gaetan.cambier a dit :

et c'est le + gros problème de la sécurité informatique : l'interface chaise - clavier

surtout si c'est la chaise d'un responsable com ou marketing

[PiwiLAbruti]

Non, on ne peut pas tout mettre sur le dos des utilisateurs. Le routeur de l'IP n°1 utilise un VPN chez Black Oak, ce qui rend tous les ports de son routeur connecté à ce VPN accessibles. On a quelques exemples similaires sur NAS-Forum.

Sur tous les utilisateurs utilisant un VPN pour télécharger illégalement, il doit y en avoir moins de 1/1000 qui a conscience de ce qu'il se passe réellement. Et c'est trop technique pour que les 999 restants s'y intéressent. SI on rajoute à ça le fait que beaucoup de routeurs ne permettent pas de configurer un pare-feu sur les connexions VPN...

De mon point de vue, la faute vient du fournisseur d'accès VPN qui ne fournit pas d'options de configuration (ports fermés par défaut, à ouvrir par l'utilisateur selon ses besoins).

Modifié le 29 décembre 2016 par PiwiLAbruti

[gaetan.cambier]

c'est le fournisseur vpn qui a laisser le password par default sur son routeur ?

 

[PiwiLAbruti]

C'est un autre sujet auquel je répondrais oui car un mot de passe par défaut ne devrait pas exister (négligence du constructeur du routeur). Chez Synology, par exemple, il n'y en a pas et la force du mot de passe est vérifiée. Si le VPN était sécurisé par défaut, le mot de passe par défaut serait déjà beaucoup moins problématique.

Au passage, j'ai modifié son motd. Il aura une surprise à la prochaine connexion 

[gaetan.cambier]

il y a 4 minutes, PiwiLAbruti a dit :

(négligence du constructeur du routeur)

je savais pas que Asus fournissait des routeurs avec un firmware tomato ...

[CoolRaoul]

Il y a 2 heures, Fenrir a dit :

J'ai en moyenne 35 hit/jour sur le port T22 (qui est fermé depuis presque tout Internet), donc 9 en 5 jours ça va, c'est calme.

Oui faut relativiser bien sur. Et la différence avec toi est sans doute liée au fait que je n'utilise pas le port standard pour SSH/SFTP

Par contre me reste la question de la subite augmentation: de 1 par mois à d'un coup plus d'une dizaine en une semaine, ça fait quand même un sacré gap.

Modifié le 29 décembre 2016 par CoolRaoul

[Fenrir]

il y a une heure, PiwiLAbruti a dit :

Non, on ne peut pas tout mettre sur le dos des utilisateurs.

En temps normal je dirai que les tords sont partagés :

• les fabricants qui produisent du matériel peu fiable pour des raisons de couts et qui ne préviennent pas les utilisateurs qu'ils doivent prendre l'option checkpoint
• les commerciaux/marketeux qui vendent du rêve alors qu'eux même ne savent pas de quoi ils parlent
• les utilisateurs qui ne prennent pas le temps de se renseigner ou d'apprendre
• les médias qui ne parlent pratiquement jamais des risques encouru (ils vivent de la pub, ils ne vont quand même pas risquer de fâcher les annonceurs ...)

Si on revient 10 ans en arrière, quand je parlais de sécurité (de manière très, très light) autour de moi on me prenait pour un parano terroriste cannibale en fourrure de BB phoque.

Puis au fil des années, les piratages massifs se sont multipliés sans jamais avoir l'audience nécessaire jusqu'aux "révélations" (comme si c'était nouveau ... bref) de Snowden dans la press, mais rien n'a changé immédiatement, il a fallu attendre l'été, TF1 n'ayant plus rien à se mettre sous la dent, pour que les gens en entendent parler.

À partir de ce moment j'ai croisé 3 types d'utilisateurs :

• ceux qui étaient à la plage : ils n'en ont rien eu à foutre pour la plupart
• ceux qui ont joué les moutons : "je n'ai rien à caché ... c'est pour notre bien ... " (pourtant aucun d'entre eux n'a accepté de me donner son numéro de carte ...)
• ceux qui ont commencé à se renseigner, à adopter de bonnes pratiques : pas très nombreux mais c'est déjà ça

Puis le temps a passé et la press le JT de TF1 s'est lassée, le nouveau bidule à la mode est sorti et les poissons rouges utilisateurs ont oublié.

Plus récemment le FBI a osé toucher à leur iPhone => vent de panique, ils ont gesticulés dans tous les sens, postés sur facebook (!!) mais comme pokemon est sorti ils ont vite oublié.

Et plus ça va, moins les médias en parlent et moins les gens sont réceptifs, l'exemple le plus récent, la "petite" fuite chez Yahoo de quelques comptes (à peine 1 milliard, une paille), c'est à peine si les gens en on entendu parlé et ceux qui ont eu la news n'ont pour la plupart RIEN fait, même s'ils avaient un compte.

Vous pouvez reprendre presque n'importe quelle actualité liée à un piratage ces 10 dernières années (psn, rancomware, iot, dailymotion, tf1, skype, facebook, ...), c'est toujours la même chose. Ça gesticule dans tous les sens, mais dès qu'il faut prendre plus de 10minutes de son temps (ou pire, s'il faut dépenser l'équivalent de 3 places de cinés) pour agir, il n'y a plus personne.

Bilan des courses, d'années en années, c'est de pire en pire alors que les risques sont de plus en plus élevés.

Donc pour moi, les utilisateurs sont les premiers fautifs. Fautifs d'être des moutons de Panurge, fautifs de se limiter aux infos du 20h, fautifs de ne pas chercher à comprendre en quoi ils sont concernés, fautifs de ne pas réfléchir 30 secondes aux implications de leurs choix ...

il y a 56 minutes, gaetan.cambier a dit :

je savais pas que Asus fournissait des routeurs avec un firmware tomato ...

certains routeur asus peuvent manger du wrt (donc tomato &co), mais c'est encore pire, l’utilisateur est suffisamment averti pour flasher son routeur mais n'est même pas fichu d'en sécuriser les accès.

[gaetan.cambier]

il y a 49 minutes, CoolRaoul a dit :

Oui faut relativiser bien sur. Et la différence avec toi est sans doute liée au fait que je n'utilise pas le port standard pour SSH/SFTP

Par contre me reste la question de la subite augmentation: de 1 par mois à d'un coup plus d'une dizaine en une semaine, ça fait quand même un sacré gap.

je m'inquiéterai plutôt de tout ce qui pourrait passé inaperçu qu'une liste d'attaque bloquée en bon et due forme ...

[Invité]

Un mentor m a dit une fois :"en securite info, il faut plus se mefier de ce qu on ne voit pas que ce qu on voit." ;0)