Tentative de Hack mailplus par brute force

[jcpamart]

Bonjour,

Dans le centre de journaux, j'ai depuis 2 jours une tentative de hacking de mes comptes mails par brute force.

J'ai réglé à 1 seul erreur un ban plusieurs de miliers de jours.

Mais serait il possible de savoir d'où viennent ces IP précisément ?

Mon syno est raccordé à un openvpn, donc dans ce centre de journaux, je ne vois que l'IP de mon VPN....

 

Merci de votre aide

 

Modifié le 12 décembre 2021 par jcpamart

[maxou56]

il y a 37 minutes, jcpamart a dit :

J'ai réglé à 1 seul erreur un ban plusieurs de miliers de jours.

Bonsoir,

Attention le blocage d'IP c'est pour l'IP, pas pour l'utilisateur, donc ici comme c'est la même IP il n'a pas d'effet.

Comme les éventuels restrictions géographique du pare-feu.

Modifié le 12 décembre 2021 par maxou56

[jcpamart]

Salut,

Oui je le savais, le soucis c'est que les journaux ne contiennent pas énormément d'informations.

L'idée était de savoir si je pouvais avoir + d'info sur la provenance des tentatives d'entrées dans un log quelque part sur le syno.....

[maxou56]

Il y a 9 heures, jcpamart a dit :

L'idée était de savoir si je pouvais avoir + d'info sur la provenance des tentatives d'entrées dans un log quelque part sur le syno.....

Sur le NAS, pas avec ta configuration, réglages actuels, car tout provient d'un seul "périphérique" ton VPS (donc pas d'info, pas de blocages automatique après X tentative, pas de filtrage pare-feu par pays...)

Je n'utilise pas OpenVPN avec un VPS (Debian?), mais il doit être possible d'avoir les IP externes.

 

OpenVPN et VPS pour quelles raisons? 4-5G ou pour avoir une IP Fixe...

Modifié le 13 décembre 2021 par maxou56

[PiwiLAbruti]

Si possible sur le VPS, un tcpdump donnerait l'origine des attaques.

[jcpamart]

Et oui ! Merci

Reste à configurer les règles de pare-feu, et là c'est une autre histoire....

Merci !

[PiwiLAbruti]

il y a 50 minutes, jcpamart a dit :

Reste à configurer les règles de pare-feu...

... sur le VPS (si tu conserves ton VPN).

[jcpamart]

Et c'est là ou tout se complique, j'ai envoyé une demande au support de SAPINET, c'est mon hébergeur.

Question qualité de service, y a rien à dire, mais pour configurer leur FW, pouah..... une misère

Je préfère de loin OVH, les règles sont + simples à mettre en place....

Tiens je te montre une copie d'écran.

[PiwiLAbruti]

C'est une transcription graphique brute d'iptables 😅

[jcpamart]

Oui donc à voir si vaut mieux pas que je fasse mes règles moi même.....

Le problème vient que OpenVPN installé sur le Debian vient mettre un sacré bazard sur l'OS et ses règles IPTABLES

[jcpamart]

Bon, enfin un soucis qui commence à se régler.

Pour ceux qui veulent savoir, et qui ont leurs SYNO derrière un openVPN. Il a fallut savoir d'où venaient les IP entrantes. Merci à @PiwiLAbruti et @maxou56 les conseils pour la commande TCPDump, dont voici la syntaxe : (si eth0 est votre interface d'écoute)

tcpdump -i eth0 port 25 -n -tttt

(Plus d'infos sur : https://geekflare.com/fr/tcpdump-examples/)

Au final, j'ai trouvé ces IP en provenance de Bulgarie, Russie et d'autres sans origine. J'ai masquer les IP en /16 car il y avait de nouvelles adresses qui apparaissaient dans les masques de sous réseau.

212.70.149.1/16
212.192.1.1/16
141.98.1.1/16
2.56.57.153/16
212.192.241.55/16
2.56.57.182/16
87.246.7.246
220.124.84.58
49.213.159.57
37.0.10.88

Au final, création d'un petit fichier Bash pour faire remonter en haut du FW les blocages en INPUT - OUTPUT - FORWARD. (C'est le -I de l'option iptables).

nano firewall.sh

Citation

#!/bin/bash

# Reject INPUT

iptables -I INPUT -s 212.70.149.1/16 -j REJECT
iptables -I INPUT -s 212.192.1.1/16 -j REJECT
iptables -I INPUT -s 141.98.1.1/16 -j REJECT
iptables -I INPUT -s 2.56.57.153/16 -j REJECT
iptables -I INPUT -s 212.192.241.55/16 -j REJECT
iptables -I INPUT -s 2.56.57.182/16 -j REJECT
iptables -I INPUT -s 87.246.7.246/16 -j REJECT
iptables -I INPUT -s 220.124.84.58/16 -j REJECT
iptables -I INPUT -s 49.213.159.57/16 -j REJECT
iptables -I INPUT -s 37.0.10.88/16 -j REJECT

# Reject OUTPUT

iptables -I OUTPUT -s 212.70.149.1/16 -j REJECT
iptables -I OUTPUT -s 212.192.1.1/16 -j REJECT
iptables -I OUTPUT -s 141.98.1.1/16 -j REJECT
iptables -I OUTPUT -s 2.56.57.153/16 -j REJECT
iptables -I OUTPUT -s 212.192.241.55/16 -j REJECT
iptables -I OUTPUT -s 2.56.57.182/16 -j REJECT
iptables -I OUTPUT -s 87.246.7.246/16 -j REJECT
iptables -I OUTPUT -s 220.124.84.58/16 -j REJECT
iptables -I OUTPUT -s 49.213.159.57/16 -j REJECT
iptables -I OUTPUT -s 37.0.10.88/16 -j REJECT

# Reject FORWARD

iptables -I FORWARD -s 212.70.149.1/16 -j REJECT
iptables -I FORWARD -s 212.192.1.1/16 -j REJECT
iptables -I FORWARD -s 141.98.1.1/16 -j REJECT
iptables -I FORWARD -s 2.56.57.153/16 -j REJECT
iptables -I FORWARD -s 212.192.241.55/16 -j REJECT
iptables -I FORWARD -s 2.56.57.182/16 -j REJECT
iptables -I FORWARD -s 87.246.7.246/16 -j REJECT
iptables -I FORWARD -s 220.124.84.58/16 -j REJECT
iptables -I FORWARD -s 49.213.159.57/16 -j REJECT
iptables -I FORWARD -s 37.0.10.88/16 -j REJECT

CTRL+X

Enregistrer

chmod 700 firewall.sh

./firewall.sh

Et nos amis de l'Europe de l'est peuvent aller jouer ailleurs....

Je vois pour automatiser le script au démarrage

 

Modifié le 14 décembre 2021 par jcpamart

[maxou56]

@jcpamart

Attention sur la capture on voit l'IP de ton VPS dans la barre des menus de "Putty", il vaut mieux la masquer 😉.

Modifié le 14 décembre 2021 par maxou56

[jcpamart]

il y a 20 minutes, maxou56 a dit :

@jcpamart

Attention sur la capture on voit l'IP de ton VPS dans la barre des menus de "Putty", il vaut mieux la masquer 😉.

Oups, merci !

Pas bon de vouloir faire vite....