Pour demander de l'aide, vous devez vous créer un compte et vous connecter. Utilisez les boutons sociaux ci-dessous depuis ce lien : S'inscrire sur le forum
Plus d'informations : Comment demander de l’aide sur le forum

Attaques SSH des chinois !

Ici on parle de réseau, configurations, problèmes etc..

Modérateur : Mods Windows

yoz
Intermédiaire Expert
Intermédiaire Expert
Messages : 253
Inscription : 20 juil. 2010 16:47

Attaques SSH des chinois !

Message par yoz »

Salut,

J'ai depuis plusieurs semaines des tentatives d'attaques SSH (port) 22 depuis des IP en provenance de Chine.

Voici les IP principales concernées :

61.174.51.220
61.147.116.8
61.160.215.91

Les tentatives se font toujours du port 6000 distant vers le port 22 du routeur.

Quelqu'un peut-il me dire s'il y a un risque particulier (ou si je dois le considérer comme le "bruit" d'internet) et surtout comment signaler ou mettre fin à ces tentatives ? Ca bouffe le CPU du routeur :)

A+

Malekal_morte
Site Admin
Site Admin
Messages : 101971
Inscription : 10 sept. 2005 13:57
Contact :

Re: Attaques SSH des chinois !

Message par Malekal_morte »

Salut,

Tu fais un whois sur les IPs pour récupérer l'adresse des abuses et tu les contactes en leur envoyant les logs.
En espérant que l'abuse au bout fait le job, ce qui une fois sur 3 n'est pas le cas.

exemple pour la première IP :
inetnum: 61.174.51.192 - 61.174.51.255
netname: HANGZHOU-SRT-TECHNOLOGY-CO-LTD
country: CN
descr: HANGZHOU SRT TECHNOLOGY CO., LTD
descr:
admin-c: BB324-AP
tech-c: CH119-AP
mnt-irt: IRT-CHINANET-ZJ
status: ASSIGNED NON-PORTABLE
changed: [email protected] 20130508
mnt-by: MAINT-CN-CHINANET-ZJ-HU
source: APNIC

irt: IRT-CHINANET-ZJ
address: Hangzhou, 288 fucun Road, China
e-mail: [email protected]
abuse-mailbox: [email protected]
admin-c: CZ61-AP
tech-c: CZ61-AP
auth: # Filtered
mnt-by: MAINT-CHINANET-ZJ
changed: [email protected] 20101129
source: APNIC

role: CHINANET-ZJ Huzhou
address: No.18 Hongqi Road,Huzhou,Zhejiang.313000
country: CN
phone: +86-572-2022163
fax-no: +86-572-2210609
e-mail: [email protected]
remarks: send spam reports to [email protected]
remarks: and abuse reports to [email protected]
remarks: Please include detailed information and times in UTC
admin-c: CH50-AP
tech-c: CH50-AP
nic-hdl: CH119-AP
mnt-by: MAINT-CHINANET-ZJ
changed: [email protected] 20031204
source: APNIC
changed: [email protected] 20111114

person: Bing Bai
nic-hdl: BB324-AP
e-mail: [email protected]
address: Huzhou,Zhejiang.Postcode:313000
phone: +86-13666633017
country: CN
changed: [email protected] 20131107
mnt-by: MAINT-CN-CHINANET-ZJ-HU
source: APNIC
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Malekal_morte
Site Admin
Site Admin
Messages : 101971
Inscription : 10 sept. 2005 13:57
Contact :

Re: Attaques SSH des chinois !

Message par Malekal_morte »

Aussi, si tu es chez un hébergeur, tu peux toujours tenter de contacter le support pour qu'il bloque ces adresses.
Si c'est une machine chez toi (connexion ADSL), c'est mort.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 19:39

Re: Attaques SSH

Message par ѠOOT »

Bonjour,

"J'ai des tentatives d'attaques SSH (port) 22 depuis des IP en provenance de Chine."
→ Rien d'anormal, des robots scannent en continue ces ports génériques.

"ça bouffe le CPU du routeur"
→ Où voyez-vous cette information ?

Question: Avez-vous oui ou non un SSHd actif en écoute sur 22/TCP quelque part ?
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

yoz
Intermédiaire Expert
Intermédiaire Expert
Messages : 253
Inscription : 20 juil. 2010 16:47

Re: Attaques SSH des chinois !

Message par yoz »

Salut,

Merci pour vos réponses :)

Non je n'ai pas de port 22 ouvert ni de service SSH actif en écoute sur le routeur.

Je vois que ca bouffe le CPU sur l'interface du routeur, et dans les logs journaliers j'ai des pointes sur les graphes de l'occupation CPU et RAM du routeur.

Au fur et à mesure des jours, le nombre d'IP qui font des tentatives augmente, en voici quelques nouvelles (toujours des chinois) :

114.80.226.69
222.186.62.33
62.23.45.210
117.21.226.25
218.2.22.117

Je suis en IP fixe chez Orange, je pense que les robots se communiquent les IP à scanner, donc ca risque d'empirer, non ? Y a-t-il une action à demander auprès de mon FAI pour bloquer ces IP en amont ? Car je ne me lance même pas dans un envoi de mails aux "abuses" qui ne servira à rien. Les seuls que j'ai vu réagir vite sur des problemes similaires c'est Microsoft et leurs clients Windows Azur.

@+

Malekal_morte
Site Admin
Site Admin
Messages : 101971
Inscription : 10 sept. 2005 13:57
Contact :

Re: Attaques SSH des chinois !

Message par Malekal_morte »

Contacte l'abuse d'orange, ils peuvent bloquer les IPs ou le port 22 en entier ou depuis la Chine, si tu ne t'en sers pas.
Tu leurs donnes les logs etc.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Sylvester_Trollman
newbie expert
newbie expert
Messages : 54
Inscription : 01 oct. 2013 10:23

Re: Attaques SSH des chinois !

Message par Sylvester_Trollman »

Salut,


Ton port 22 apparait peut être ouvert avec certains outils, sans que cela soit dangereux, tu n'as pas de LiveBox mais un routeur? vérifie les bons réglages du pare feu de celui ci.

A mon avis rien de grave.

ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 19:39

Re: Attaques SSH des chinois !

Message par ѠOOT »

Bonjour,

Les abuses n'aboutissent pas en Chine, c'est bien d'y croire mais ça s'arrête là. Les tentatives de connexions génèrent seulement des "hits" et sauf cas exceptionnels le routeur doit largement être en supporter la charge. Oui, contactez par téléphone le support technique d'Orange en fournissant votre n° client. Détaillez la situation, précisez très clairement les symptômes et vos attentes ( trouver une solution ). Le premier interlocuteur a tendance à lire un contenu pré-mâché sur son écran alors... si on vous demande de dé-installer votre antivirus ou je ne sais quoi dans ce gout là... ( ne rigolez pas, respirez profondément ) et insistez sur le fait qu'il s'agit d'observations sur les graphes de votre routeur, que ça n'a aucun rapport avec vos machines. D'un point de vue métrique, ils devraient arriver à y voir un peu plus clair. Les personnes que je connais qui utilisent Orange sont passées sous OpenWrt ; on se demande bien pourquoi ^^
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

yoz
Intermédiaire Expert
Intermédiaire Expert
Messages : 253
Inscription : 20 juil. 2010 16:47

Re: Attaques SSH des chinois !

Message par yoz »

Salut à tous et merci pour vos réponses.

Je suis chez Orange mais sans livebox, sur routeur Zyxel.

Tout est fermé et les services (ssh, telnet, ftp, http, etc...) désactivés. Mais je me rappelle avoir déjà eu une attaque SSH sur port 22 (par dictionnaire de mot de passe), à une époque où le port 22 était ouvert! Là le routeur avait fumé pendant 5h, de 0 à Z !

Je vais contacter Orange par téléphone, car les derniers mails à l'abuse d'orange ont tourné en rond. Ils demandaient des logs en texte brut horodatés GMT, quand ils les recevaient ils me redemandaient la même chose, bref des robots d'analyse de mails ou bien des gens qui ne veulent pas s'en occuper ! J'ai laissé tombé ! Dés"abus"é :)

Je vais les appeler direct !

Merci à vous je vous tiens au jus :)

@+

yoz
Intermédiaire Expert
Intermédiaire Expert
Messages : 253
Inscription : 20 juil. 2010 16:47

Re: Attaques SSH des chinois !

Message par yoz »

RAS du coté d'orange, ils ne peuvent rien faire si il n'y a pas de traces de délit. D'après lui on ne peut pas interdire des tentatives de connexion... enfin si on pourrait..... si vous étiez chez Orange Business Services !!! (il est mignon....)!

Je vais quand même envoyer un mail à l'abuse d'orange sans espoir... Ces adresses seront bien bannies un jour car je suis pas le seul à les logger :

http://www.badips.com/info/61.147.116.8
https://www.blocklist.de/en/view.html?ip=61.147.116.8
http://oucsace.cs.ohiou.edu/~tysko/scanattack.2014.01

mais leurs ptites soeurs prendront la relève !

Bonne journée :)

yoz
Intermédiaire Expert
Intermédiaire Expert
Messages : 253
Inscription : 20 juil. 2010 16:47

Re: Attaques SSH des chinois !

Message par yoz »

Désolé, mon mp ne veut à priori pas sortir :(

Sylvester_Trollman
newbie expert
newbie expert
Messages : 54
Inscription : 01 oct. 2013 10:23

Re: Attaques SSH des chinois !

Message par Sylvester_Trollman »

yoz a écrit :RAS du coté d'orange, ils ne peuvent rien faire si il n'y a pas de traces de délit. D'après lui on ne peut pas interdire des tentatives de connexion... enfin si on pourrait..... si vous étiez chez Orange Business Services !!! (il est mignon....)!


Si mes souvenirs sont bons, un scan de ports n'est pas un délit, même l'intrusion peut être interprétée par le juge s'il n'y a pas vraiment intention de nuire, s'il est de bonne humeur...

Les journaux (grands hebdos) scannent parfois nos ports, mais ce n'est pas répétitif.

Répondre

Revenir à « Réseau »