Attaques SSH des chinois !

[yoz]

Salut,

J'ai depuis plusieurs semaines des tentatives d'attaques SSH (port) 22 depuis des IP en provenance de Chine.

Voici les IP principales concernées :

61.174.51.220
61.147.116.8
61.160.215.91

Les tentatives se font toujours du port 6000 distant vers le port 22 du routeur.

Quelqu'un peut-il me dire s'il y a un risque particulier (ou si je dois le considérer comme le "bruit" d'internet) et surtout comment signaler ou mettre fin à ces tentatives ? Ca bouffe le CPU du routeur

A+

[Malekal_morte]

Salut,

Tu fais un whois sur les IPs pour récupérer l'adresse des abuses et tu les contactes en leur envoyant les logs.
En espérant que l'abuse au bout fait le job, ce qui une fois sur 3 n'est pas le cas.

exemple pour la première IP :

inetnum: 61.174.51.192 - 61.174.51.255
netname: HANGZHOU-SRT-TECHNOLOGY-CO-LTD
country: CN
descr: HANGZHOU SRT TECHNOLOGY CO., LTD
descr:
admin-c: BB324-AP
tech-c: CH119-AP
mnt-irt: IRT-CHINANET-ZJ
status: ASSIGNED NON-PORTABLE
changed: [email protected] 20130508
mnt-by: MAINT-CN-CHINANET-ZJ-HU
source: APNIC

irt: IRT-CHINANET-ZJ
address: Hangzhou, 288 fucun Road, China
e-mail: [email protected]
abuse-mailbox: [email protected]
admin-c: CZ61-AP
tech-c: CZ61-AP
auth: # Filtered
mnt-by: MAINT-CHINANET-ZJ
changed: [email protected] 20101129
source: APNIC

role: CHINANET-ZJ Huzhou
address: No.18 Hongqi Road,Huzhou,Zhejiang.313000
country: CN
phone: +86-572-2022163
fax-no: +86-572-2210609
e-mail: [email protected]
remarks: send spam reports to [email protected]
remarks: and abuse reports to [email protected]
remarks: Please include detailed information and times in UTC
admin-c: CH50-AP
tech-c: CH50-AP
nic-hdl: CH119-AP
mnt-by: MAINT-CHINANET-ZJ
changed: [email protected] 20031204
source: APNIC
changed: [email protected] 20111114

person: Bing Bai
nic-hdl: BB324-AP
e-mail: [email protected]
address: Huzhou,Zhejiang.Postcode:313000
phone: +86-13666633017
country: CN
changed: [email protected] 20131107
mnt-by: MAINT-CN-CHINANET-ZJ-HU
source: APNIC

[Malekal_morte]

Aussi, si tu es chez un hébergeur, tu peux toujours tenter de contacter le support pour qu'il bloque ces adresses.
Si c'est une machine chez toi (connexion ADSL), c'est mort.

[ѠOOT]

Bonjour,

"J'ai des tentatives d'attaques SSH (port) 22 depuis des IP en provenance de Chine."
→ Rien d'anormal, des robots scannent en continue ces ports génériques.

"ça bouffe le CPU du routeur"
→ Où voyez-vous cette information ?

Question: Avez-vous oui ou non un SSHd actif en écoute sur 22/TCP quelque part ?

[yoz]

Salut,

Merci pour vos réponses

Non je n'ai pas de port 22 ouvert ni de service SSH actif en écoute sur le routeur.

Je vois que ca bouffe le CPU sur l'interface du routeur, et dans les logs journaliers j'ai des pointes sur les graphes de l'occupation CPU et RAM du routeur.

Au fur et à mesure des jours, le nombre d'IP qui font des tentatives augmente, en voici quelques nouvelles (toujours des chinois) :

114.80.226.69
222.186.62.33
62.23.45.210
117.21.226.25
218.2.22.117

Je suis en IP fixe chez Orange, je pense que les robots se communiquent les IP à scanner, donc ca risque d'empirer, non ? Y a-t-il une action à demander auprès de mon FAI pour bloquer ces IP en amont ? Car je ne me lance même pas dans un envoi de mails aux "abuses" qui ne servira à rien. Les seuls que j'ai vu réagir vite sur des problemes similaires c'est Microsoft et leurs clients Windows Azur.

@+

[Malekal_morte]

Contacte l'abuse d'orange, ils peuvent bloquer les IPs ou le port 22 en entier ou depuis la Chine, si tu ne t'en sers pas.
Tu leurs donnes les logs etc.

[Sylvester_Trollman]

Salut,


Ton port 22 apparait peut être ouvert avec certains outils, sans que cela soit dangereux, tu n'as pas de LiveBox mais un routeur? vérifie les bons réglages du pare feu de celui ci.

A mon avis rien de grave.

[ѠOOT]

Bonjour,

Les abuses n'aboutissent pas en Chine, c'est bien d'y croire mais ça s'arrête là. Les tentatives de connexions génèrent seulement des "hits" et sauf cas exceptionnels le routeur doit largement être en supporter la charge. Oui, contactez par téléphone le support technique d'Orange en fournissant votre n° client. Détaillez la situation, précisez très clairement les symptômes et vos attentes ( trouver une solution ). Le premier interlocuteur a tendance à lire un contenu pré-mâché sur son écran alors... si on vous demande de dé-installer votre antivirus ou je ne sais quoi dans ce gout là... ( ne rigolez pas, respirez profondément ) et insistez sur le fait qu'il s'agit d'observations sur les graphes de votre routeur, que ça n'a aucun rapport avec vos machines. D'un point de vue métrique, ils devraient arriver à y voir un peu plus clair. Les personnes que je connais qui utilisent Orange sont passées sous OpenWrt ; on se demande bien pourquoi ^^

[yoz]

Salut à tous et merci pour vos réponses.

Je suis chez Orange mais sans livebox, sur routeur Zyxel.

Tout est fermé et les services (ssh, telnet, ftp, http, etc...) désactivés. Mais je me rappelle avoir déjà eu une attaque SSH sur port 22 (par dictionnaire de mot de passe), à une époque où le port 22 était ouvert! Là le routeur avait fumé pendant 5h, de 0 à Z !

Je vais contacter Orange par téléphone, car les derniers mails à l'abuse d'orange ont tourné en rond. Ils demandaient des logs en texte brut horodatés GMT, quand ils les recevaient ils me redemandaient la même chose, bref des robots d'analyse de mails ou bien des gens qui ne veulent pas s'en occuper ! J'ai laissé tombé ! Dés"abus"é

Je vais les appeler direct !

Merci à vous je vous tiens au jus

@+

[yoz]

RAS du coté d'orange, ils ne peuvent rien faire si il n'y a pas de traces de délit. D'après lui on ne peut pas interdire des tentatives de connexion... enfin si on pourrait..... si vous étiez chez Orange Business Services !!! (il est mignon....)!

Je vais quand même envoyer un mail à l'abuse d'orange sans espoir... Ces adresses seront bien bannies un jour car je suis pas le seul à les logger :

http://www.badips.com/info/61.147.116.8
https://www.blocklist.de/en/view.html?ip=61.147.116.8
http://oucsace.cs.ohiou.edu/~tysko/scanattack.2014.01

mais leurs ptites soeurs prendront la relève !

Bonne journée

[yoz]

Désolé, mon mp ne veut à priori pas sortir :(

[Sylvester_Trollman]

RAS du coté d'orange, ils ne peuvent rien faire si il n'y a pas de traces de délit. D'après lui on ne peut pas interdire des tentatives de connexion... enfin si on pourrait..... si vous étiez chez Orange Business Services !!! (il est mignon....)!

Si mes souvenirs sont bons, un scan de ports n'est pas un délit, même l'intrusion peut être interprétée par le juge s'il n'y a pas vraiment intention de nuire, s'il est de bonne humeur...

Les journaux (grands hebdos) scannent parfois nos ports, mais ce n'est pas répétitif.