La plupart des tentatives d’intrusion à mes serveurs au taf sont made in China, ou alors elles semblent en provenir et pour l’essentiel ce sont des tentatives de connexions SSH, avec login et mot de passe, selon la méthode brute-force habituelle (ie utilisation d’un dictionnaire de login/mot de passe et essai de chacun d’eux, les uns après les autres). Ils sont persévérants parce que j’ai pourtant installé ce qu’il fallait pour qu’il soient boutés — pendant une durée assez longue — hors du serveur dès lors qu’ils dépassent un certain nombre de connexion erronées, ils reviennent, encore et encore…
Au train où ça va, à moins de tomber sur la bonne combinaison, ce qui n’est pour l’instant pas arrivé, je me demande combien de temps ils vont mettre pour entrer dans un des mes serveurs. Maintenant il faudrait que je calcule la probabilité d’existence d’une de mes combinaisons login/mot de passe dans un de leurs dictionnaires, ce que j’estime plutôt faible, même si le risque zéro n’existe pas.
Si les hommes font moins de conneries en février, c’est parce qu’ils n’ont que vingt-huit jours.
Pierre , Chroniques de la haine ordinaire
Cela dit, ça s’intensifie depuis un an (sauf en février, la raison en est expliquée ci-dessus), signe d’un agrandissement du botnet chargé de ces tentatives ? Ou alors c’est juste que ça les énerve de pas y arriver et qu’ils allouent du coup plus de moyens ? Bref, comme je reçois des rapports réguliers de mes serveurs à ce sujet, ça me permet de savoir qu’ils [mes serveurs, NDLR] sont encore vivants et visibles.
1 De Laurent -
De mon expérience, changer le port ssh pour un port exotique réduit de 99,9% ce genre d'attaques.
2 De Franck -
C'est le cas sur le serveur — comme sur les autres d'ailleurs — dont je montre le graphique, ce qui explique d'ailleurs le faible nombre de connexions journalières.
Le firewall qui est devant filtre beaucoup plus que ça sur les autres ports, et effectivement la majorité sur le port 22.