Auteur Sujet: Scan SSH  (Lu 16585 fois)

0 Membres et 1 Invité sur ce sujet

s3phy

  • Abonné FreeMobile
  • *
  • Messages: 375
  • St Laurent des Hommes (24)
Scan SSH
« Réponse #12 le: 09 septembre 2014 à 20:50:22 »
Franchement changer le port ca ne retarde / change pas grand chose..
J'ai pas la même expérience à ce niveau là.

T'évites tous les scans automatiques. Et sur mes serveurs ça correspond à l'écrasante majorité de tentatives de connexions.

Bien sûr si c'est un humain derrière, en un nmap c'est réglé, mais t'élimines déjà les botnet.

butler_fr

  • Client Bbox adsl
  • Modérateur
  • *
  • Messages: 3 605
  • FTTH orange
Scan SSH
« Réponse #13 le: 09 septembre 2014 à 21:15:49 »
pour les botnet:

un fail2ban plus PermitRootLogin à no et c'est fini!

sinon je changerais bien le port mais mon école bloque la plupart des autres donc pas trop le choix!
(je fais déjà passer le VPN sur le 21.....)

thenico

  • Expert.
  • Abonné OVH
  • *
  • Messages: 1 009
  • FTTH >500 Mb/s (13)
Scan SSH
« Réponse #14 le: 09 septembre 2014 à 22:44:32 »
N'autoriser que les publickey sur le bastion ssh est une bonne pratique de toute façon :)
 

buddy

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 15 071
  • Alpes Maritimes (06)
Scan SSH
« Réponse #15 le: 09 septembre 2014 à 23:00:28 »
pour les botnet:

un fail2ban plus PermitRootLogin à no et c'est fini!

sinon je changerais bien le port mais mon école bloque la plupart des autres donc pas trop le choix!
(je fais déjà passer le VPN sur le 21.....)

avec un bantime très élevé, c'est encore mieux ... car le bantime de 300 secondes par défaut ... les botnets réessayent directement à la fin du bantime ..
Avec un bantime élevé, ils comprennent et laissent le serveur tranquille après pendant un moment.

butler_fr

  • Client Bbox adsl
  • Modérateur
  • *
  • Messages: 3 605
  • FTTH orange
Scan SSH
« Réponse #16 le: 09 septembre 2014 à 23:30:29 »
bantime de 3600 pour moi!
pas envie de me faire griller toute une journée parce qu'un de mes pote de promo à trouvé fun l'idée de taper sur mon serveur!

Optix

  • AS41114 - Expert OrneTHD
  • Abonné Orne THD
  • *
  • Messages: 4 632
  • WOOHOO !
    • OrneTHD
Scan SSH
« Réponse #17 le: 10 septembre 2014 à 09:05:29 »
Perso j'ai laissé le port par défaut, mais j'ai obligé mes SSH à écouter sur mes IPv6. C'est le calme absolu :)

buddy

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 15 071
  • Alpes Maritimes (06)
Scan SSH
« Réponse #18 le: 10 septembre 2014 à 09:44:09 »
bantime de 3600 pour moi!
pas envie de me faire griller toute une journée parce qu'un de mes pote de promo à trouvé fun l'idée de taper sur mon serveur!
Tu devrais essayer un ban time à peine plus long car 3600 secondes ça doit etre dans les retentatives des botnet.
Essaye par exemple 3792.

Sinon dans le pire des cas, ssh over 3g pour debannir l'ip.

rinsa

  • Abonné Orange Fibre
  • *
  • Messages: 31
  • ADSL 8Mbps dégueulasse / Rennes (35)
Scan SSH
« Réponse #19 le: 27 septembre 2014 à 20:36:27 »
Changement de port
Désactivation login par mot de passe (clé)
Désactivation root
Fail2ban (ban de 30 jours comme ça c'est plié)
Écoute sur une IP unique (en supposant que vous ayez un autre serveur ou une IP fixe)

Y a plein de solutions safe ::)

Paul

  • Abonné Orange Fibre
  • *
  • Messages: 4 265
  • Vannes (56)
    • Twitter
Scan SSH
« Réponse #20 le: 27 septembre 2014 à 22:34:25 »
Vu le nombre d'IP chelou qui d'après les logs ont "frappé" au port 21 sur lequel j'ai mon serveur FTP, je vais voir pour le fail2ban... Et ça ne doit pas être qu'à ce port que ça se produit.

rinsa

  • Abonné Orange Fibre
  • *
  • Messages: 31
  • ADSL 8Mbps dégueulasse / Rennes (35)
Scan SSH
« Réponse #21 le: 01 octobre 2014 à 16:07:58 »
Si vous avec un serv chez OVH/SYS ou Online, sautez sur une IP Failover si vous pouvez en avoir ; celles qu'OVH utilise ont l'air de ne jamais avoir été scannées / enregistrées.
Pour l'instant en 24 heures, aucune interrogation étrange dans les fichiers de log sur mes 3 ips F/O, tandis que sur l'IP principale de la machine j'en ai eu plusieurs  :P

buddy

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 15 071
  • Alpes Maritimes (06)
Scan SSH
« Réponse #22 le: 02 octobre 2014 à 22:04:44 »
Si vous avec un serv chez OVH/SYS ou Online, sautez sur une IP Failover si vous pouvez en avoir ; celles qu'OVH utilise ont l'air de ne jamais avoir été scannées / enregistrées.
Pour l'instant en 24 heures, aucune interrogation étrange dans les fichiers de log sur mes 3 ips F/O, tandis que sur l'IP principale de la machine j'en ai eu plusieurs  :P

t'inquiète c'est juste un "délai" de répis

que ce soit chez Online, SYS ou OVH mes ips se font scanner et régulièrement visitées au bout de quelques jours / semaines ... (certaines ips n'ont aucun domaine qui pointent dessus pourtant)

un jour un bot scannera la plage entière avec ton ip au milieu ...

Nyckos

  • Invité
Scan SSH
« Réponse #23 le: 13 octobre 2014 à 13:32:56 »
SSH depuis un /28 d'admin pour moi :)