Auteur Sujet: Scan SSH  (Lu 8368 fois)

0 Membres et 1 Invité sur ce sujet

Bensay

  • Technicien Orange ADSL / FTTH / MIC
  • Client Orange Fibre
  • *
  • Messages: 723
  • Val D'oise
Scan SSH
« le: 08 septembre 2014 à 17:07:09 »
Bonjour à tous,
Un petit topic pour savoir si vous êtes vous aussi victime de Scan(s) voir de tentatives d'intrusion via SSH sur vos IP résidentielles ? (le coté pro m’intéresse aussi , je suis un grand fan des Honeypot)
Voici pour ma part ma liste d'IP/Reseaux Bannis qui grossis de jour en jour, et cela est presque "plaisant" de voir que malgré des ban de CIDR complet ils trouvent toujours d'autres ressources jours après jour,
Changement d'IP dynamique par dynamique.

Pour l'instant un petit exemple de ma table de Banlist SSH :
iptables -I INPUT -s 116.10.191.0/24 -j DROP
iptables -I INPUT -s 115.238.236.0/24 -j DROP
iptables -I INPUT -s 219.138.135.0/24 -j DROP
iptables -I INPUT -s 61.153.105.0/24 -j DROP
iptables -I INPUT -s 61.174.50.0/24 -j DROP
iptables -I INPUT -s 61.174.51.0/24 -j DROP
iptables -I INPUT -s 58.241.61.0/24 -j DROP
iptables -I INPUT -s 210.211.99.0/24 -j DROP
iptables -I INPUT -s 218.59.209.0/24 -j DROP
iptables -I INPUT -s 72.135.104.0/24 -j DROP
iptables -I INPUT -s 193.104.41.0/24 -j DROP
iptables -I INPUT -s 42.62.0.0/17 -j DROP
iptables -I INPUT -s 37.140.192.0/22 -j DROP
iptables -I INPUT -s 144.0.0.0/16 -j DROP
iptables -I INPUT -s 210.75.0.0/16 -j DROP
iptables -I INPUT -s 61.31.0.0/16 -j DROP
iptables -I INPUT -s 61.232.0.0/13 -j DROP
iptables -I INPUT -s 119.61.0.0/16 -j DROP
iptables -I INPUT -s 101.251.192.0/18 -j DROP
iptables -I INPUT -s 50.22.0.0/15 -j DROP
iptables -I INPUT -s 85.195.64.0/18 -j DROP
iptables -I INPUT -s 212.129.0.0/18 -j DROP
iptables -I INPUT -s 122.224.0.0/12 -j DROP
iptables -I INPUT -s 222.219.0.0/8 -j DROP
iptables -I INPUT -s 162.249.208.0/21 -j DROP
iptables -I INPUT -s 192.169.128.0/17 -j DROP
iptables -I INPUT -s 189.203.0.0/16 -j DROP
iptables -I INPUT -s 212.83.160.0/19 -j DROP
iptables -I INPUT -s 94.102.48.0/20 -j DROP
iptables -I INPUT -s 95.181.0.0/18 -j DROP
iptables -I INPUT -s 58.186.0.0/16 -j DROP
iptables -I INPUT -s 216.246.49.0/24 -j DROP
iptables -I INPUT -s 46.98.0.0/16 -j DROP
iptables -I INPUT -s 212.115.224.0/19 -j DROP
iptables -I INPUT -s 24.80.0.0/13 -j DROP
iptables -I INPUT -s 95.65.0.0/17 -j DROP
iptables -I INPUT -s 122.165.64.0/19 -j DROP
iptables -I INPUT -s 194.184.0.0/16 -j DROP
iptables -I INPUT -s 123.127.0.0/16 -j DROP
iptables -I INPUT -s 187.74.0.0/15 -j DROP
iptables -I INPUT -s 61.167.0.0/16 -j DROP
iptables -I INPUT -s 212.227.0.0/16 -j DROP
iptables -I INPUT -s 198.251.48.0/20 -j DROP
iptables -I INPUT -s 12.0.0.0/8 -j DROP
iptables -I INPUT -s 60.168.0.0/13 -j DROP
iptables -I INPUT -s 187.174.96.0/19 -j DROP
iptables -I INPUT -s 220.113.128.0/21 -j DROP
iptables -I INPUT -s 210.66.0.0/16 -j DROP
iptables -I INPUT -s 1.93.0.0/16 -j DROP
iptables -I INPUT -s 58.186.0.0/15 -j DROP
iptables -I INPUT -s 198.8.60.0/23 -j DROP
iptables -I INPUT -s 61.167.0.0/16 -j DROP
iptables -I INPUT -s 61.140.0.0/14 -j DROP
iptables -I INPUT -s 61.133.192.0/19 -j DROP
iptables -I INPUT -s 69.198.188.0/22 -j DROP
iptables -I INPUT -s 128.199.128.0/18 -j DROP
iptables -I INPUT -s 89.37.112.0/21 -j DROP
iptables -I INPUT -s 204.187.100.0/23 -j DROP
iptables -I INPUT -s 60.168.0.0/13 -j DROP
iptables -I INPUT -s 87.117.160.0/19 -j DROP
iptables -I INPUT -s 87.106.0.0/16 -j DROP
iptables -I INPUT -s 190.57.174.0/24 -j DROP
iptables -I INPUT -s 191.103.32.0/19 -j DROP
iptables -I INPUT -s 200.7.176.0/21 -j DROP
iptables -I INPUT -s 186.22.0.0/15 -j DROP
iptables -I INPUT -s 181.114.216.0/24 -j DROP
iptables -I INPUT -s 203.112.192.0/19 -j DROP
iptables -I INPUT -s 101.64.0.0/13 -j DROP
iptables -I INPUT -s 218.2.0.0/16 -j DROP
iptables -I INPUT -s 173.160.0.0/13 -j DROP
iptables -I INPUT -s 166.70.0.0/16 -j DROP
iptables -I INPUT -s 175.45.192.0/18 -j DROP
iptables -I INPUT -s 49.120.0.0/14 -j DROP
iptables -I INPUT -s 91.212.124.0/24 -j DROP
iptables -I INPUT -s 58.248.0.0/13 -j DROP
iptables -I INPUT -s 113.21.72.0/21 -j DROP
iptables -I INPUT -s 61.144.0.0/15 -j DROP
iptables -I INPUT -s 86.110.224.0/19 -j DROP
iptables -I INPUT -s 61.190.0.0/15 -j DROP
iptables -I INPUT -s 61.174.0.0/15 -j DROP
iptables -I INPUT -s 116.8.0.0/14 -j DROP
iptables -I INPUT -s 195.154.0.0/16 -j DROP
iptables -I INPUT -s 199.96.80.0/21 -j DROP
iptables -I INPUT -s 115.224.0.0/12 -j DROP
iptables -I INPUT -s 208.43.224.0/19 -j DROP
iptables -I INPUT -s 42.96.128.0/17 -j DROP
iptables -I INPUT -s 68.68.0.0/20 -j DROP
iptables -I INPUT -s 112.78.0.0/23 -j DROP
iptables -I INPUT -s 117.128.0.0/10 -j DROP
iptables -I INPUT -s 204.12.192.0/18 -j DROP
iptables -I INPUT -s 202.192.0.0/12 -j DROP
iptables -I INPUT -s 119.15.156.0/22 -j DROP
iptables -I INPUT -s 115.112.0.0/16 -j DROP
iptables -I INPUT -s 185.26.172.0/22 -j DROP
iptables -I INPUT -s 184.106.0.0/16 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 113 -j DROP

Merci à tous pour vos retour sur le sujet.

Cdt

Bensay

Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 749
  • île-de-France
Scan SSH
« Réponse #1 le: 08 septembre 2014 à 17:18:16 »
Bonjour,

Un petit topic pour savoir si vous êtes vous aussi victime de Scan(s) voir de tentatives d'intrusion via SSH sur vos IP résidentielles ?
Je crois que ça concerne tout le /0.

(le coté pro m’intéresse aussi , je suis un grand fan des Honeypot)
Un article sur le sujet : http://bedagainstthewall.blogspot.fr/2011/03/running-ssh-honeypot-with-kippo-lets.html

Un site au concept intéressant : http://web.archive.org/web/20140102033355/http://iwatchedyourhack.org/

buddy

  • Client Orange Fibre
  • *
  • Messages: 8 303
  • Mougins (06)
Scan SSH
« Réponse #2 le: 08 septembre 2014 à 21:04:41 »
Salut,

sur plusieurs serveurs :
(je ne fais pas dans le détail, il y a surement moyen d'affiner .. mais çà ne bloque que le port SSH - 22)
iptables -I INPUT -p tcp --dport 22 -s 216.0.0.0/5 -j DROP
iptables -I INPUT -p tcp --dport 22 -s 211.0.0.0/8 -j DROP
iptables -I INPUT -p tcp --dport 22 -s 1.0.0.0/8 -j DROP
iptables -I INPUT -p tcp --dport 22 -s 60.0.0.0/7 -j DROP
iptables -I INPUT -p tcp --dport 22 -s 200.0.0.0/6 -j DROP
iptables -I INPUT -p tcp --dport 22 -s 120.0.0.0/6 -j DROP
iptables -I INPUT -p tcp --dport 22 -s 58.0.0.0/7 -j DROP
iptables -I INPUT -p tcp --dport 22 -s 180.0.0.0/8 -j DROP
iptables -I INPUT -p tcp --dport 22 -s 112.0.0.0/5 -j DROP
iptables -I INPUT -p tcp --dport 22 -s 124.0.0.0/7 -j DROP
iptables -I INPUT -p tcp --dport 22 -s 198.0.0.0/7 -j DROP
iptables -I INPUT -p tcp --dport 22 -s 41.0.0.0/8 -j DROP
iptables -I INPUT -p tcp --dport 22 -s 111.0.0.0/8 -j DROP

sinon fail2ban + 1 000 000 en bantime.

rinsa

  • Client Orange Fibre
  • *
  • Messages: 31
  • ADSL 8Mbps dégueulasse / Rennes (35)
Scan SSH
« Réponse #3 le: 09 septembre 2014 à 12:11:54 »

BadMax

  • Client Free adsl
  • Modérateur
  • *
  • Messages: 3 349
  • Malissard (26)
Scan SSH
« Réponse #4 le: 09 septembre 2014 à 15:47:23 »
Mais qui laisse encore le ssh sur le 22 ? :D

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 447
  • Amiens (80)
Scan SSH
« Réponse #5 le: 09 septembre 2014 à 15:48:05 »
Moi.

vivien

  • Administrateur
  • *
  • Messages: 27 097
    • Twitter LaFibre.info
Scan SSH
« Réponse #6 le: 09 septembre 2014 à 15:55:13 »
C'est clair que changer le port d'origine des services va compliquer la tache.

buddy

  • Client Orange Fibre
  • *
  • Messages: 8 303
  • Mougins (06)
Scan SSH
« Réponse #7 le: 09 septembre 2014 à 15:57:01 »
Franchement changer le port ca ne retarde / change pas grand chose..
Un nmap et c'est plié.
Au debut je changeais le port. J'ai vu que ca ne changeait presque rien et que ça m'embêtais plus qu'autre chose donc au final je laisse ssh sur le 22.

BadMax

  • Client Free adsl
  • Modérateur
  • *
  • Messages: 3 349
  • Malissard (26)
Scan SSH
« Réponse #8 le: 09 septembre 2014 à 15:59:44 »
Mon port est changé ben y'a plus personne qui vient frapper à la porte.

tontonrobert

  • Client Bbox adsl
  • *
  • Messages: 190
  • VDSL2 - Bbox
Scan SSH
« Réponse #9 le: 09 septembre 2014 à 16:02:41 »
Rien à foutre que les gens frappent !

Ça ne change rien à ma vie;

BadMax

  • Client Free adsl
  • Modérateur
  • *
  • Messages: 3 349
  • Malissard (26)
Scan SSH
« Réponse #10 le: 09 septembre 2014 à 16:55:14 »
Sarah Connor ?

Nico

  • Modérateur
  • *
  • Messages: 28 780
  • FTTH 300Mbps sur Paris 15ème (75)
    • @_GaLaK_
Scan SSH
« Réponse #11 le: 09 septembre 2014 à 17:00:58 »
Non c'est a coté...

 

Mobile View