Auteur Sujet: Scan SSH (Lu 18067 fois)

Bensay · « **le:** 08 septembre 2014 à 17:07:09 »

Bonjour à tous,
Un petit topic pour savoir si vous êtes vous aussi victime de Scan(s) voir de tentatives d'intrusion via SSH sur vos IP résidentielles ? (le coté pro m’intéresse aussi , je suis un grand fan des Honeypot)
Voici pour ma part ma liste d'IP/Reseaux Bannis qui grossis de jour en jour, et cela est presque "plaisant" de voir que malgré des ban de CIDR complet ils trouvent toujours d'autres ressources jours après jour,
Changement d'IP dynamique par dynamique.

Pour l'instant un petit exemple de ma table de Banlist SSH :

Code: [Sélectionner]

iptables -I INPUT -s 116.10.191.0/24 -j DROP
iptables -I INPUT -s 115.238.236.0/24 -j DROP
iptables -I INPUT -s 219.138.135.0/24 -j DROP
iptables -I INPUT -s 61.153.105.0/24 -j DROP
iptables -I INPUT -s 61.174.50.0/24 -j DROP
iptables -I INPUT -s 61.174.51.0/24 -j DROP
iptables -I INPUT -s 58.241.61.0/24 -j DROP
iptables -I INPUT -s 210.211.99.0/24 -j DROP
iptables -I INPUT -s 218.59.209.0/24 -j DROP
iptables -I INPUT -s 72.135.104.0/24 -j DROP
iptables -I INPUT -s 193.104.41.0/24 -j DROP
iptables -I INPUT -s 42.62.0.0/17 -j DROP
iptables -I INPUT -s 37.140.192.0/22 -j DROP
iptables -I INPUT -s 144.0.0.0/16 -j DROP
iptables -I INPUT -s 210.75.0.0/16 -j DROP
iptables -I INPUT -s 61.31.0.0/16 -j DROP
iptables -I INPUT -s 61.232.0.0/13 -j DROP
iptables -I INPUT -s 119.61.0.0/16 -j DROP
iptables -I INPUT -s 101.251.192.0/18 -j DROP
iptables -I INPUT -s 50.22.0.0/15 -j DROP
iptables -I INPUT -s 85.195.64.0/18 -j DROP
iptables -I INPUT -s 212.129.0.0/18 -j DROP
iptables -I INPUT -s 122.224.0.0/12 -j DROP
iptables -I INPUT -s 222.219.0.0/8 -j DROP
iptables -I INPUT -s 162.249.208.0/21 -j DROP
iptables -I INPUT -s 192.169.128.0/17 -j DROP
iptables -I INPUT -s 189.203.0.0/16 -j DROP
iptables -I INPUT -s 212.83.160.0/19 -j DROP
iptables -I INPUT -s 94.102.48.0/20 -j DROP
iptables -I INPUT -s 95.181.0.0/18 -j DROP
iptables -I INPUT -s 58.186.0.0/16 -j DROP
iptables -I INPUT -s 216.246.49.0/24 -j DROP
iptables -I INPUT -s 46.98.0.0/16 -j DROP
iptables -I INPUT -s 212.115.224.0/19 -j DROP
iptables -I INPUT -s 24.80.0.0/13 -j DROP
iptables -I INPUT -s 95.65.0.0/17 -j DROP
iptables -I INPUT -s 122.165.64.0/19 -j DROP
iptables -I INPUT -s 194.184.0.0/16 -j DROP
iptables -I INPUT -s 123.127.0.0/16 -j DROP
iptables -I INPUT -s 187.74.0.0/15 -j DROP
iptables -I INPUT -s 61.167.0.0/16 -j DROP
iptables -I INPUT -s 212.227.0.0/16 -j DROP
iptables -I INPUT -s 198.251.48.0/20 -j DROP
iptables -I INPUT -s 12.0.0.0/8 -j DROP
iptables -I INPUT -s 60.168.0.0/13 -j DROP
iptables -I INPUT -s 187.174.96.0/19 -j DROP
iptables -I INPUT -s 220.113.128.0/21 -j DROP
iptables -I INPUT -s 210.66.0.0/16 -j DROP
iptables -I INPUT -s 1.93.0.0/16 -j DROP
iptables -I INPUT -s 58.186.0.0/15 -j DROP
iptables -I INPUT -s 198.8.60.0/23 -j DROP
iptables -I INPUT -s 61.167.0.0/16 -j DROP
iptables -I INPUT -s 61.140.0.0/14 -j DROP
iptables -I INPUT -s 61.133.192.0/19 -j DROP
iptables -I INPUT -s 69.198.188.0/22 -j DROP
iptables -I INPUT -s 128.199.128.0/18 -j DROP
iptables -I INPUT -s 89.37.112.0/21 -j DROP
iptables -I INPUT -s 204.187.100.0/23 -j DROP
iptables -I INPUT -s 60.168.0.0/13 -j DROP
iptables -I INPUT -s 87.117.160.0/19 -j DROP
iptables -I INPUT -s 87.106.0.0/16 -j DROP
iptables -I INPUT -s 190.57.174.0/24 -j DROP
iptables -I INPUT -s 191.103.32.0/19 -j DROP
iptables -I INPUT -s 200.7.176.0/21 -j DROP
iptables -I INPUT -s 186.22.0.0/15 -j DROP
iptables -I INPUT -s 181.114.216.0/24 -j DROP
iptables -I INPUT -s 203.112.192.0/19 -j DROP
iptables -I INPUT -s 101.64.0.0/13 -j DROP
iptables -I INPUT -s 218.2.0.0/16 -j DROP
iptables -I INPUT -s 173.160.0.0/13 -j DROP
iptables -I INPUT -s 166.70.0.0/16 -j DROP
iptables -I INPUT -s 175.45.192.0/18 -j DROP
iptables -I INPUT -s 49.120.0.0/14 -j DROP
iptables -I INPUT -s 91.212.124.0/24 -j DROP
iptables -I INPUT -s 58.248.0.0/13 -j DROP
iptables -I INPUT -s 113.21.72.0/21 -j DROP
iptables -I INPUT -s 61.144.0.0/15 -j DROP
iptables -I INPUT -s 86.110.224.0/19 -j DROP
iptables -I INPUT -s 61.190.0.0/15 -j DROP
iptables -I INPUT -s 61.174.0.0/15 -j DROP
iptables -I INPUT -s 116.8.0.0/14 -j DROP
iptables -I INPUT -s 195.154.0.0/16 -j DROP
iptables -I INPUT -s 199.96.80.0/21 -j DROP
iptables -I INPUT -s 115.224.0.0/12 -j DROP
iptables -I INPUT -s 208.43.224.0/19 -j DROP
iptables -I INPUT -s 42.96.128.0/17 -j DROP
iptables -I INPUT -s 68.68.0.0/20 -j DROP
iptables -I INPUT -s 112.78.0.0/23 -j DROP
iptables -I INPUT -s 117.128.0.0/10 -j DROP
iptables -I INPUT -s 204.12.192.0/18 -j DROP
iptables -I INPUT -s 202.192.0.0/12 -j DROP
iptables -I INPUT -s 119.15.156.0/22 -j DROP
iptables -I INPUT -s 115.112.0.0/16 -j DROP
iptables -I INPUT -s 185.26.172.0/22 -j DROP
iptables -I INPUT -s 184.106.0.0/16 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 113 -j DROP

Merci à tous pour vos retour sur le sujet.

Cdt

Bensay

Marin · « **Réponse #1 le:** 08 septembre 2014 à 17:18:16 »

Bonjour,

Citation de: Bensay le 08 septembre 2014 à 17:07:09

Un petit topic pour savoir si vous êtes vous aussi victime de Scan(s) voir de tentatives d'intrusion via SSH sur vos IP résidentielles ?

Je crois que ça concerne tout le /0.

Citation de: Bensay le 08 septembre 2014 à 17:07:09

(le coté pro m’intéresse aussi , je suis un grand fan des Honeypot)

Un article sur le sujet : http://bedagainstthewall.blogspot.fr/2011/03/running-ssh-honeypot-with-kippo-lets.html

Un site au concept intéressant : http://web.archive.org/web/20140102033355/http://iwatchedyourhack.org/

buddy · « **Réponse #2 le:** 08 septembre 2014 à 21:04:41 »

Salut,

sur plusieurs serveurs :
(je ne fais pas dans le détail, il y a surement moyen d'affiner .. mais çà ne bloque que le port SSH - 22)

Code: [Sélectionner]

iptables -I INPUT -p tcp --dport 22 -s 216.0.0.0/5 -j DROP
iptables -I INPUT -p tcp --dport 22 -s 211.0.0.0/8 -j DROP
iptables -I INPUT -p tcp --dport 22 -s 1.0.0.0/8 -j DROP
iptables -I INPUT -p tcp --dport 22 -s 60.0.0.0/7 -j DROP
iptables -I INPUT -p tcp --dport 22 -s 200.0.0.0/6 -j DROP
iptables -I INPUT -p tcp --dport 22 -s 120.0.0.0/6 -j DROP
iptables -I INPUT -p tcp --dport 22 -s 58.0.0.0/7 -j DROP
iptables -I INPUT -p tcp --dport 22 -s 180.0.0.0/8 -j DROP
iptables -I INPUT -p tcp --dport 22 -s 112.0.0.0/5 -j DROP
iptables -I INPUT -p tcp --dport 22 -s 124.0.0.0/7 -j DROP
iptables -I INPUT -p tcp --dport 22 -s 198.0.0.0/7 -j DROP
iptables -I INPUT -p tcp --dport 22 -s 41.0.0.0/8 -j DROP
iptables -I INPUT -p tcp --dport 22 -s 111.0.0.0/8 -j DROP

sinon fail2ban + 1 000 000 en bantime.

rinsa · « **Réponse #3 le:** 09 septembre 2014 à 12:11:54 »

http://www.ipban.net/

BadMax · « **Réponse #4 le:** 09 septembre 2014 à 15:47:23 »

Mais qui laisse encore le ssh sur le 22 ?

jack · « **Réponse #5 le:** 09 septembre 2014 à 15:48:05 »

vivien · « **Réponse #6 le:** 09 septembre 2014 à 15:55:13 »

C'est clair que changer le port d'origine des services va compliquer la tache.

buddy · « **Réponse #7 le:** 09 septembre 2014 à 15:57:01 »

Franchement changer le port ca ne retarde / change pas grand chose..
Un nmap et c'est plié.
Au debut je changeais le port. J'ai vu que ca ne changeait presque rien et que ça m'embêtais plus qu'autre chose donc au final je laisse ssh sur le 22.

BadMax · « **Réponse #8 le:** 09 septembre 2014 à 15:59:44 »

Mon port est changé ben y'a plus personne qui vient frapper à la porte.

tontonrobert · « **Réponse #9 le:** 09 septembre 2014 à 16:02:41 »

Rien à foutre que les gens frappent !

Ça ne change rien à ma vie;

BadMax · « **Réponse #10 le:** 09 septembre 2014 à 16:55:14 »

Sarah Connor ?

Nico · « **Réponse #11 le:** 09 septembre 2014 à 17:00:58 »

Non c'est a coté...