Sujet : Re: Tentatives d'accès SSH
De : schaefer (at) *nospam* alphanet.ch (Marc SCHAEFER)
Groupes : fr.comp.securiteDate : 21. Jan 2022, 13:33:11
Autres entêtes
Organisation : Posted through ALPHANET
Message-ID : <sse5ln$ead$2@shakotay.alphanet.ch>
References : 1 2 3
User-Agent : tin/2.4.3-20181224 ("Glen Mhor") (UNIX) (Linux/4.19.0-18-amd64 (x86_64))
pehache <
pehache.7@gmail.com> wrote:
Conclusion : le pool d'IP attaquantes finit par s'épuiser si on les
bloque petit à petit. En un an j'ai dû en bloquer de l'ordre de 30.000
C'est possible.
Toutefois, sur un système que je gère, même avec environ 1200 adresses
IP bloquées en permanence, il y en a des nouvelles en continu.
D'ailleurs, depuis quelques temps, les attaques sont constantes en
nombre, mais le nombre de bloqués est en baisse!
Peut-être car certains attaquants sont plus intelligents: ils attaquent
10'000 cibles différentes avec le même pool d'IP, mais de manière lente.
Sauf si vous avez des sondes sur une bonne partie des 10'000 machines,
vous ne voyez qu'un essai par jour, voire moins. Au bon d'un an, ils
ont certainement trouvé quelques comptes sur quelques machines quand
même!
Sur un /24 que j'ai, qui n'illustre pas tout à fait le problème car
l'attaquant peut très bien voir que c'est le même /24 et donc répartir
les attaques en fonction, on voit par exemple trois types d'attaques:
- les bourrins, qui scannent tout, très rapidement
(probablement pour alimenter des services comme shodan.io ou
autres moins publics)
- ceux qui scannent plus intelligemment la plage, mais je les choppe
car ils cumulent plus que 3 par heure sur toute la plage
- ceux qui viennent moins souvent que 3 par heures, que je ne bloque
donc pas
Je reporte les récidives chez abuseipdb.com, parfois je suis un des
premiers, parfois ce sont effectivement des adresses bien pourries déjà!
Re: Tentatives d'accès SSH
Re: Tentatives d'accès SSH