Attaques sshd en masse : qui fait çà ?

[ortolojf]

Bonjour

J'ai Debian 9, maintenant avec backports

Sur mon site de Turf, j'ai plus de 6300 ip blacklistées par Fail2ban pour sshd.

J'ai mis ces ips dans un fichier et je les déblackliste à la volée.

Déjà 1550 ips déblacklistées en 5 minutes.

J'ai fail2ban 0.9.6 ( pas 1.10.1 ) donc je ne peux pas faire : `fail2ban-client sshd unban --all`

Au fur et à mesure les ips sont reblacklistées.

Que faire ?

Merci beaucoup.

 

[spout]

Changer de port ça va déjà diminuer les attaques de moitié

 

[theunholy]

En plus du port, je suggère de désactiver SSH et de ne l'activer que le temps de se connecter.

 

[spout]

@theunholy ah et tu connectes comment d'autre toi ?

 

[ortolojf]

Super spout

J'ai changé le port après avoir déblacklisté plus de 6900 ips.

Plus d'ip blacklistée.

Problème résolu.

Merci beaucoup Monsieur spout

 

[theunholy]

@theunholy ah et tu connectes comment d'autre toi ?

Je n'ai pas dit de le désinstaller mais de le désactiver. Arrêter le service, si tu préfères.
Quand t'en as besoin, tu le lances via un panneau de contrôle et tu l'arrêtes dès que t'es connecté.

 

[passion]

je te conseille de désactiver ta connexion par ssh. Passe plutôt par une clé sécurisée en rsa et là, aucun risque. Les attaques pourront crever dans l'oeuf

 

[ortolojf]

Merci beaucoup passion

Si j'avais une clé sur mon ordinateur, j'aurais peur que mon ordi soit hacké.

Une clé çà se communique facilement ( entre hackers ),

Mon password ( ultra complexe, 30 caractères ), est une protection.

D'un autre côté iptables n'est pas une solution, avec nmap et autres joyeusetés.

Côté sécurité, mon maillon faible c'est le password.

Mais, même avec un ordinateur, ( sous Linux ! ) que peut faire un hack contre ssh ?

A moins de dériver les entrées clavier ?

Merci beaucoup de vos suggestions.

Amicalement.

 

[spout]

@theunholy j'avais bien lu que tu parlais de le désactiver mais je fais tout à la mano sans panel, donc SSH obligé.