Detection d'une attaque sur l'IP: mesures de protection proactive?

ThomasB67 2021-04-03 08:45:33 UTC #1

Bonjour,

C'est la 3eme fois depuis environ 6 mois que OVH m'envoie un mail m'indiquant:

Nous venons de détecter une attaque sur l'adresse IP xx.xx.xx.xx. Afin de protéger votre infrastructure, nous avons aspiré votre traffic sur notre infrastructure de mitigation.
Afin de protéger votre infrastructure, nous avons aspiré votre
traffic sur notre infrastructure de mitigation.
Toute l'attaque sera ainsi filtrée par notre infrastructure, et seul
le traffic légitime arrivera jusqu'à vos serveurs.

C'est très bien qu'OVH me protège, mais j'aimerai en savoir plus sur ces attaques: qui les commet? quelles sont leurs cibles (je suppose le port 22 avec des mots de passe standards, comme si ce n'était pas l'un des trucs faciles à protéger)?

Et y-a-t-il des moyens de les détecter soi-même et s'en prémunir de façon proactive?

Par exemple, je considère l'opportunité de faire du port 22 un "honeypot" et déplacer le port ssh vers un port custom. Je sais que c'est mieux, mais cela a aussi des inconvénients. Est-ce utile? D'autres conseils?

janus57 2021-04-03 08:52:53 UTC #2

Bonjour,

sans doute un botnet et quelqu’un qui vous veux pas du bien (impossible à réellement le savoir)

vous, et surement une application qui tourne sur votre dédié, en tout c'est la mitigation ne protège pas des bruteforce donc c'est pas une histoire de tentatives d'accès via des mot de passe, mais bien une attaque (D)DoS.

Cordialement, janus57

Sich 2021-04-03 09:08:45 UTC #3

@janus57 a déjà dit l'essentiel.
Je rajouterai simplement que oui, on déplace le port SSH... C'est même probablement le 1er truc à faire sur un serveur... Pensez à adapter la config de votre parefeu...

Sinon en complément fail2ban ou crowdsec ne fait pas de mal...

janus57 2021-04-03 09:31:53 UTC #4

Bonjour,

Perso je suis pas aussi catégorique, je déplace jamais le port SSH, je préfère mettre des protections dessus, certes les logs sont plus important avec le port en 22, mais à coup de blocage automatique sa les réduit quand même.

Quelques sources sur le fait de changer le port SSH au dessus de 1024 (ouverture par root uniquement) :
- https://serverfault.com/questions/619898/should-i-change-the-ssh-port-to-1024
- https://serverfault.com/questions/189282/why-change-default-ssh-port/232242

Et si c'est juste une histoire de réduire les logs la technique du "Port Knocking" me semble bien plus efficace (vu que cela coupe le port dans le firewall)

Cordialement, janus57

ThomasB67 2021-04-03 09:33:56 UTC #5

Mon port ssh est bien protégé. (fail2ban, etc...)

Mais si c'est une DDOS, il n'y a vraiment rien qu'ils puissent espérer obtenir à mettre mon serveur à terre. Je viens de subir 8 jours d'arrêt à cause de l'incident de Strasbourg, sans que mes services en aient souffert. Qu'est ce qu'ils cherchent à faire, c'est quoi leur but?

Fritz2cat 2021-04-03 10:19:29 UTC #6

As-tu des services UDP ouverts au public ?

ThomasB67 2021-04-03 10:22:23 UTC #7

Pas sur ce serveur, mais sur une autre machine dans un sous-domaine, oui, enfin, il me semble que les services de chat utilisent UDP, non?

Donc, ils se tromperaient de cible?

Fritz2cat 2021-04-03 10:25:21 UTC #8

Ou hébergement de jeux ? On sait bien que les gamers ne sont pas toujours tendres entre eux.

ThomasB67 2021-04-03 10:35:12 UTC #9

Mouais, je n'héberge pas de jeu, mais peut-être que je peux imaginer des concurrents dans des pays plus "far west" (paradoxalement, genre à l'Est).

Enfin, si c'est ça, ca me laisse froid.

Sich 2021-04-03 11:10:35 UTC #10

C'est des bots, faut pas trop chercher... J'en ai très souvent ce genre d'alertes...

Propulsé par Discourse, le rendu est meilleur avec le JavaScript activé

OVHcloud Community

Bienvenue sur votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres d'OVHcloud Community.