[pot de miel] Je me fais brute-force mon serveur

Le 02 février 2022 à 09:03:49 :

Le 02 février 2022 à 08:59:03 :
Je vois pas l’interêt de changer le port ssh du 22 à un autre. Les bots scannent tous les ports de toute façon. Faites le test vous mêmes, changez le port et lancez nmap vous retrouverez vite votre port ssh même si c’est le 8042

T'es sur?
nmap avec 22 open
PORT STATE SERVICE
22/tcp open ssh
80/tcp closed http
443/tcp closed https

nmap après avoir changé le port ssh
PORT STATE SERVICE
22/tcp closed ssh
80/tcp closed http
443/tcp closed https

https://image.noelshack.com/fichiers/2018/29/6/1532128784-risitas33.png

Oui tu scan 1000 ports par défaut. Ajoute l'option :

-p-

Ca va scan les 65k.

Le 02 février 2022 à 08:47:59 :

Le 02 février 2022 à 08:44:25 :
T'as acheté un serveur khey ? J'pige rien à l'info
Ça t'a coûte cb ? Ça va servir à quoi un serveur ?
Merci

5e/mois
tu peux héberger ce que tu veux comme service sur ton serveur, un site, un serveur de jeu, un bot, une api, une base de donnée, n'importe quoihttps://image.noelshack.com/fichiers/2017/13/1490886827-risibo.png

Et toi tu stockes quoi, l'opax?https://image.noelshack.com/fichiers/2022/04/5/1643358385-godelunettestasse.png

Aya je reçois 10 fois moins de connexions et ils se font tous bloquer par UFWhttps://image.noelshack.com/fichiers/2020/50/2/1607386908-enxt.png

Le 02 février 2022 à 09:03:49 :

Le 02 février 2022 à 08:59:03 :
Je vois pas l’interêt de changer le port ssh du 22 à un autre. Les bots scannent tous les ports de toute façon. Faites le test vous mêmes, changez le port et lancez nmap vous retrouverez vite votre port ssh même si c’est le 8042

T'es sur?
nmap avec 22 open
PORT STATE SERVICE
22/tcp open ssh
80/tcp closed http
443/tcp closed https

nmap après avoir changé le port ssh
PORT STATE SERVICE
22/tcp closed ssh
80/tcp closed http
443/tcp closed https

https://image.noelshack.com/fichiers/2018/29/6/1532128784-risitas33.png

D'un point de vue sécurité, mieux vaut que tous les ports inutilisés apparraissent en "filtered" et non en "closed".

Donc parefeu.

+ l'op on dit pas bruteforce on dit attaque automatisée en password spraying

[08:54:31] <Falquiero>

Le 02 février 2022 à 08:53:11 :

[08:31:18] <PatesNarbo>

Le 02 février 2022 à 08:29:30 :
Tu aurais configuré correctement SSH, il serait pas sur le port 22 en extérieur.
Idem, tu aurais bien configuré UFW, tu aurais pas des connexions d'adresses ip inconnues.

Et troisièment, j'espère que tu as mis fail2ban...

Bref, tu as encore un peu de taff pour devenir admin sys, chef.

Venu ici pour dire ça

Fail2Ban, ssh sur un port non-22 en extérieur et si tu es vicieux un ssh Trap

Bordel les admins sys qui se prennent pour des experts cyber à faire tourner un service sur un port non RFC

Ça n'apporte absolument aucune sécurité

On sécurise pas par l'obscurité mais crois moi que pas le mettre sur le 22 ça t'économises du traffic

Je suis déjà plus d'accord avec ça

Bien que si scan complet, l'économie de traffic...

Mais ce serait intéressant de mesurer l'écart

[09:03:49] <Sadeveloper>

Le 02 février 2022 à 08:59:03 :
Je vois pas l’interêt de changer le port ssh du 22 à un autre. Les bots scannent tous les ports de toute façon. Faites le test vous mêmes, changez le port et lancez nmap vous retrouverez vite votre port ssh même si c’est le 8042

T'es sur?
nmap avec 22 open
PORT STATE SERVICE
22/tcp open ssh
80/tcp closed http
443/tcp closed https

nmap après avoir changé le port ssh
PORT STATE SERVICE
22/tcp closed ssh
80/tcp closed http
443/tcp closed https

https://image.noelshack.com/fichiers/2018/29/6/1532128784-risitas33.png

J'ai plus en tête exactement les options du scan nmap par défaut, mais il test que les well known ports donc si la personne en face ne sait pas utiliser nmap elle peut effectivement passer à côté (ce qui est le cas là)

Attends mais je peux même plus ssh sur mon serv ayaahttps://image.noelshack.com/fichiers/2020/31/4/1596129454-ahi-fondu.png
j'ai foutu quoihttps://image.noelshack.com/fichiers/2020/31/4/1596129454-ahi-fondu.png

Rajoute un hashwall en plus de login password et c'est réglé, fini les brute force

Le 02 février 2022 à 09:08:07 :

[08:54:31] <Falquiero>

Le 02 février 2022 à 08:53:11 :

[08:31:18] <PatesNarbo>

Le 02 février 2022 à 08:29:30 :
Tu aurais configuré correctement SSH, il serait pas sur le port 22 en extérieur.
Idem, tu aurais bien configuré UFW, tu aurais pas des connexions d'adresses ip inconnues.

Et troisièment, j'espère que tu as mis fail2ban...

Bref, tu as encore un peu de taff pour devenir admin sys, chef.

Venu ici pour dire ça

Fail2Ban, ssh sur un port non-22 en extérieur et si tu es vicieux un ssh Trap

Bordel les admins sys qui se prennent pour des experts cyber à faire tourner un service sur un port non RFC

Ça n'apporte absolument aucune sécurité

On sécurise pas par l'obscurité mais crois moi que pas le mettre sur le 22 ça t'économises du traffic

Je suis déjà plus d'accord avec ça

Bien que si scan complet, l'économie de traffic...

Mais ce serait intéressant de mesurer l'écart

[09:03:49] <Sadeveloper>

Le 02 février 2022 à 08:59:03 :
Je vois pas l’interêt de changer le port ssh du 22 à un autre. Les bots scannent tous les ports de toute façon. Faites le test vous mêmes, changez le port et lancez nmap vous retrouverez vite votre port ssh même si c’est le 8042

T'es sur?
nmap avec 22 open
PORT STATE SERVICE
22/tcp open ssh
80/tcp closed http
443/tcp closed https

nmap après avoir changé le port ssh
PORT STATE SERVICE
22/tcp closed ssh
80/tcp closed http
443/tcp closed https

https://image.noelshack.com/fichiers/2018/29/6/1532128784-risitas33.png

J'ai plus en tête exactement les options du scan nmap par défaut, mais il test que les well known ports donc si la personne en face ne sait pas utiliser nmap elle peut effectivement passer à côté (ce qui est le cas là)

Tu peux aussi drop les scans hein https://inai.de/documents/chaostables.pdf

Le 02 février 2022 à 09:10:34 :
Attends mais je peux même plus ssh sur mon serv ayaahttps://image.noelshack.com/fichiers/2020/31/4/1596129454-ahi-fondu.png
j'ai foutu quoihttps://image.noelshack.com/fichiers/2020/31/4/1596129454-ahi-fondu.png

Indique le nouveau port dans la commande. Par défaut c'est 22

[UFW BLOCK] IN=eth0

hein?https://image.noelshack.com/fichiers/2016/45/1478710549-chanclasueur.gif

Le 02 février 2022 à 08:31:18 :

Le 02 février 2022 à 08:29:30 :
Tu aurais configuré correctement SSH, il serait pas sur le port 22 en extérieur.
Idem, tu aurais bien configuré UFW, tu aurais pas des connexions d'adresses ip inconnues.

Et troisièment, j'espère que tu as mis fail2ban...

Bref, tu as encore un peu de taff pour devenir admin sys, chef.

Venu ici pour dire ça

Fail2Ban, ssh sur un port non-22 en extérieur et si tu es vicieux un ssh Trap

J'allais dire la même chose.
Dehors c'est le zoo, j'avais mis un raspberry avec un ssh en frontal du net. Il a fallu 20mn pour que les bruteforce commence.

Le 02 février 2022 à 09:10:34 :
Attends mais je peux même plus ssh sur mon serv ayaahttps://image.noelshack.com/fichiers/2020/31/4/1596129454-ahi-fondu.png
j'ai foutu quoihttps://image.noelshack.com/fichiers/2020/31/4/1596129454-ahi-fondu.png

https://image.noelshack.com/fichiers/2020/31/4/1596129454-ahi-fondu.png

Le 02 février 2022 à 09:12:51 :

Le 02 février 2022 à 09:10:34 :
Attends mais je peux même plus ssh sur mon serv ayaahttps://image.noelshack.com/fichiers/2020/31/4/1596129454-ahi-fondu.png
j'ai foutu quoihttps://image.noelshack.com/fichiers/2020/31/4/1596129454-ahi-fondu.png

Indique le nouveau port dans la commande. Par défaut c'est 22

Je met le bon port, je me fais "UFW BLOCK"https://image.noelshack.com/fichiers/2016/47/1480250333-risitassueur.png

Je fini un truc l’op

Laisse toi faire

Ok c'est bonhttps://image.noelshack.com/fichiers/2017/02/1483996280-1234434.jpg
Fallait faire ufw allow "monport"/tcp
mais du coup en faisant un nmap on trouve le port direct maintenant

La je me connecte en root, vous pensez que ça sert à quelque chose de config un user?

Le 02 février 2022 à 09:23:18 :
La je me connecte en root, vous pensez que ça sert à quelque chose de config un user?

Oui. Désactives l'accès en root et génère une paire de clé pour ton user.

Le 02 février 2022 à 09:25:03 :

Le 02 février 2022 à 09:23:18 :
La je me connecte en root, vous pensez que ça sert à quelque chose de config un user?

Oui. Désactives l'accès en root et génère une paire de clé pour ton user.

Ok merci khey tu m'aides beaucouphttps://image.noelshack.com/fichiers/2017/13/1490886827-risibo.png

Le 02 février 2022 à 08:54:31 :

Le 02 février 2022 à 08:53:11 :

[08:31:18] <PatesNarbo>

Le 02 février 2022 à 08:29:30 :
Tu aurais configuré correctement SSH, il serait pas sur le port 22 en extérieur.
Idem, tu aurais bien configuré UFW, tu aurais pas des connexions d'adresses ip inconnues.

Et troisièment, j'espère que tu as mis fail2ban...

Bref, tu as encore un peu de taff pour devenir admin sys, chef.

Venu ici pour dire ça

Fail2Ban, ssh sur un port non-22 en extérieur et si tu es vicieux un ssh Trap

Bordel les admins sys qui se prennent pour des experts cyber à faire tourner un service sur un port non RFC

Ça n'apporte absolument aucune sécurité

On sécurise pas par l'obscurité mais crois moi que pas le mettre sur le 22 ça t'économises du traffic

C'est juste de la bonne pratique