OVH Community, votre nouvel espace communautaire.

Fail2ban + SSH : pire que le guichet à la poste ?


Nowwhat
17/12/2014, 01h35
Noop, pas shell-machin. J'ai un filtre express pour lui déjà.
Finalement, il y a très peu des scans à la shell-shock (sur mes serveurs).
Peut être par ce qu'on a tout expliqué de lui sur le JT à 20h00 ?

http://www.test-domaine.fr/munin/pap.../fail2ban.html
Il s'agit d'un "attaque à la dictionnaire" sur la porte SSH - le plus ordinaire possible.

Effectivement, cette vaque est aussi vite partie comme elle est venu.

janus57
16/12/2014, 23h25
Citation Envoyé par shirokoweb
Rien de bien nouveau, les attaques ont de type shellshock ont explosé depuis la révélation d'une faille importante de linux.
Bonjour,

c'était pas forcément shellshock ici, vu que le vecteur commun semblait être plesk qui était en majorité.

Si c'était bien shellshock on aurait logiquement du voir de tout et n'importe quoi (plesk, cpanel, distribution "classique", ispconfig etc...), hors ici sur un petit échantillons venant du réseau 1&1 y avait 90% de plesk, j'ai pas vérifier en profondeurs les autre, mais plesk semblait bien présent et cela juste après une MAJ de plesk qui indiqué que "la sécurité avait été renforcé".

Donc oui y doit encore y avoir des serveur vulnérable à shellshock, mais doit y avir plus de serveur vulnérable car leur panel n'est pas à jour que de serveur avec shellshock non patché (surtout si les personnes s'occupe de leur serveur comme de leur wordpress).

Néanmoins ce pic c'est arrêté moins de 96H après son commencement (les hébergeurs qui on sans doute remarqué que leur réseau servait de vecteur d'attaque).

Cordialement, janus57

shirokoweb
16/12/2014, 22h56
Rien de bien nouveau, les attaques ont de type shellshock ont explosé depuis la révélation d'une faille importante de linux.

janus57
10/12/2014, 12h53
Bonjour,

perso j'ai presque pareil chez un revendeur OVH et un autre prestataire de VPS.

Je vois de plus en plus de *.onlinehome-server.info, qui pourtant d'après le jolie site est 1&1 derrière.

Et pourtant on est pas encore en période de vacances scolaire, alors qu'est-ce que sa va être dans 1-2 semaines.

Perso ils sont bann pour 7 ou 14jours selon les serveurs.

EDIT :
effectivement les bann ont triplé de mon côté en moins de 24H, y a une nouvelle failles qui a été publié ?

EDIT2 :
+96% d'attaque SSH en 24H, de plus une bonne moitié des serveur on plesk, du coup est-ce que une faille dans plesk n'aurait pas été dévoilé ?

EDIT3 :
Depuis le 2014-12-09T19:00:00+0100 je suis à +263% au niveau des attaques (123 ip bloqué à 447).

Et pour plesk une MAJ le 03/12/2014 avec dedans un jolie "Security improvements" aussi bien pour les linux que les windows et pour plesk 12, 11 et 9

Maintenant wait & see

Cordialement, janus57

Nowwhat
10/12/2014, 09h13
Vous avez vu la même chose ?
Depuis hier : http://www.test-domaine.fr/munin/ovh.../fail2ban.html
Normalement: une dizaine IP bloqué car ils n'ont pas compris qu'il faut un clé pour se loger sur mon serveur - un VPS à 200 centimes.
2014-12-09 : 160 tentatives (après 3 essais : /dev/null pour 24 heures)
Un genre de de mini DDOS-SSH ? http://pastebin.com/fXE7shw4
Le pauvre "ns353099.ovh.net" va avoir un rappel à l'ordre