Debian Debian-France Debian-Facile Debian-fr.org Debian-fr.xyz Debian ? Communautés

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 03-03-2021 19:41:49

thierryR
Membre
Lieu : Chalons en Champagne
Distrib. : debian
Noyau : Linux 5.4.83+
Inscription : 24-04-2017

Attaque de robot chinois

Bonjour. Je me bats avec un robot chinois.
Aujourd'hui il a trouvé l'IP avec laquelle je me connecte via le net.

 sudo journalctl -t sshd  -f
-- Logs begin at Wed 2021-03-03 13:40:31 CET. --
mars 03 18:28:02 raspberry-thierry sshd[2331]: Connection closed by 193.57.121.163 port 54056 [preauth]
mars 03 18:28:32 raspberry-thierry sshd[2333]: Connection closed by 193.57.121.163 port 54056 [preauth]
mars 03 18:29:03 raspberry-thierry sshd[2336]: Connection closed by 193.57.121.163 port 54056 [preauth]
mars 03 18:29:34 raspberry-thierry sshd[2338]: Connection closed by 193.57.121.163 port 54056 [preauth]
mars 03 18:30:04 raspberry-thierry sshd[2340]: Connection closed by 193.57.121.163 port 54052 [preauth]
mars 03 18:30:35 raspberry-thierry sshd[2342]: Connection closed by 193.57.121.163 port 54056 [preauth]
mars 03 18:31:05 raspberry-thierry sshd[2344]: Connection closed by 193.57.121.163 port 54056 [preauth]
mars 03 18:31:36 raspberry-thierry sshd[2346]: Connection closed by 193.57.121.163 port 54056 [preauth]
mars 03 18:32:06 raspberry-thierry sshd[2348]: Connection closed by 193.57.121.163 port 54056 [preauth]
mars 03 18:32:37 raspberry-thierry sshd[2350]: Connection closed by 193.57.121.163 port 54052 [preauth]
mars 03 18:33:07 raspberry-thierry sshd[2354]: Connection closed by 193.57.121.163 port 54052 [preauth]
mars 03 18:29:34 raspberry-thierry sshd[2338]: Connection closed by 193.57.121.163 port 54056 [preauth]
 


J'ai heureusement mis des clés partout, et supprimé les mots de passe.
Alors je me pose une question:
S'il se sert de mon IP de connexion, est ce que ça voudrait dire que mon FAI est contaminé ?


Chercheur en amélioration en informatique, musique, cuisine, etc...

Hors ligne

#2 03-03-2021 19:45:23

vv222
Administrateur
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : Linux ≥ 5.10 (amd64)
(G)UI : Openbox
Inscription : 18-11-2013
Site Web

Re : Attaque de robot chinois

Un « robot chinois » ? Ça te vient d’où cette information ?
L’extrait de journaux que tu partages n’évoque ni un robot, ni la Chine wink

Jouer sous Debian ? Facile !

Hors ligne

#3 03-03-2021 20:07:47

tux12
Membre
Lieu : ./
Distrib. : stable
Noyau : celui de la stable
(G)UI : KDE
Inscription : 27-02-2008

Re : Attaque de robot chinois

Bonjour,

Ça évoque quand même un robot si on considère la régularité des requêtes.

Il ne faut pas s'inquiéter pour si peu, il n'a même pas tenté d'authentification lors de ses connexions, sinon on aurait aussi les refus de connexion liées au password défaillant dans le log. Là il ne fait que se connecter puis se déconnecter face à la demande d'auth.

Si vraiment ça doit t'inquiéter ou te tracasser, pose une règle DROP sur l'IP ou crée une règle fail2ban (je ne pense pas qu'une règle pour ce cas fasse partie des règles fournies par défaut). Mais à mon avis ça n'est pas utile tant que ça ne floode pas la machine.

Dernière modification par tux12 (03-03-2021 20:08:36)

Hors ligne

#4 03-03-2021 20:31:36

thierryR
Membre
Lieu : Chalons en Champagne
Distrib. : debian
Noyau : Linux 5.4.83+
Inscription : 24-04-2017

Re : Attaque de robot chinois

Je vous remercie de la plaisanterie, mais ça fait 3 semaines que je me bats avec ça. Il attaque en même temps un autre PC qui est sous fedora. Par là j'ai beaucoup plus de renseignements.
Sur le raspi, il s'est bloqué sur la bonne IP, et il cherche maintenant une faille pour rentrer. Il doit surement exécuter des scripts.  Fedora utilise firewalld qui n'est pas utilisé ici. J'ai déjà pu bannir presque 1000 IP avec leur système et leur aide. Eh oui, je ne suis pas informaticien.
Alors ma question: Pourquoi a-t-on si peu d'information avec iptables?  Et comment mettre en place une jail efficace? Quand je vois des centaines de requètes sur une même IP et pas un bannissement! Il y a de quoi se poser des questions. Vous ne trouvez pas ?

Chercheur en amélioration en informatique, musique, cuisine, etc...

Hors ligne

#5 03-03-2021 20:45:20

raleur
Membre
Inscription : 03-10-2014

Re : Attaque de robot chinois

Ça dépend. Des questions sur quoi ?

Dernière modification par raleur (03-03-2021 20:47:18)


Il vaut mieux montrer que raconter.

Hors ligne

#6 03-03-2021 20:49:06

thierryR
Membre
Lieu : Chalons en Champagne
Distrib. : debian
Noyau : Linux 5.4.83+
Inscription : 24-04-2017

Re : Attaque de robot chinois

J'ai un souci particulier dans ce cas là. Si je banni cette IP je me banni moi-même. Ce serait un peu c.. Donc que faire de plus ?

Chercheur en amélioration en informatique, musique, cuisine, etc...

Hors ligne

#7 03-03-2021 23:00:14

vv222
Administrateur
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : Linux ≥ 5.10 (amd64)
(G)UI : Openbox
Inscription : 18-11-2013
Site Web

Re : Attaque de robot chinois

Je ne comprends plus : c’est ton IP, ou l’IP d’un robot chinois ?
Ça ne peut pas être les deux à la fois, sauf si le robot est chez toi.

Jouer sous Debian ? Facile !

Hors ligne

#8 04-03-2021 10:14:26

saitama-san
Membre
Inscription : 28-07-2019

Re : Attaque de robot chinois

thierryR est chinois ?

Hors ligne

#9 04-03-2021 22:02:10

DarKou
Membre
Lieu : Bordeaux
Distrib. : Gentoo / Debian Buster
Noyau : stable de chez kernel.org
(G)UI : Sway
Inscription : 06-04-2020
Site Web

Re : Attaque de robot chinois

Bonsoir thierryR pourrais-tu nous en dire un peu plus ?

l'ip 193.57.121.163 est celle de ton "attaquant" ? (après une rapide recherche cette IP semble appartenir à un groupe d'IP FR du milieu bancaire)

Tes 2 machines sont derrière la même IP publique et les 2 sont accessibles via SSH depuis l'extérieur ?

Je ne comprends pas très bien le sens de cette phrase :

Sur le raspi, il s'est bloqué sur la bonne IP



Tu parles bien d'ip (192.168.0.23 par exemple) ou alors d'un port ? (22, 54056 etc)

Au delà de la plaisanterie des camarades je pense qu'il manque des infos à ton premier post afin que l'on puisse t'aider correctement selon moi.

Dernière modification par DarKou (04-03-2021 22:02:44)

Hors ligne

#10 05-03-2021 07:48:12

tux12
Membre
Lieu : ./
Distrib. : stable
Noyau : celui de la stable
(G)UI : KDE
Inscription : 27-02-2008

Re : Attaque de robot chinois

Bonsoir,

Je vois que je ne suis pas seul a avoir du mal à comprendre de quelle IP(s) on parle. hmm Je plussoie DarKou, il va falloir nous donner plus d'infos précises pour pouvoir envisager de te répondre.

Sinon, dans le cas ou tu n'as pas l'utilité de pouvoir joindre le raspi en ssh depuis internet, tu peux limiter les accès ssh aux machines du réseau local. Ça peut être une solution (pour ce port/service).

Si ça peut aider,

Hors ligne

#11 05-03-2021 16:02:49

rodrigue7973
Membre
Lieu : beloeil
Distrib. : openSUSE Tumbleweed
(G)UI : gnome 40.0
Inscription : 19-11-2017
Site Web

Re : Attaque de robot chinois

as tu installé un failbans:D

Etant dyslexique, j'ai des problèmes quant à la rédaction de messages en français courant. Je vous prie dès lors d'accepter toutes mes excuses si mes interventions peuvent vous paraître étranges et je vous remercie d'avance pour votre compréhension.

Hors ligne

#12 05-03-2021 16:32:24

robert2a
Membre
Distrib. : debian 11
(G)UI : Mate
Inscription : 15-11-2014

Re : Attaque de robot chinois

Bonjour
ceci pourra t'aider =>  https://ip-whois-lookup.com/193.57.2

si tu est sur Orange et que tu bloque son IP forcément ça ne fonctionne plus
donc non cette IP est pas chinoise

tu peu pas modifier le port de sshd voir si cela se calme ?

Hors ligne

#13 05-03-2021 19:13:17

tux12
Membre
Lieu : ./
Distrib. : stable
Noyau : celui de la stable
(G)UI : KDE
Inscription : 27-02-2008

Re : Attaque de robot chinois

Bonjour,

robert2a l'idée du whois est valable mais l'IP fournie n'est pas la bonne.

De plus pas besoin de faire appel à un site web pour avoir l'info, il suffit de lancer un whois dans une console


whois 193.57.121.163

Hors ligne

Pied de page des forums