Honeypot SSH/FTP

J’ai porté le honeypot web pour monitorer les services SSH/FTP qui font souvent l’objet d’attaque par Bruteforce (le but étant de tenter des couples user/mot de passe pour trouver un valide).
L’adresse : http://www.malekal.com/honeypot/auth.phpJ’ai aussi fait une page d’index : http://www.malekal.com/honeypot/index.php

Les tentatives sont loggués dans /var/log/auth.php
Un exemple de tentative de connexion FTP :

Attaque_FTP

Connexion SSH :

Attaque_SSH

Les attaques par jour provenants de deux serveurs différents :Attaque_FTP_SSH

Côté pays, le gagnant est la Chine avec 62% des attaques suivi par les US, c’est l’inverse du WEB où la Chine est second en général (ce n’est pas vrai ce mois-ci) :

Attaque_FTP_SSH_pays

Par netname, le grand gagnant est UNICOM-GD (Chine) suivi de CHINANET-FJ qui est un gros pourvoyeur d’attaques WEB :

Comment se protéger de ces attaques ?

Simplement en gérant ces utilisateurs comme il faut et en utilisant des mots de passe forts.
Vous pouvez ensuite ajouter des protections comme Failban qui va créer des règles iptables lors de la détection de ces attaques Bruteforce, à voir si vous voulez allouer de la CPU.
Autre solution, utilisez des ports non standards ou du port knocking (cf http://forum.malekal.com/sauvegarde-rsync-sur-serveur-kimsufi-t47838.html)

Le plus important est de bien gérer les accès.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 56 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *