Honeypot SSH/FTP

J’ai porté le honeypot web pour monitorer les services SSH/FTP qui font souvent l’objet d’attaque par Bruteforce (le but étant de tenter des couples user/mot de passe pour trouver un valide).
L’adresse : https://www.malekal.com/honeypot/auth.phpJ’ai aussi fait une page d’index : https://www.malekal.com/honeypot/index.php

Les tentatives sont loggués dans /var/log/auth.php
Un exemple de tentative de connexion FTP :

Attaque_FTP

Connexion SSH :

Attaque_SSH

Les attaques par jour provenants de deux serveurs différents :Attaque_FTP_SSH

Côté pays, le gagnant est la Chine avec 62% des attaques suivi par les US, c’est l’inverse du WEB où la Chine est second en général (ce n’est pas vrai ce mois-ci) :

Attaque_FTP_SSH_pays

Par netname, le grand gagnant est UNICOM-GD (Chine) suivi de CHINANET-FJ qui est un gros pourvoyeur d’attaques WEB :

Comment se protéger de ces attaques ?

Simplement en gérant ces utilisateurs comme il faut et en utilisant des mots de passe forts.
Vous pouvez ensuite ajouter des protections comme Failban qui va créer des règles iptables lors de la détection de ces attaques Bruteforce, à voir si vous voulez allouer de la CPU.
Autre solution, utilisez des ports non standards ou du port knocking (cf https://forum.malekal.com/sauvegarde-rsync-sur-serveur-kimsufi-t47838.html)

Le plus important est de bien gérer les accès.

Print Friendly, PDF & Email
(Visité 153 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet