Path: ...!weretis.net!feeder8.news.weretis.net!news.imp.ch!news.alphanet.ch!alphanet.ch!.POSTED.localhost!not-for-mail From: Marc SCHAEFER Newsgroups: fr.comp.securite Subject: Re: Tentatives =?ISO-8859-1?Q?d=27acc=E8s?= SSH Supersedes: Date: Fri, 21 Jan 2022 11:33:11 -0000 (UTC) Organization: Posted through ALPHANET Message-ID: References: Mime-Version: 1.0 Content-Type: text/plain; charset=ISO-8859-1 Content-Transfer-Encoding: 8bit Injection-Date: Fri, 21 Jan 2022 11:33:11 -0000 (UTC) Injection-Info: shakotay.alphanet.ch; posting-host="localhost:127.0.0.1"; logging-data="14669"; mail-complaints-to="usenet@alphanet.ch" User-Agent: tin/2.4.3-20181224 ("Glen Mhor") (UNIX) (Linux/4.19.0-18-amd64 (x86_64)) Cancel-Key: sha256:FoiTAwbJnr1ejX2cjDUEfUFBepuNNUw8NPgMBH37Gnw= Cancel-Lock: sha256:MtmTLENIk9LZGt8YGOFpFmk/CWO7YCeRS/lFRXBSQpc= Bytes: 2728 Lines: 33 pehache wrote: > Conclusion : le pool d'IP attaquantes finit par s'épuiser si on les > bloque petit à petit. En un an j'ai dû en bloquer de l'ordre de 30.000 C'est possible. Toutefois, sur un système que je gère, même avec environ 1200 adresses IP bloquées en permanence, il y en a des nouvelles en continu. D'ailleurs, depuis quelques temps, les attaques sont constantes en nombre, mais le nombre de bloqués est en baisse! Peut-être car certains attaquants sont plus intelligents: ils attaquent 10'000 cibles différentes avec le même pool d'IP, mais de manière lente. Sauf si vous avez des sondes sur une bonne partie des 10'000 machines, vous ne voyez qu'un essai par jour, voire moins. Au bon d'un an, ils ont certainement trouvé quelques comptes sur quelques machines quand même! Sur un /24 que j'ai, qui n'illustre pas tout à fait le problème car l'attaquant peut très bien voir que c'est le même /24 et donc répartir les attaques en fonction, on voit par exemple trois types d'attaques: - les bourrins, qui scannent tout, très rapidement (probablement pour alimenter des services comme shodan.io ou autres moins publics) - ceux qui scannent plus intelligemment la plage, mais je les choppe car ils cumulent plus que 3 par heure sur toute la plage - ceux qui viennent moins souvent que 3 par heures, que je ne bloque donc pas Je reporte les récidives chez abuseipdb.com, parfois je suis un des premiers, parfois ce sont effectivement des adresses bien pourries déjà!