Article <sse5ln$ead$2@shakotay.alphanet.ch>

Deutsch English FranÃ§ais Italiano
<sse5ln$ead$2@shakotay.alphanet.ch>

View for Bookmarking (what is this?)
Look up another Usenet article
Path: ...!weretis.net!feeder8.news.weretis.net!news.imp.ch!news.alphanet.ch!alphanet.ch!.POSTED.localhost!not-for-mail
From: Marc SCHAEFER <schaefer@alphanet.ch>
Newsgroups: fr.comp.securite
Subject: Re: Tentatives =?ISO-8859-1?Q?d=27acc=E8s?= SSH
Supersedes: <sse5jg$bu6$2@shakotay.alphanet.ch>
Date: Fri, 21 Jan 2022 11:33:11 -0000 (UTC)
Organization: Posted through ALPHANET
Message-ID: <sse5ln$ead$2@shakotay.alphanet.ch>
References: <i3hqssF9nl0U1@mid.individual.net> <rr0hcu$ro3$1@shakotay.alphanet.ch> <Xze41w2uR3Jp7B1-bbbxROTrS7A@jntp>
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: 8bit
Injection-Date: Fri, 21 Jan 2022 11:33:11 -0000 (UTC)
Injection-Info: shakotay.alphanet.ch; posting-host="localhost:127.0.0.1";
	logging-data="14669"; mail-complaints-to="usenet@alphanet.ch"
User-Agent: tin/2.4.3-20181224 ("Glen Mhor") (UNIX) (Linux/4.19.0-18-amd64 (x86_64))
Cancel-Key: sha256:FoiTAwbJnr1ejX2cjDUEfUFBepuNNUw8NPgMBH37Gnw=
Cancel-Lock: sha256:MtmTLENIk9LZGt8YGOFpFmk/CWO7YCeRS/lFRXBSQpc=
Bytes: 2728
Lines: 33

pehache <pehache.7@gmail.com> wrote:
> Conclusion : le pool d'IP attaquantes finit par s'épuiser si on les 
> bloque petit à petit. En un an j'ai dû en bloquer de l'ordre de 30.000

C'est possible.

Toutefois, sur un système que je gère, même avec environ 1200 adresses
IP bloquées en permanence, il y en a des nouvelles en continu.
D'ailleurs, depuis quelques temps, les attaques sont constantes en
nombre, mais le nombre de bloqués est en baisse!

Peut-être car certains attaquants sont plus intelligents: ils attaquent
10'000 cibles différentes avec le même pool d'IP, mais de manière lente.
Sauf si vous avez des sondes sur une bonne partie des 10'000 machines,
vous ne voyez qu'un essai par jour, voire moins.  Au bon d'un an, ils
ont certainement trouvé quelques comptes sur quelques machines quand
même!

Sur un /24 que j'ai, qui n'illustre pas tout à fait le problème car
l'attaquant peut très bien voir que c'est le même /24 et donc répartir
les attaques en fonction, on voit par exemple trois types d'attaques:

   - les bourrins, qui scannent tout, très rapidement
     (probablement pour alimenter des services comme shodan.io ou
      autres moins publics)

   - ceux qui scannent plus intelligemment la plage, mais je les choppe
     car ils cumulent plus que 3 par heure sur toute la plage

   - ceux qui viennent moins souvent que 3 par heures, que je ne bloque
     donc pas

Je reporte les récidives chez abuseipdb.com, parfois je suis un des
premiers, parfois ce sont effectivement des adresses bien pourries déjà!