Origine attaque SSH

fran.b · Juin 6, 2026, 10:17am

J’ai regardé les essais d’intrusions SSH sur mon serveur perso OVH depuis un an, il y a eu 425443 tentatives, j’ai regardé les pays d’origine mais j’ai du mal à m’expliquer l’énorme quantité d’attaques d’origine de la Hollande (du moins présumées comme telle) et d’Andorre. La base de donnée m’ayant servi est celle d’IP66. Vous avez une explication?

192042 The Netherlands
57708 United States
23431 Singapore
21701 Andorra
12166 Indonesia
11912 China
9820 United Kingdom
9441 Hong Kong
9115 Vietnam
8355 Germany
7445 South Korea
6748 India
6166 Brazil
4060 Mexico
3759 Russia
2782 Argentina
2386 France
1785 Japan
1615 Canada
1495 Australia
1483 Thailand
1434 Bangladesh
1395 Sweden
1373 Colombia
1355 Italy
1314 Taiwan
1143 Spain
1051 Iran
1025 Malaysia
995 Turkey
904 Poland
899 Niger
898 Nigeria
725 Pakistan
693 Uzbekistan
615 Kenya
607 Morocco
602 Senegal
587 Kazakhstan
581 Philippines
572 Chile
552 Peru
524 Egypt
505 Tunisia
502 Bolivia
[…]

(Du coup pour limiter le nombre j’ai rajouter une règle à fail2ban qui bani un réseau IP/24 pour une semaine si ce réseau est d’origine 10 tentatives ratées en 1h), très efficace, à l’heure actuelle 120 bannis et une division par 4 du nombre d’attaques)

Zargos · Juin 6, 2026, 11:01am

Il faut faire attention à ce genre de règle, car c’est un moyen facile de te faire un DDOS direct à pas cher.

Pour une origine aux Pays-Bas effectivement, c’est étrange.
Mais après, je n’ouvre pas SSH sur internet en port 22.
Soit c’est un port autre, soit c’est carrément du Knock at the Door, donc pas de port ouvert si pas de connexion en cours.

fran.b · Juin 6, 2026, 11:44am

Comment ça? Si il s’agit de la possibilité pour quelqu’un de me bloquer parce que sur le même réseau. Pas de souci, je rebondis sur un autre serveur et au pire j’ai une autre porte d’entrée qui n’ouvre pas de port et qui n’est pas sur le serveur web
Sinon ce que j’avais utilisé pendant un temps était sslh qui masque du ssh derrière du web mais c’est devenu trop connu

C’est conforme à notre divergence, tu met une serrure inviolable, je préfère un système d’alarme sur un verrou. Cela dit une entrée uniquement par clef et pas sur root, ça n’est pas facile à contourner
Le statut à cet instant de fail2ban sur le ssh:

Status for the jail: sshd
|- Filter
|  |- Currently failed:	2
|  |- Total failed:	9599
|  `- Journal matches:	_SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
   |- Currently banned:	4
   |- Total banned:	418
   `- Banned IP list:	2.57.122.177 45.148.10.183 195.178.110.30 144.2.91.96
Status for the jail: sshd-subnet
|- Filter
|  |- Currently failed:	9
|  |- Total failed:	8584
|  `- Journal matches:	_SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
   |- Currently banned:	122
   |- Total banned:	139
   `- Banned IP list:	121.133.110.250 186.219.184.142 172.191.157.64 4.194.4.255 103.88.76.27 177.53.215.134 171.244.37.97 45.162.8.14 45.71.123.226 186.31.95.163 121.52.147.5 36.255.66.26 51.75.247.232 125.21.59.218 220.80.223.144 103.16.117.30 119.47.90.19 105.96.13.6 129.121.88.64 170.80.65.140 102.88.137.213 118.33.113.91 101.47.156.21 212.154.234.9 103.132.243.250 103.254.33.62 211.253.31.30 45.70.216.245 38.147.122.123 112.78.4.53 156.146.55.228 43.165.190.208 192.3.218.12 103.182.132.154 151.242.191.232 185.195.13.17 103.216.145.2 92.118.39.62 154.83.13.181 213.183.120.56 62.171.152.82 112.216.108.62 80.94.92.187 43.160.200.19 103.200.25.198 69.5.23.222 220.84.137.91 159.89.84.60 103.183.62.2 176.109.97.11 113.20.4.9 103.101.216.26 103.134.154.138 31.179.197.26 103.189.234.85 173.244.60.241 190.129.122.12 136.248.242.166 154.83.196.237 103.231.14.54 220.118.173.234 202.165.29.123 95.240.192.149 95.58.255.251 103.61.44.43 45.158.14.124 103.114.147.217 103.75.182.178 103.233.206.154 89.58.10.55 115.68.208.117 36.95.194.52 203.175.125.130 43.166.137.151 117.6.44.221 103.154.158.70 69.49.246.176 172.200.228.35 171.61.20.182 43.133.138.8 165.154.227.158 102.23.122.235 52.176.211.73 62.84.187.219 101.32.248.94 109.50.185.153 156.255.1.208 76.127.61.251 199.231.163.19 103.91.208.101 46.62.131.178 4.186.40.232 103.186.139.149 217.234.92.249 89.252.131.17 222.118.59.16 186.122.177.140 190.242.109.42 134.122.93.100 107.174.137.235 84.247.166.72 43.132.227.251 45.165.238.2 161.248.189.72 123.58.203.202 14.225.217.138 52.140.76.154 209.14.88.118 217.154.35.203 103.180.212.135 50.6.228.32 152.32.220.188 20.243.208.191 177.11.196.84 207.56.229.243 201.103.214.31 157.66.191.24 175.118.127.138 163.7.11.155 43.129.33.244 113.172.124.25 27.155.120.135

(décompte datant du 26 mai)

Clochette · Juin 6, 2026, 2:25pm

Ils sont bien moins regardant sur ce que font les gens avec les machines loués Idem pour Andorre.

+1 sur pas mal de plateforme dont je fais la maintenance utilisent la geoip pour bloquer purement et simplement pas mal de pays (c’est le client qui choisit de toute façon si oui ou non un pays est légitime pour leur buisness, idem pour les bot qui ne respectent pas les règles et autres joyeuseté qui font du crawl à tout va

Internet c’est devenu une jungle

fran.b · Juin 6, 2026, 2:38pm

Si je fais par ASN, j’obtiens

192818 UNMANAGED-DEDICATED-SERVERS UNMANAGED LTD
39680 DigitalOcean, LLC
21701 DMZHOST TECHOFF SRV LIMITED
19797 BYTEPLUS-AS-AP Byteplus Pte. Ltd.
6787 UCLOUD-HK-AS-AP UCLOUD INFORMATION TECHNOLOGY HK LIMITED
6381 IDNIC-IDCLOUDHOST-AS-ID PT Cloud Hosting Indonesia
5622 Microsoft Corporation
4729 KIXS-AS-KR Korea Telecom
4307 VIETEL-AS-AP Viettel Group
3782 OVH OVH SAS
3144 VOLCANO-ENGINE Beijing Volcano Engine Technology Co., Ltd.
3036 FPS12 Feo Prest SRL
2841 me
2547 CHINANET-BACKBONE No.31,Jin-rong Street
2546 ME
2522 TENCENT-NET-AP-CN Tencent Building, Kejizhongyi Avenue
2049 Oracle Corporation
1913 TOTAL PLAY TELECOMUNICACIONES SA DE CV
1859 Unified Layer
1727 Techtel LMDS Comunicaciones Interactivas S.A.
1620 UNINET
1526 HostPapa
1465 FranTech Solutions
1447 IONOS-AS IONOS SE
1412 CLOUDHOST-AS-AP Cloud Host Pte Ltd
1337 YISUCLOUDLTD-HK YISU CLOUD LTD
1308 Google LLC
1288 FDN3 FOP Dmytro Nedilskyi
1165 SKB-AS SK Broadband Co Ltd
1129 Cogent Communications, LLC
1054 SS-Net SS-Net
992 CONTABO Contabo GmbH
981 ALIBABA-CN-NET Alibaba US Technology Co., Ltd.
967 TERNET
952 ALIBABA-CN-NET Hangzhou Alibaba Advertising Co.,Ltd.
894 BAIDU Beijing Baidu Netcom Science and Technology Co., Ltd.
857 HINET Data Communication Business Group
844 GOOGLE-AS-AP Google Asia Pacific Pte. Ltd.
777 TELKOMNET-AS-AP PT Telekomunikasi Indonesia
725 VNPT-AS-VN VNPT Corp
710 BBIL-AP BHARTI Airtel Ltd.
657 SCLOUDPTELTD-AS Scloud Pte Ltd
644 CHINA169-BACKBONE CHINA UNICOM China169 Backbone
627 LGDACOM LG DACOM Corporation
617 GCS-AS GLOBAL CONNECTIVITY SOLUTIONS LLP
602 SONATEL SONATEL-AS Autonomous System
602 HETZNER-AS Hetzner Online GmbH
596 BSNL-NIB National Internet Backbone
595 VCG-AS MTN NIGERIA Communication limited
583 CLOUDIE-AS-AP Cloudie Limited
578 ROSTELECOM-AS PJSC Rostelecom
566 Zenlayer Inc
549 Claro NXT Telecomunicacoes Ltda
545 BAHNHOF Bahnhof AB
534 Telecom Argentina S.A.
520 MUNDIVOX DO BRASIL LTDA
512 TELEFONICA BRASIL S.A
510 Hanoi
[...]

effectivement le début est constitué de serveurs localisés en Hollande (bcp de «data centers» dont des peu regardants effectivement) ou inscrit en Andorre qui ne sert que de boite aux lettres.
Pour le coup je suis perplexe sur le «me» !?!

Zargos · Juin 6, 2026, 7:37pm

il suffit de forger des paquets. Peut importe que la source soit la vraie. Fail2ban ne sait pas faire la différence.

On ne parle pas de pirater, mais de rendre le service inutilisable.

C’est mieux que la regle. Car le geoip ne bloque que des zones géographique. Perso je m’en cogne que les israélien cherchent à se connecter. Donc le je les ban direct-.
Alors qu’un fail2ban qui ban une plage ca veut n’importe quelle plage. Et au final, il suffit juste d’utiliser des plages de la même zone que le serveur, pour t’empêcher de l’utiliser. Ce n’est pas comme si la machine était chez toi, elle est hébergée.

D’où mon commentaire initial,. C’est le prix à payer pour avoir laisser les marchands du temple s’en emparer.

fran.b · Juin 7, 2026, 7:55pm

Si le paquet est forgé, la connexion ne pourra pas aller jusqu’à l’Invalid user du coup fail2ban ne le gère pas. Pour que fail2ban prenne en compte la tentative et la considère comme mauvaise, il faut qu’il y ait eu un échange ce qui ne peut être le cas avec un paquet forgé. Du coup je ne crois pas que ça puisse marcher. Je vais voir.
[edit]: J’ai vu, ça ne peut pas fonctionner, il faut que la connexion est lieu, avec un paquet forgé, le serveur renverra un syn-ack à la source fictive et ça n’ira pas au delà. Donc fail2ban ne verra rien.