Under attack

Salut,
C’est un festival contre mes sites ce soir, ça dure depuis des heures…

Aug 15 19:08:33 mail wordpress(karmaweb.biz)[11411]: Authentication failure for administrator from 178.92.159.163 Aug 15 19:09:00 mail wordpress(karmaweb.biz)[11411]: Authentication failure for administrator from 183.171.164.163 Aug 15 19:09:08 mail wordpress(karmaweb.biz)[11411]: Authentication failure for administrator from 49.49.207.194 Aug 15 19:09:08 mail wordpress(karmaweb.biz)[11411]: Authentication failure for karmaweb from 49.49.207.194 Aug 15 19:09:26 mail wordpress(karmaweb.biz)[11411]: Authentication failure for administrator from 183.171.164.163 Aug 15 19:09:52 mail wordpress(karmaweb.biz)[11411]: Authentication failure for administrator from 183.171.164.163 Aug 15 19:11:17 mail wordpress(karmaweb.biz)[11411]: Authentication failure for administrator from 82.144.159.15 Aug 15 19:11:34 mail wordpress(karmaweb.biz)[11411]: Authentication failure for administrator from 82.43.43.33 Aug 15 19:11:52 mail wordpress(karmaweb.biz)[11411]: Authentication failure for administrator from 82.144.159.15 Aug 15 19:12:35 mail wordpress(karmaweb.biz)[11411]: Authentication failure for karmaweb from 180.246.61.50 Aug 15 19:12:46 mail wordpress(karmaweb.biz)[11411]: Authentication failure for administrator from 223.205.235.61 Aug 15 19:12:47 mail wordpress(karmaweb.biz)[11411]: Authentication failure for karmaweb from 2.190.105.3 Aug 15 19:12:48 mail wordpress(karmaweb.biz)[11411]: Authentication failure for administrator from 223.205.235.61 Aug 15 19:15:48 mail wordpress(karmaweb.biz)[11411]: Authentication failure for administrator from 83.149.34.187 Aug 15 19:15:53 mail wordpress(karmaweb.biz)[11411]: Authentication failure for administrator from 14.98.19.9 Aug 15 19:16:03 mail wordpress(karmaweb.biz)[11411]: Authentication failure for karmaweb from 2.190.77.39 Aug 15 19:16:04 mail wordpress(karmaweb.biz)[11411]: Authentication failure for administrator from 14.98.19.9 Aug 15 19:16:08 mail wordpress(karmaweb.biz)[11411]: Authentication failure for karmaweb from 2.190.77.39 Aug 15 19:16:19 mail wordpress(karmaweb.biz)[11411]: Authentication failure for karmaweb from 91.200.54.4 Aug 15 19:16:38 mail wordpress(karmaweb.biz)[11411]: Authentication failure for administrator from 14.98.19.9 Aug 15 19:17:59 mail wordpress(karmaweb.biz)[11411]: Authentication failure for karmaweb from 91.200.54.4 Aug 15 19:18:00 mail wordpress(karmaweb.biz)[11411]: Authentication failure for karmaweb from 91.200.54.4 Aug 15 19:18:30 mail wordpress(karmaweb.biz)[11411]: Authentication failure for administrator from 36.76.53.236 Aug 15 19:18:31 mail wordpress(karmaweb.biz)[11411]: Authentication failure for administrator from 36.76.53.236 Aug 15 19:18:47 mail wordpress(karmaweb.biz)[11411]: Authentication failure for administrator from 36.76.53.236 Aug 15 19:20:10 mail wordpress(karmaweb.biz)[11411]: Authentication failure for karmaweb from 110.39.57.191 Aug 15 19:20:14 mail wordpress(karmaweb.biz)[11411]: Authentication failure for karmaweb from 110.39.57.191 Aug 15 19:20:16 mail wordpress(karmaweb.biz)[11411]: Authentication failure for karmaweb from 110.39.57.191 Aug 15 19:22:17 mail wordpress(karmaweb.biz)[11411]: Authentication failure for administrator from 41.141.101.222 Aug 15 19:22:23 mail wordpress(karmaweb.biz)[11411]: Authentication failure for administrator from 41.141.101.222 Aug 15 19:22:23 mail wordpress(karmaweb.biz)[11411]: Authentication failure for administrator from 41.141.101.222 Aug 15 19:22:39 mail wordpress(karmaweb.biz)[11411]: Authentication failure for administrator from 49.49.207.194 Aug 15 19:26:09 mail wordpress(karmaweb.biz)[11411]: Authentication failure for administrator from 79.101.168.112 Aug 15 19:29:25 mail wordpress(karmaweb.biz)[11411]: Authentication failure for administrator from 180.245.225.192 Aug 15 19:29:45 mail wordpress(karmaweb.biz)[11411]: Authentication failure for karmaweb from 171.5.236.2 Aug 15 19:29:46 mail wordpress(karmaweb.biz)[11411]: Authentication failure for karmaweb from 171.5.236.2 Aug 15 19:29:47 mail wordpress(karmaweb.biz)[11411]: Authentication failure for karmaweb from 171.5.236.2 Aug 15 19:30:43 mail wordpress(karmaweb.biz)[11411]: Authentication failure for karmaweb from 171.5.236.2 Aug 15 19:31:02 mail wordpress(karmaweb.biz)[11411]: Authentication failure for administrator from 81.18.133.246 Aug 15 19:31:03 mail wordpress(karmaweb.biz)[11411]: Authentication failure for administrator from 81.18.133.246 Aug 15 19:36:21 mail wordpress(karmaweb.biz)[11411]: Authentication failure for administrator from 180.246.61.50 Aug 15 19:38:23 mail wordpress(karmaweb.biz)[11411]: Authentication failure for administrator from 78.165.34.50 Aug 15 19:39:27 mail wordpress(karmaweb.biz)[11411]: Authentication failure for karmaweb from 46.237.85.76 Aug 15 19:40:11 mail wordpress(karmaweb.biz)[11411]: Authentication failure for administrator from 81.90.144.194 Aug 15 19:40:24 mail wordpress(karmaweb.biz)[11411]: Authentication failure for administrator from 78.165.34.50 Aug 15 19:40:31 mail wordpress(karmaweb.biz)[11411]: Authentication failure for admin from 178.93.61.26 Aug 15 19:40:39 mail wordpress(karmaweb.biz)[11411]: Authentication failure for administrator from 180.245.225.192 Aug 15 19:40:59 mail wordpress(karmaweb.biz)[11411]: Authentication failure for karmaweb from 194.149.63.102 Aug 15 19:41:00 mail wordpress(karmaweb.biz)[11411]: Authentication failure for administrator from 78.165.34.50

Un peu lourdingue à la fin.
Ce qui est fort c’est que ça vient de partout en même temps… (Ukraine, Azerbadjan, Maroc…)

D’après vous je laisse pisser ?

Tu n’as pas une petite règle fail2ban?

Avec le risque que la machine s’écroule à appliquer les règles, malheureusement mis à part un blacklistage plus haut c’est mort ou alors un service cloudflare en amont pour chaque site mais la c’est le porte monnaie qui va trinquer.

Il y a combien d’IP au totale, regarde les proprio des slash IP en question et plainte en rafale avec logs fourni.

Ce n’est pas une tentative toutes les 10 secondes qui va écrouler fail2ban.

Salut,
Si fail2ban a été très efficace.
Mais je n’avais qu’un ban de 600, alors comme c’était une attaque en règle ciblée et tournante, les serveurs reprenaient le relais au fur et à mesure qu’ils étaient bannis.
En augmentant la durée du ban à 24h j’ai vu les attaques diminuer jusqu’à s’arrêter cette nuit, vers minuit (22h chez vous).

Il m’a fallut un moment pour comprendre. Les IP viennent de partout, un vrai festival.

root@mail:/var/www/zehome.org/web# cat /var/log/auth.log | grep -c "Authentication failure" 16186 root@mail:/var/www/zehome.org/web# zcat /var/log/auth* | grep -c "Authentication failure" 432017

Le plug fail2ban pour Wordpress est très efficace, à conseiller!

J’ai compté 2492 ip uniques… ça va pas être facile de faire des règles.
Fail2ban a bien fontionné, ça me va.

@PascalHambourg: Non, je n’ai même pas vu le flux réseaux correspondant à toutes ces tentatives dans le monitoring d’OVH.

encore un botnet à la con qui cible les wordpress

J’ai le même genres d’attaque sur mon port SSH. J’ai des tentatives de brutforce sur les utilisateurs admin, root, oracle, postgres…

J’ai remarquée qu’il y a une quinzaine d’attaques chaque jours aux mêmes heures, mais chaque jours l’IP change.

[quote=“lol”]Salut,
Si fail2ban a été très efficace.
Mais je n’avais qu’un ban de 600, alors comme c’était une attaque en règle ciblée et tournante, les serveurs reprenaient le relais au fur et à mesure qu’ils étaient bannis.
En augmentant la durée du ban à 24h j’ai vu les attaques diminuer jusqu’à s’arrêter cette nuit, vers minuit (22h chez vous).

[/quote]
On avait eu une discussion sur ce temps d’action.
Chez moi, c’est encore plus que 24 H et ça refroidit les ardeurs.
De plus, mais je peux me le permettre car peu de visites et site non “pro”, je coupe de temps en temps apache2 et même le serveur entier quelques nuits.

[quote=“DragaoAzul45”]J’ai le même genres d’attaque sur mon port SSH. J’ai des tentatives de brutforce sur les utilisateurs admin, root, oracle, postgres…

J’ai remarquée qu’il y a une quinzaine d’attaques chaque jours aux mêmes heures, mais chaque jours l’IP change.[/quote]
Change de port SSH, c’est radical

[quote=“seb-ksl”][quote=“DragaoAzul45”]J’ai le même genres d’attaque sur mon port SSH. J’ai des tentatives de brutforce sur les utilisateurs admin, root, oracle, postgres…

J’ai remarquée qu’il y a une quinzaine d’attaques chaque jours aux mêmes heures, mais chaque jours l’IP change.[/quote]
Change de port SSH, c’est radical [/quote]
Ils ont vite fait de retrouver le nouveau, non ?

Non. Ce sont des robots qui visent l’efficacité pour compromettre un maximum de machines et constituer des botnets, pas des attaques ciblées contre une machine en particulier. Un scan des ports d’une machine pour essayer de trouver le port sur lequel écoute le serveur SSH, c’est trop long et aléatoire, autant passer à la machine suivante.

OK, bon à savoir.
Tu préconises de changer le port SSH de temps en temps, quels espaces ?

Réduire la connexion ssh à une authentification par clé et interdire les mots de passe est aussi une bonne solution.

il existe “artillery” il fais un peu comme Fail2ban …

OK, bon à savoir.
Tu préconises de changer le port SSH de temps en temps, quels espaces ?[/quote]
Quand j’avais SSH sur le port 22 : au moins 10 tentatives par jours.
Depuis que je l’ai changé pour un autre, en interdisant en plus à root de se connecter directement : plus rien, et ça fait des mois.

Ça, il y a longtemps qu c’est fait.

+1 pour seb-ksl, un changement de port fut radical!!

Mes logs ne me retournent que des attaques sur mon petit site web perso…

[quote=“seb-ksl”]Quand j’avais SSH sur le port 22 : au moins 10 tentatives par jours.
Depuis que je l’ai changé pour un autre, en interdisant en plus à root de se connecter directement : plus rien, et ça fait des mois.[/quote]

Idem mes SSH sont sur de ports au dessus de 10000, jamais une tentative.

J’avais fait la même chose pour mes FTP, mais mes clients sont [strike]des andouilles[/strike] incapables de s’en sortir, trop compliqué pour eux, ils finissaient bannis et me cassaient les pieds en permanence; J’ai remis le 21…

Ça, il y a longtemps qu c’est fait.[/quote]

Tu verras lorsque tu devras régler une situation compliqué via un téléphone… Tu seras content d’avoir le mot de passe…

Non.

Petit joueur. Chez moi c’est des centaines. Je n’en fais pas tout un plat. Elles n’ont aucune chance de réussir.

Il n’est pas réaliste de vouloir changer le port à cause des particularités du protocole FTP et du traitement spécifique que cela impose aux pare-feux et routeurs NAT et qui supposent que les connexions de commande FTP utilisent le port 21.