Asustor Port SSH non-ouvert mais utilisé...
- Auteur du sujet Loic.L
- Date de début
Effectivement, je ne suis pas tout seul...
Je pense que la livebox4 est truffée de bugs :-( L'UPnP marche irrégulierement, le serveur DHCP boite beaucoup... perd les noms des périphériques connectés... perd la config de certains IP statiques... transforme des baux statiques en baux dynamiques...
Merci.
Loic
Je pense que la livebox4 est truffée de bugs :-( L'UPnP marche irrégulierement, le serveur DHCP boite beaucoup... perd les noms des périphériques connectés... perd la config de certains IP statiques... transforme des baux statiques en baux dynamiques...
Merci.
Loic
Bonjour,
J'ai bien rencontré les mêmes problèmes...
Concernant les tentatives d'accès, si je résume, il n'y a rien à faire (peut-être écrire à orange?).
Bonne journée
Envoyé de mon Mi A2 Lite en utilisant Tapatalk
J'ai bien rencontré les mêmes problèmes...
Concernant les tentatives d'accès, si je résume, il n'y a rien à faire (peut-être écrire à orange?).
Bonne journée
Envoyé de mon Mi A2 Lite en utilisant Tapatalk
Hi,
D'une manière ou d'une autre le port 22 est utilisé par un scanner de port pressentant une demande de type ssh (pas nécessairement une vrai)
donc que ce port soit ouvert ou non une demande de connexion arrive au NAS
L'origine :
- vous êtes en Beta 3.3, un problème existe (existait ?) (un ticket de support devrait être ouvert) avec le port 22 qui reste redirigé même si celui-ci est changé dans l'interface du NAS, il faut supprimer manuellement (upnpc-shared ou dans la Box) la redirection non voulue . MAIS comme c'est une Beta c'est un risque qui va avec.
- un "port forward" volontaire (voir dans la box soit NAT soit DMZ)
- un "port forward or mapping" upnp I.G.D. sauvage
Dans ce cas le mieux est : ouvrez la connexion ssh sur le NAS avec un port > 1024 (ex. 22122) ; connectez vous avec un client (putty par ex.) sur ce port en ssh avec root / your_password et lancez la commande : upnpc-shared -l ; vous obtiendrez la liste complète des ports redirigés ou mappés de votre Box et vers quel adresse IP .
SI VOUS POSTEZ ici le résultat ENLEVER la ligne avec votre adresse IP externe (ligne commençant par "ExternalIPAddress =" )
déactivez SSH si vous ne l'utilisez plus
vous pourrez voir "réellement" l’ensemble des ports ouvert et vers qui.
- une machine de votre LAN (local) a un port ouvert ou un rootkit qui permet a un assaillant externe d'envoyer des tentatives vers une ou des adresse IP de votre réseau
Passez un antivirus & anti malware à jour sur vos machines, utilisez le résultat précédent pour voir les ports redirigés.
Après il faudrait regarder le trafic pour voir d'ou viennent ses demandes
MAIS dans tous les cas, ces demandes ne viennent pas du ciel
il faut soit un port ouvert (static ou dynamic) ou une machine relay ou une machine qui usurpe une IP .
cela pouvant être votre propre NAS qui sert de relay
Une trace réseau (bien que complexe) peut le plus rapidement vous informer, si le problème n'est pas basique (défaut de configuration) mais via une machine infectée.
Pensez aussi à demander sur Internet "whois" de l'adresse IP et voir si elle est connue comme utilisant prioritairement une méthode de scan.
https://www.whois.com/whois/
SI VOUS ÊTES SUR que cela via de l’extérieur ... redirigez (dans la Box) le port 22 vers une adresse IP "bidon" cela est possible avec la live Play (mais je n'ai pas réessayé de puis longtemps) je ne sais pas avec les autres livebox.
Le support Asustor, peut certainement "prendre la main" (sous votre contrôle) et vous apporter l’expertise qui vous manquerait.
Fred.
D'une manière ou d'une autre le port 22 est utilisé par un scanner de port pressentant une demande de type ssh (pas nécessairement une vrai)
donc que ce port soit ouvert ou non une demande de connexion arrive au NAS
L'origine :
- vous êtes en Beta 3.3, un problème existe (existait ?) (un ticket de support devrait être ouvert) avec le port 22 qui reste redirigé même si celui-ci est changé dans l'interface du NAS, il faut supprimer manuellement (upnpc-shared ou dans la Box) la redirection non voulue . MAIS comme c'est une Beta c'est un risque qui va avec.
- un "port forward" volontaire (voir dans la box soit NAT soit DMZ)
- un "port forward or mapping" upnp I.G.D. sauvage
Dans ce cas le mieux est : ouvrez la connexion ssh sur le NAS avec un port > 1024 (ex. 22122) ; connectez vous avec un client (putty par ex.) sur ce port en ssh avec root / your_password et lancez la commande : upnpc-shared -l ; vous obtiendrez la liste complète des ports redirigés ou mappés de votre Box et vers quel adresse IP .
SI VOUS POSTEZ ici le résultat ENLEVER la ligne avec votre adresse IP externe (ligne commençant par "ExternalIPAddress =" )
déactivez SSH si vous ne l'utilisez plus
vous pourrez voir "réellement" l’ensemble des ports ouvert et vers qui.
- une machine de votre LAN (local) a un port ouvert ou un rootkit qui permet a un assaillant externe d'envoyer des tentatives vers une ou des adresse IP de votre réseau
Passez un antivirus & anti malware à jour sur vos machines, utilisez le résultat précédent pour voir les ports redirigés.
Après il faudrait regarder le trafic pour voir d'ou viennent ses demandes
MAIS dans tous les cas, ces demandes ne viennent pas du ciel
il faut soit un port ouvert (static ou dynamic) ou une machine relay ou une machine qui usurpe une IP .cela pouvant être votre propre NAS qui sert de relay
Une trace réseau (bien que complexe) peut le plus rapidement vous informer, si le problème n'est pas basique (défaut de configuration) mais via une machine infectée.
Pensez aussi à demander sur Internet "whois" de l'adresse IP et voir si elle est connue comme utilisant prioritairement une méthode de scan.
https://www.whois.com/whois/
SI VOUS ÊTES SUR que cela via de l’extérieur ... redirigez (dans la Box) le port 22 vers une adresse IP "bidon" cela est possible avec la live Play (mais je n'ai pas réessayé de puis longtemps) je ne sais pas avec les autres livebox.
Le support Asustor, peut certainement "prendre la main" (sous votre contrôle) et vous apporter l’expertise qui vous manquerait.
Fred.
Bonsoir,
Effectivement, merci pour cette réponse concrete.
Pour ma part, upnpc-shared -l n'a pas permis de mettre en lumière une redirection du port 22.
Quant à la mise en place d'un piège, à priori ce n'est pas possible avec la livebox 4 car il faut qu'il y ait un équipement associé à l'IP de destination.
Work in progress.
Bonne soirée,
jB
Effectivement, merci pour cette réponse concrete.
Pour ma part, upnpc-shared -l n'a pas permis de mettre en lumière une redirection du port 22.
Quant à la mise en place d'un piège, à priori ce n'est pas possible avec la livebox 4 car il faut qu'il y ait un équipement associé à l'IP de destination.
Work in progress.
Bonne soirée,
jB
Bonsoir,
Je constate effectivement des attaques de ce type depuis pas mal de temps.
Sur la livebox, visiblement les port sont "Stealth" --> furtif quand on fait un test de port. Ça veut dire qu'il n'y a pas de réponse disant si ça existe ou pas. Les ports effectivement ouverts répondent à une sollicitation.
si le service SSH n'est pas activé pas de possibilité de login. J'ai fait le test, connexion refusée.
Par acquis de conscience j'ai désactivé quelques services qui était activés, et invalidé quelques régles dans la box.
+ régle liste noir auto "drastique"
+ régle liste noir pour bloquer tous les pays sauf France.
A mon avis no panic
Je constate effectivement des attaques de ce type depuis pas mal de temps.
Sur la livebox, visiblement les port sont "Stealth" --> furtif quand on fait un test de port. Ça veut dire qu'il n'y a pas de réponse disant si ça existe ou pas. Les ports effectivement ouverts répondent à une sollicitation.
si le service SSH n'est pas activé pas de possibilité de login. J'ai fait le test, connexion refusée.
Par acquis de conscience j'ai désactivé quelques services qui était activés, et invalidé quelques régles dans la box.
+ régle liste noir auto "drastique"
+ régle liste noir pour bloquer tous les pays sauf France.
A mon avis no panic
Loic.L a dit:
Bonjour,
J'ai regardé la conf de la box parce que je me fais également bombarder d'attaque SSH.
D'ailleurs bizarre que les IP des NAS soient attaqués. C'est à se demander si le service myasustor.com ne s'est pas fait piraté les tables d'adressage pour qu'on se fasse taper direct comme ca...Comme si on voulait faire du DOS sur les Nas asustor....
Pour revenir à la livebox, l'upnp n'est pas en cause. Ca se passe au niveau de l'onglet firewall. Si on choisit le mode "personnalisé" on a accès à la configuration des ports. La je vois que le port ssh 22 est accepté en TCP d'ou que ca vienne. J'ai supprimé la règle et je l'ai remplacé par la même avec "refusé". pas de gros risque car pas grand chose doit passer par ssh. J'ai également décoché la réponse au ping. Je vais voir si je continue à recevoir des attaques ssh ou pas. Je vous tiens au courant.
Bonsoir lanthalas,
Pour info, chez moi, le blocage du port 22 n'a rien changé...
Bonne soirée,
jB
Pour info, chez moi, le blocage du port 22 n'a rien changé...
Bonne soirée,
jB