Comme annoncé, ce forum est passé en lecture seule au 1er janvier 2020. Désormais nous vous invitons à vous rendre sur notre nouvelle page communauté :
Image

A très bientôt !

Mon JEEDOM piraté ??

Pour parler de tout, et surtout de rien !
Répondre
Roland2794
Timide
Messages : 119
Inscription : 19 août 2014, 13:33

Mon JEEDOM piraté ??

Message par Roland2794 » 25 janv. 2019, 15:37

Bonjour
et excellente année à vous tous.

Depuis plusieurs jours je trouve à repétition dans les log http.error des centaines de lignes du type :

[Wed Jan 23 23:21:53.122643 2019] [:error] [pid 3175] [client 202.96.155.48:5257] script '/var/www/html/knal.php' not found or unable to stat
[Wed Jan 23 23:21:53.327073 2019] [:error] [pid 3175] [client 202.96.155.48:5257] script '/var/www/html/cmd.php' not found or unable to stat
[Wed Jan 23 23:21:53.531636 2019] [:error] [pid 3175] [client 202.96.155.48:5257] script '/var/www/html/shell.php' not found or unable to stat
[Thu Jan 24 09:14:15.994159 2019] [:error] [pid 706] [client 110.164.64.56:14472] script '/var/www/html/1q.php' not found or unable to stat
[Thu Jan 24 09:14:16.170004 2019] [:error] [pid 706] [client 110.164.64.56:14472] script '/var/www/html/1111.php' not found or unable to stat

le @ip sont localisées en chine et changent régulièrement.

j'ai des mots de passes complexes et changés régulièrement depuis ces attaques mais ca continu.,
je passe par la DNS jeedom, j'ai meme activé la double autentification, par contre j'ai toujours un accès http depuis l'exterieur via un dynDns chez no_ip.

Est ce que ces attaques proviennent d'un système qui arrive à se connecter malgré le changement de passwd en moins et ceci de 8 heures.
Est ce que mon jeedom est infesté de l’intérieur et j'aurai bon changer de mot de passe ca ne changera rien.
quel et le but de ces attaques ? trouver un .php qui match mais pour faire quoi ?

que puis je surveiller d'autre comme log ?
un fail2ban peut il m'aider ?
est ce une attaque qui n'a pas besoin du login/passwd

Bref un un specialiste securité reseau pouvait m'en dire un peu plus ...

Merci

Roland

Avatar de l’utilisateur
loic
Administrateur
Messages : 14862
Inscription : 01 févr. 2014, 16:21

Re: Mon JEEDOM piraté ??

Message par loic » 25 janv. 2019, 15:41

Bonjour,
Ce n'est pas vraiment une attaque c'est juste un scan pour trouvé si il y a un angle d'attaque. Tu ne peux malheureusement rien faire pour empecher le scan si ce n'est bloquer les ips une a une.
Aide nous à t'aider : mets des logs, détaille ton soucis... Vous n'aurez aucune réponse de ma part si votre demande n'est pas détaillée (log, capture d'écran lisible...) ou si vous ne postez pas dans la bonne section

Avatar de l’utilisateur
supermenteur
Timide
Messages : 250
Inscription : 18 mai 2015, 15:39

Re: Mon JEEDOM piraté ??

Message par supermenteur » 25 janv. 2019, 15:46

La plupart du temps ce sont des robots qui balayent toutes les adresses publiques.
Il faut mettre en place le minimum

Mdp complexe et changé régulièrement
Passer en https avec certificat signé
Et continuer à regarder les logs

My 2 cents.


Envoyé de mon iPad en utilisant Tapatalk
Patrice

drs
Actif
Messages : 1534
Inscription : 04 nov. 2016, 10:44

Re: Mon JEEDOM piraté ??

Message par drs » 25 janv. 2019, 18:28

supermenteur a écrit :
25 janv. 2019, 15:46
La plupart du temps ce sont des robots qui balayent toutes les adresses publiques.
Il faut mettre en place le minimum

Mdp complexe et changé régulièrement
Passer en https avec certificat signé
Et continuer à regarder les logs
Je rajoute: en cas de redirection de port, ne pas utiliser les ports standards (80, 443 et 22) depuis la patte publique.

Lodge
Timide
Messages : 68
Inscription : 04 janv. 2019, 16:58

Re: Mon JEEDOM piraté ??

Message par Lodge » 25 janv. 2019, 22:44

Ils ne scannent pas les autres ports?

drs
Actif
Messages : 1534
Inscription : 04 nov. 2016, 10:44

Re: Mon JEEDOM piraté ??

Message par drs » 25 janv. 2019, 23:13

Lodge a écrit :
25 janv. 2019, 22:44
Ils ne scannent pas les autres ports?
Si, mais en priorité les ports standards

Avatar de l’utilisateur
akenad
Actif
Messages : 697
Inscription : 27 oct. 2017, 11:39

Re: Mon JEEDOM piraté ??

Message par akenad » 26 janv. 2019, 10:26

Bonjour @Roland2794,

pour réduire les risques d'intrusion une possibilité consiste à ne pas ouvrir de port en entrée.
Certes cela limite certains usages mais c'est juste une question de choix.
Pour ma part j'ai fais le choix de ne pas pouvoir administrer les box à distances et par exemple de ne pas utiliser telegram, par contre j'utilise App Maison/iCloud/Homepod/Homebridge pour piloter la domotique à distance.

Mon architecture Jeedom ici

akenad :)
Présentation akenad
JeedomSmart Debian Stretch
Odroid-C2 eMMC Armbian Buster Kernel 5
RPi3B+ SSD Raspbian Stretch
RPi4B SSD Raspbian Buster
NUC Intel i7Gen7 ProxMox VM Debian Stretch & Buster

Avatar de l’utilisateur
bartounet
Actif
Messages : 2541
Inscription : 14 juil. 2016, 10:09

Re: Mon JEEDOM piraté ??

Message par bartounet » 26 janv. 2019, 12:42

Je ne connais pas homebridge
Et les accès local passent aussi par le cloud Apple ?
Jeedom à jour Debian 9
VM VMWARE ESXi 6.7 ( SSD)
Stick ZWave / FIBARO / Ikea Light / Yeelight / Google Home
Wifi Unifi / PFSENSE / Reverse Proxy DMZ SSL

Passionné de bidouillage informatique en tout genre
Mon blog : http://blog.info16.fr

Avatar de l’utilisateur
akenad
Actif
Messages : 697
Inscription : 27 oct. 2017, 11:39

Re: Mon JEEDOM piraté ??

Message par akenad » 26 janv. 2019, 13:48

bartounet a écrit :
26 janv. 2019, 12:42
Je ne connais pas homebridge
Et les accès local passent aussi par le cloud Apple ?
Bonjour @bartounet,

App Maison s'appuie sur Homekit qui s'appuie sur iCloud.
En accès local la fonction concentrateur du Homepod n'est pas sollicitée.

akenad :)
Présentation akenad
JeedomSmart Debian Stretch
Odroid-C2 eMMC Armbian Buster Kernel 5
RPi3B+ SSD Raspbian Stretch
RPi4B SSD Raspbian Buster
NUC Intel i7Gen7 ProxMox VM Debian Stretch & Buster

Roland2794
Timide
Messages : 119
Inscription : 19 août 2014, 13:33

Re: Mon JEEDOM piraté ??

Message par Roland2794 » 31 janv. 2019, 22:42

Merci pour vos conseils
J'ai supprimé l'accès HTTP distant et depuis plus de pb
Roland

Avatar de l’utilisateur
BaaTuuC
Actif
Messages : 802
Inscription : 19 oct. 2015, 19:48

Re: Mon JEEDOM piraté ??

Message par BaaTuuC » 01 févr. 2019, 14:02

Je te conseille si tu souhaites conserver un accès distant de ne pas l'ouvrir sur un port standard 80 ou 443
De mettre en place fail2ban pour bannir automatiquement les IP qui te scannent: Met les uniquement pour les adresse publiques ;-)
Si ca marche .. c'est que ca peut faire plus !!

Merci à toute la communauté pour le boulot !

petitsurfeur
Timide
Messages : 42
Inscription : 28 mai 2016, 18:09

Re: Mon JEEDOM piraté ??

Message par petitsurfeur » 06 mai 2019, 23:24

Bonjour

Pouvez-vous nous donner votre configuration Fail2ban pour Jeedom svp ?

Merci
RPI 3B sous RASPBIAN STRETCH + Harmony One (Plugin Lecteur_IR) + Xiaomi + 3G

geronimoo0
Timide
Messages : 88
Inscription : 06 mai 2019, 15:17

Re: Mon JEEDOM piraté ??

Message par geronimoo0 » 07 mai 2019, 08:48

petitsurfeur a écrit :
06 mai 2019, 23:24
Bonjour

Pouvez-vous nous donner votre configuration Fail2ban pour Jeedom svp ?

Merci
Il n'y a pas spécialement de configuration fail2ban pour jeedom, c'est un paramétrage par service (et par le port associé)
en gros tu actives un ban temporaire sur un protocole donné (seul le http est activé je crois au départ) et tu peux ensuite activer dans leur fichier de port d'autres protocoles (ssh, https, imap...)

petitsurfeur
Timide
Messages : 42
Inscription : 28 mai 2016, 18:09

Re: Mon JEEDOM piraté ??

Message par petitsurfeur » 21 mai 2019, 21:05

Bonjour

J'ai trouvé mon erreur, le virtualhost HTTP de jeedom indiquait

Code : Tout sélectionner

ErrorLog /var/www/html/log/http.error 
alors que le virtualhost HTTPS indiquait bien

Code : Tout sélectionner

ErrorLog ${APACHE_LOG_DIR}/jeedom_error.log
Et comme la règle Apache de Fail2ban ne scannait que les fichiers dans /var/log/apache2/*error.log, j'avais un trou dans la raquette.

Je vérifierai demain ce que cela donne...

Voici pour le plaisir les scans du jour

Code : Tout sélectionner

[Tue May 21 11:26:57.597633 2019] [:error] [pid 10066] [client 14.49.15.172:48657] script '/var/www/html/indexbak.php' not found or unable to stat
[Tue May 21 11:26:57.858530 2019] [:error] [pid 10066] [client 14.49.15.172:48657] script '/var/www/html/xmlrpc.php' not found or unable to stat
[Tue May 21 11:26:58.639979 2019] [access_compat:error] [pid 10066] [client 14.49.15.172:48657] AH01797: client denied by server configuration: /var/www/html/vendor/phpunit
[Tue May 21 11:27:01.504198 2019] [:error] [pid 10066] [client 14.49.15.172:48657] script '/var/www/html/c.php' not found or unable to stat
[Tue May 21 11:27:01.764635 2019] [:error] [pid 10066] [client 14.49.15.172:48657] script '/var/www/html/c.php' not found or unable to stat
[Tue May 21 11:27:02.024640 2019] [:error] [pid 10066] [client 14.49.15.172:48657] script '/var/www/html/test.php' not found or unable to stat
[Tue May 21 11:27:02.289095 2019] [:error] [pid 10066] [client 14.49.15.172:48657] script '/var/www/html/laobiao.php' not found or unable to stat
RPI 3B sous RASPBIAN STRETCH + Harmony One (Plugin Lecteur_IR) + Xiaomi + 3G

Répondre

Revenir vers « Discussions Générales »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 4 invités