Mon JEEDOM piraté ??

[Roland2794]

Bonjour
et excellente année à vous tous.

Depuis plusieurs jours je trouve à repétition dans les log http.error des centaines de lignes du type :

[Wed Jan 23 23:21:53.122643 2019] [:error] [pid 3175] [client 202.96.155.48:5257] script '/var/www/html/knal.php' not found or unable to stat
[Wed Jan 23 23:21:53.327073 2019] [:error] [pid 3175] [client 202.96.155.48:5257] script '/var/www/html/cmd.php' not found or unable to stat
[Wed Jan 23 23:21:53.531636 2019] [:error] [pid 3175] [client 202.96.155.48:5257] script '/var/www/html/shell.php' not found or unable to stat
[Thu Jan 24 09:14:15.994159 2019] [:error] [pid 706] [client 110.164.64.56:14472] script '/var/www/html/1q.php' not found or unable to stat
[Thu Jan 24 09:14:16.170004 2019] [:error] [pid 706] [client 110.164.64.56:14472] script '/var/www/html/1111.php' not found or unable to stat

le @ip sont localisées en chine et changent régulièrement.

j'ai des mots de passes complexes et changés régulièrement depuis ces attaques mais ca continu.,
je passe par la DNS jeedom, j'ai meme activé la double autentification, par contre j'ai toujours un accès http depuis l'exterieur via un dynDns chez no_ip.

Est ce que ces attaques proviennent d'un système qui arrive à se connecter malgré le changement de passwd en moins et ceci de 8 heures.
Est ce que mon jeedom est infesté de l’intérieur et j'aurai bon changer de mot de passe ca ne changera rien.
quel et le but de ces attaques ? trouver un .php qui match mais pour faire quoi ?

que puis je surveiller d'autre comme log ?
un fail2ban peut il m'aider ?
est ce une attaque qui n'a pas besoin du login/passwd

Bref un un specialiste securité reseau pouvait m'en dire un peu plus ...

Merci

Roland

[loic]

Bonjour,
Ce n'est pas vraiment une attaque c'est juste un scan pour trouvé si il y a un angle d'attaque. Tu ne peux malheureusement rien faire pour empecher le scan si ce n'est bloquer les ips une a une.

[supermenteur]

La plupart du temps ce sont des robots qui balayent toutes les adresses publiques.
Il faut mettre en place le minimum

Mdp complexe et changé régulièrement
Passer en https avec certificat signé
Et continuer à regarder les logs

My 2 cents.


Envoyé de mon iPad en utilisant Tapatalk

[drs]

La plupart du temps ce sont des robots qui balayent toutes les adresses publiques.
Il faut mettre en place le minimum

Mdp complexe et changé régulièrement
Passer en https avec certificat signé
Et continuer à regarder les logs

Je rajoute: en cas de redirection de port, ne pas utiliser les ports standards (80, 443 et 22) depuis la patte publique.

[Lodge]

Ils ne scannent pas les autres ports?

[drs]

Ils ne scannent pas les autres ports?

Si, mais en priorité les ports standards

[akenad]

Bonjour @Roland2794,

pour réduire les risques d'intrusion une possibilité consiste à ne pas ouvrir de port en entrée.
Certes cela limite certains usages mais c'est juste une question de choix.
Pour ma part j'ai fais le choix de ne pas pouvoir administrer les box à distances et par exemple de ne pas utiliser telegram, par contre j'utilise App Maison/iCloud/Homepod/Homebridge pour piloter la domotique à distance.

Mon architecture Jeedom ici

akenad

[bartounet]

Je ne connais pas homebridge
Et les accès local passent aussi par le cloud Apple ?

[akenad]

Je ne connais pas homebridge
Et les accès local passent aussi par le cloud Apple ?

Bonjour @bartounet,

App Maison s'appuie sur Homekit qui s'appuie sur iCloud.
En accès local la fonction concentrateur du Homepod n'est pas sollicitée.

akenad

[Roland2794]

Merci pour vos conseils
J'ai supprimé l'accès HTTP distant et depuis plus de pb
Roland

[BaaTuuC]

Je te conseille si tu souhaites conserver un accès distant de ne pas l'ouvrir sur un port standard 80 ou 443
De mettre en place fail2ban pour bannir automatiquement les IP qui te scannent: Met les uniquement pour les adresse publiques

[petitsurfeur]

Bonjour

Pouvez-vous nous donner votre configuration Fail2ban pour Jeedom svp ?

Merci

[geronimoo0]

Bonjour

Pouvez-vous nous donner votre configuration Fail2ban pour Jeedom svp ?

Merci

Il n'y a pas spécialement de configuration fail2ban pour jeedom, c'est un paramétrage par service (et par le port associé)
en gros tu actives un ban temporaire sur un protocole donné (seul le http est activé je crois au départ) et tu peux ensuite activer dans leur fichier de port d'autres protocoles (ssh, https, imap...)

[petitsurfeur]

Bonjour

J'ai trouvé mon erreur, le virtualhost HTTP de jeedom indiquait

Code : Tout sélectionner

ErrorLog /var/www/html/log/http.error 

alors que le virtualhost HTTPS indiquait bien

Code : Tout sélectionner

ErrorLog ${APACHE_LOG_DIR}/jeedom_error.log

Et comme la règle Apache de Fail2ban ne scannait que les fichiers dans /var/log/apache2/*error.log, j'avais un trou dans la raquette.

Je vérifierai demain ce que cela donne...

Voici pour le plaisir les scans du jour

Code : Tout sélectionner

[Tue May 21 11:26:57.597633 2019] [:error] [pid 10066] [client 14.49.15.172:48657] script '/var/www/html/indexbak.php' not found or unable to stat
[Tue May 21 11:26:57.858530 2019] [:error] [pid 10066] [client 14.49.15.172:48657] script '/var/www/html/xmlrpc.php' not found or unable to stat
[Tue May 21 11:26:58.639979 2019] [access_compat:error] [pid 10066] [client 14.49.15.172:48657] AH01797: client denied by server configuration: /var/www/html/vendor/phpunit
[Tue May 21 11:27:01.504198 2019] [:error] [pid 10066] [client 14.49.15.172:48657] script '/var/www/html/c.php' not found or unable to stat
[Tue May 21 11:27:01.764635 2019] [:error] [pid 10066] [client 14.49.15.172:48657] script '/var/www/html/c.php' not found or unable to stat
[Tue May 21 11:27:02.024640 2019] [:error] [pid 10066] [client 14.49.15.172:48657] script '/var/www/html/test.php' not found or unable to stat
[Tue May 21 11:27:02.289095 2019] [:error] [pid 10066] [client 14.49.15.172:48657] script '/var/www/html/laobiao.php' not found or unable to stat