Mon JEEDOM piraté ??
-
- Timide
- Messages : 119
- Inscription : 19 août 2014, 13:33
Mon JEEDOM piraté ??
Bonjour
et excellente année à vous tous.
Depuis plusieurs jours je trouve à repétition dans les log http.error des centaines de lignes du type :
[Wed Jan 23 23:21:53.122643 2019] [:error] [pid 3175] [client 202.96.155.48:5257] script '/var/www/html/knal.php' not found or unable to stat
[Wed Jan 23 23:21:53.327073 2019] [:error] [pid 3175] [client 202.96.155.48:5257] script '/var/www/html/cmd.php' not found or unable to stat
[Wed Jan 23 23:21:53.531636 2019] [:error] [pid 3175] [client 202.96.155.48:5257] script '/var/www/html/shell.php' not found or unable to stat
[Thu Jan 24 09:14:15.994159 2019] [:error] [pid 706] [client 110.164.64.56:14472] script '/var/www/html/1q.php' not found or unable to stat
[Thu Jan 24 09:14:16.170004 2019] [:error] [pid 706] [client 110.164.64.56:14472] script '/var/www/html/1111.php' not found or unable to stat
le @ip sont localisées en chine et changent régulièrement.
j'ai des mots de passes complexes et changés régulièrement depuis ces attaques mais ca continu.,
je passe par la DNS jeedom, j'ai meme activé la double autentification, par contre j'ai toujours un accès http depuis l'exterieur via un dynDns chez no_ip.
Est ce que ces attaques proviennent d'un système qui arrive à se connecter malgré le changement de passwd en moins et ceci de 8 heures.
Est ce que mon jeedom est infesté de l’intérieur et j'aurai bon changer de mot de passe ca ne changera rien.
quel et le but de ces attaques ? trouver un .php qui match mais pour faire quoi ?
que puis je surveiller d'autre comme log ?
un fail2ban peut il m'aider ?
est ce une attaque qui n'a pas besoin du login/passwd
Bref un un specialiste securité reseau pouvait m'en dire un peu plus ...
Merci
Roland
et excellente année à vous tous.
Depuis plusieurs jours je trouve à repétition dans les log http.error des centaines de lignes du type :
[Wed Jan 23 23:21:53.122643 2019] [:error] [pid 3175] [client 202.96.155.48:5257] script '/var/www/html/knal.php' not found or unable to stat
[Wed Jan 23 23:21:53.327073 2019] [:error] [pid 3175] [client 202.96.155.48:5257] script '/var/www/html/cmd.php' not found or unable to stat
[Wed Jan 23 23:21:53.531636 2019] [:error] [pid 3175] [client 202.96.155.48:5257] script '/var/www/html/shell.php' not found or unable to stat
[Thu Jan 24 09:14:15.994159 2019] [:error] [pid 706] [client 110.164.64.56:14472] script '/var/www/html/1q.php' not found or unable to stat
[Thu Jan 24 09:14:16.170004 2019] [:error] [pid 706] [client 110.164.64.56:14472] script '/var/www/html/1111.php' not found or unable to stat
le @ip sont localisées en chine et changent régulièrement.
j'ai des mots de passes complexes et changés régulièrement depuis ces attaques mais ca continu.,
je passe par la DNS jeedom, j'ai meme activé la double autentification, par contre j'ai toujours un accès http depuis l'exterieur via un dynDns chez no_ip.
Est ce que ces attaques proviennent d'un système qui arrive à se connecter malgré le changement de passwd en moins et ceci de 8 heures.
Est ce que mon jeedom est infesté de l’intérieur et j'aurai bon changer de mot de passe ca ne changera rien.
quel et le but de ces attaques ? trouver un .php qui match mais pour faire quoi ?
que puis je surveiller d'autre comme log ?
un fail2ban peut il m'aider ?
est ce une attaque qui n'a pas besoin du login/passwd
Bref un un specialiste securité reseau pouvait m'en dire un peu plus ...
Merci
Roland
Re: Mon JEEDOM piraté ??
Bonjour,
Ce n'est pas vraiment une attaque c'est juste un scan pour trouvé si il y a un angle d'attaque. Tu ne peux malheureusement rien faire pour empecher le scan si ce n'est bloquer les ips une a une.
Ce n'est pas vraiment une attaque c'est juste un scan pour trouvé si il y a un angle d'attaque. Tu ne peux malheureusement rien faire pour empecher le scan si ce n'est bloquer les ips une a une.
Aide nous à t'aider : mets des logs, détaille ton soucis... Vous n'aurez aucune réponse de ma part si votre demande n'est pas détaillée (log, capture d'écran lisible...) ou si vous ne postez pas dans la bonne section
- supermenteur
- Timide
- Messages : 250
- Inscription : 18 mai 2015, 15:39
Re: Mon JEEDOM piraté ??
La plupart du temps ce sont des robots qui balayent toutes les adresses publiques.
Il faut mettre en place le minimum
Mdp complexe et changé régulièrement
Passer en https avec certificat signé
Et continuer à regarder les logs
My 2 cents.
Envoyé de mon iPad en utilisant Tapatalk
Il faut mettre en place le minimum
Mdp complexe et changé régulièrement
Passer en https avec certificat signé
Et continuer à regarder les logs
My 2 cents.
Envoyé de mon iPad en utilisant Tapatalk
Patrice
Re: Mon JEEDOM piraté ??
Je rajoute: en cas de redirection de port, ne pas utiliser les ports standards (80, 443 et 22) depuis la patte publique.supermenteur a écrit : ↑25 janv. 2019, 15:46La plupart du temps ce sont des robots qui balayent toutes les adresses publiques.
Il faut mettre en place le minimum
Mdp complexe et changé régulièrement
Passer en https avec certificat signé
Et continuer à regarder les logs
Re: Mon JEEDOM piraté ??
Ils ne scannent pas les autres ports?
Re: Mon JEEDOM piraté ??
Bonjour @Roland2794,
pour réduire les risques d'intrusion une possibilité consiste à ne pas ouvrir de port en entrée.
Certes cela limite certains usages mais c'est juste une question de choix.
Pour ma part j'ai fais le choix de ne pas pouvoir administrer les box à distances et par exemple de ne pas utiliser telegram, par contre j'utilise App Maison/iCloud/Homepod/Homebridge pour piloter la domotique à distance.
Mon architecture Jeedom ici
akenad
pour réduire les risques d'intrusion une possibilité consiste à ne pas ouvrir de port en entrée.
Certes cela limite certains usages mais c'est juste une question de choix.
Pour ma part j'ai fais le choix de ne pas pouvoir administrer les box à distances et par exemple de ne pas utiliser telegram, par contre j'utilise App Maison/iCloud/Homepod/Homebridge pour piloter la domotique à distance.
Mon architecture Jeedom ici
akenad
Présentation akenad
JeedomSmart Debian Stretch
Odroid-C2 eMMC Armbian Buster Kernel 5
RPi3B+ SSD Raspbian Stretch
RPi4B SSD Raspbian Buster
NUC Intel i7Gen7 ProxMox VM Debian Stretch & Buster
JeedomSmart Debian Stretch
Odroid-C2 eMMC Armbian Buster Kernel 5
RPi3B+ SSD Raspbian Stretch
RPi4B SSD Raspbian Buster
NUC Intel i7Gen7 ProxMox VM Debian Stretch & Buster
Re: Mon JEEDOM piraté ??
Je ne connais pas homebridge
Et les accès local passent aussi par le cloud Apple ?
Et les accès local passent aussi par le cloud Apple ?
Jeedom à jour Debian 9
VM VMWARE ESXi 6.7 ( SSD)
Stick ZWave / FIBARO / Ikea Light / Yeelight / Google Home
Wifi Unifi / PFSENSE / Reverse Proxy DMZ SSL
Passionné de bidouillage informatique en tout genre
Mon blog : http://blog.info16.fr
VM VMWARE ESXi 6.7 ( SSD)
Stick ZWave / FIBARO / Ikea Light / Yeelight / Google Home
Wifi Unifi / PFSENSE / Reverse Proxy DMZ SSL
Passionné de bidouillage informatique en tout genre
Mon blog : http://blog.info16.fr
Re: Mon JEEDOM piraté ??
Bonjour @bartounet,
App Maison s'appuie sur Homekit qui s'appuie sur iCloud.
En accès local la fonction concentrateur du Homepod n'est pas sollicitée.
akenad
Présentation akenad
JeedomSmart Debian Stretch
Odroid-C2 eMMC Armbian Buster Kernel 5
RPi3B+ SSD Raspbian Stretch
RPi4B SSD Raspbian Buster
NUC Intel i7Gen7 ProxMox VM Debian Stretch & Buster
JeedomSmart Debian Stretch
Odroid-C2 eMMC Armbian Buster Kernel 5
RPi3B+ SSD Raspbian Stretch
RPi4B SSD Raspbian Buster
NUC Intel i7Gen7 ProxMox VM Debian Stretch & Buster
-
- Timide
- Messages : 119
- Inscription : 19 août 2014, 13:33
Re: Mon JEEDOM piraté ??
Merci pour vos conseils
J'ai supprimé l'accès HTTP distant et depuis plus de pb
Roland
J'ai supprimé l'accès HTTP distant et depuis plus de pb
Roland
Re: Mon JEEDOM piraté ??
Je te conseille si tu souhaites conserver un accès distant de ne pas l'ouvrir sur un port standard 80 ou 443
De mettre en place fail2ban pour bannir automatiquement les IP qui te scannent: Met les uniquement pour les adresse publiques
De mettre en place fail2ban pour bannir automatiquement les IP qui te scannent: Met les uniquement pour les adresse publiques
Si ca marche .. c'est que ca peut faire plus !!
Merci à toute la communauté pour le boulot !
Merci à toute la communauté pour le boulot !
-
- Timide
- Messages : 42
- Inscription : 28 mai 2016, 18:09
Re: Mon JEEDOM piraté ??
Bonjour
Pouvez-vous nous donner votre configuration Fail2ban pour Jeedom svp ?
Merci
Pouvez-vous nous donner votre configuration Fail2ban pour Jeedom svp ?
Merci
RPI 3B sous RASPBIAN STRETCH + Harmony One (Plugin Lecteur_IR) + Xiaomi + 3G
-
- Timide
- Messages : 88
- Inscription : 06 mai 2019, 15:17
Re: Mon JEEDOM piraté ??
Il n'y a pas spécialement de configuration fail2ban pour jeedom, c'est un paramétrage par service (et par le port associé)petitsurfeur a écrit : ↑06 mai 2019, 23:24Bonjour
Pouvez-vous nous donner votre configuration Fail2ban pour Jeedom svp ?
Merci
en gros tu actives un ban temporaire sur un protocole donné (seul le http est activé je crois au départ) et tu peux ensuite activer dans leur fichier de port d'autres protocoles (ssh, https, imap...)
-
- Timide
- Messages : 42
- Inscription : 28 mai 2016, 18:09
Re: Mon JEEDOM piraté ??
Bonjour
J'ai trouvé mon erreur, le virtualhost HTTP de jeedom indiquait
alors que le virtualhost HTTPS indiquait bien
Et comme la règle Apache de Fail2ban ne scannait que les fichiers dans /var/log/apache2/*error.log, j'avais un trou dans la raquette.
Je vérifierai demain ce que cela donne...
Voici pour le plaisir les scans du jour
J'ai trouvé mon erreur, le virtualhost HTTP de jeedom indiquait
Code : Tout sélectionner
ErrorLog /var/www/html/log/http.error
Code : Tout sélectionner
ErrorLog ${APACHE_LOG_DIR}/jeedom_error.log
Je vérifierai demain ce que cela donne...
Voici pour le plaisir les scans du jour
Code : Tout sélectionner
[Tue May 21 11:26:57.597633 2019] [:error] [pid 10066] [client 14.49.15.172:48657] script '/var/www/html/indexbak.php' not found or unable to stat
[Tue May 21 11:26:57.858530 2019] [:error] [pid 10066] [client 14.49.15.172:48657] script '/var/www/html/xmlrpc.php' not found or unable to stat
[Tue May 21 11:26:58.639979 2019] [access_compat:error] [pid 10066] [client 14.49.15.172:48657] AH01797: client denied by server configuration: /var/www/html/vendor/phpunit
[Tue May 21 11:27:01.504198 2019] [:error] [pid 10066] [client 14.49.15.172:48657] script '/var/www/html/c.php' not found or unable to stat
[Tue May 21 11:27:01.764635 2019] [:error] [pid 10066] [client 14.49.15.172:48657] script '/var/www/html/c.php' not found or unable to stat
[Tue May 21 11:27:02.024640 2019] [:error] [pid 10066] [client 14.49.15.172:48657] script '/var/www/html/test.php' not found or unable to stat
[Tue May 21 11:27:02.289095 2019] [:error] [pid 10066] [client 14.49.15.172:48657] script '/var/www/html/laobiao.php' not found or unable to stat
RPI 3B sous RASPBIAN STRETCH + Harmony One (Plugin Lecteur_IR) + Xiaomi + 3G
Qui est en ligne ?
Utilisateurs parcourant ce forum : Google [Bot] et 7 invités