S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Suivez en direct des milliers de bots attaquer un de nos serveurs

L’attaques des bots

Suivez en direct des milliers de bots attaquer un de nos serveurs

Illustration : Flock

Sur Internet, les serveurs sont régulièrement attaqués par des milliers de bots. Ces derniers essayent de passer en force… mais que font-ils exactement s’ils arrivent à se connecter ? Next vous propose de passer de l’autre côté du miroir.

Le 12 mars à 09h56

En ce début de semaine, nous expliquions que nos sept VPS de test étaient, en moyenne, la cible de 10 000 attaques par jour juste sur le port SSH (qui permet de prendre le contrôle à distance de la machine). Allons davantage dans les détails.

Honeypot maison : la pêche est bonne, avec des milliers de bots par jour

Pour ce faire, nous avons installé sur un de ces serveurs un honeypot (pot de miel, un leurre) faisant croire aux bots qu’ils étaient entrés dans le système. En l’occurrence, nous avons, avec l’aide de Claude Code, déployé et installé Cowrie sur un VPS de test qui ne dispose évidemment d’aucune donnée sensible.

Cowrie écoute sur le port 22, c’est-à-dire celui par défaut de SSH, et nous l’avons configuré pour laisser passer tout le monde, avec n’importe quel nom d’utilisateur et mot de passe. Nous n’aurons donc a priori dans notre besace que les robots les plus bourrins. En effet, certains peuvent détecter la présence du honeypot et passer leur chemin pour ne pas perdre de temps.

Qu’importe, nous ne voulons pas être exhaustifs, mais voir les tendances générales. Cela suffit déjà à enregistrer plusieurs milliers de tentatives par jour.

Il reste 68% de l'article à découvrir.

Cadenas en colère - Contenu premium

Soutenez un journalisme indépendant,
libre de ton, sans pub et sans reproche.

Accédez en illimité aux articles

Profitez d'un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Commentaires (44)

votre avatar
Sont tristes ces logs, je préfère ma version :langue:

Blague à part, la liste des noms d'utilisateurs testés me paraît vachement spécifique. Je suppose que ça vient de statistiques, mais tous ces prénoms m'interrogent.
votre avatar
J'avoue avoir eu la même réflexion, pourquoi tous ces noms à consonnance arabe ? C'est intriguant.
votre avatar
Probablement des fuites d'infogérences offshore ? Même si j'aurais plus vu de l'indien.
votre avatar
Ah, tiens donc : myGif@honeypot's password: isBetterThanYourLogs
Proton VPN hein ?
votre avatar
Bawé, pour la déconne. :D

Edit : malgré l'autre flood "i love next", je reste dans le top 4 des passwords grâce à ma pauv' boucle while tapée à l'arrache :D
votre avatar
Merci pour cet article !
C'est quoi 345gs5662d34 ?
du leet ?
votre avatar
La plupart des sites disent qu'ils ne savent pas. Sinon j'ai trouvé ça :
345gs5662d34 : Used by Polycom CX600 IP phones, this password often shows up in the username field (as other passwords do) if sloppy bots do enter it into the wrong field.
votre avatar
Bon, on commence quand la guerre pour faire apparaître nos pseudos Next dans les stats ? :p
votre avatar
Ca a déjà commencé ^^hein @bsod (ou alors une usurpation d’identité :o ) ?
votre avatar
chut, notre plan secret pour recueillir de la data et la revendre comme Reworld va être percé à jour !
votre avatar
C'est bon, j'ai commencé à flooder les logs avec ma connerie :D
votre avatar
Le hostname 'honeypot" c'est trop gros. Ça va faire fuir tous les attaquant qui s'y connaissent un minimum.
votre avatar
Comme indiqué dans l’actu, c’est effectivement un choix : le serveur est de toute façon très permissif (aucun attente, toutes les tentatives passent…).
votre avatar
Merci pour la découverte de cet outil ;-)
votre avatar
login as: i_love_next_♡ i_love_next_♡@honeypot's password: ♡
C'est bien drôle de spam, mais ca va casser toute la pertinence du truc...
votre avatar
Je m'attendais à un live youtube/twitch/whateveryouwant :D
votre avatar
Qui est en train de noyer les logs d'amour depuis l'Allemagne?

SSH-2.0-OpenSSH_8.9p1 Ubuntu-3ubuntu0.6
login as: i_love_next_♡
i_love_next_♡@honeypot's password: ♡
Welcome to Ubuntu 22.04.3 LTS (GNU/Linux 5.15.0-91-generic x86_64)
votre avatar
Commande la plus populaire : /bin/./uname -s -v -n -r -m

Je me demande bien pourquoi il y a un point entre bin et uname parce qu'à ma connaissance, ça ne fait rien de particulier vu que ça désigne juste le dossier courant.
votre avatar
J'ai rapidement pensé que c'était peut-être pour passer à côté des SIEM (parce qu'en utilisant auditd le path ne sera pas exactement celui attendu si la regexp n'est pas bonne).
votre avatar
Ce qui est inquiétant c'est qu'il n'y a pas vraiment de représailles visiblement. Et pourtant ces machines sont identifiables par la connexion et donc un proprio derrière. Donc un payeur.

De nos jours, combien de trafic cela représente-t-il par rapport à la part utile pour les sites / services ?

Y'a des jours je me dis qu'une coopération d'internet serait quand même bien utile. Non pas par le fait de de besoin d'autorité (les états se sont déjà couvert le fion), mais par le fait qu'on trouve des trous de sécu partout et tout le temps. Et donc il faut un temps de réaction court, donc de l'organisation. Et même avec un temps de réaction court, ça fait du dégât quand même. Mais bon certainement moins que maintenant.

Éventuellement de contrôler les boites pour leur résilience à des attaques ou au moins de savoir ce qui se passe sur leurs structures. Parce qu'il est un fait. Il y en a, qui ne savent pas du tout ce qui se passe.
votre avatar
Certains gestionnaire de serveur ne savent pas qu'ils ont été piratés et que leur machine a été inclue dans un botnet, et je ne parle pas des machines utilisateur avec les virus/cracks/... ou encore les ordiphones qui ont installé une application qui fait proxy résidentiel aussi.
Donc oui, avoir un avertissement (en passant par le FAI par exemple) peut être un bon moyen, même si un paquet de personnes ne seraient pas en mesure de savoir quoi faire (illectrionnisme).

Personnellement, sur un serveur en Allemagne, j'ai eu un message me disant un truc du genre "Attention, le port ... est ouvert et peut servir d'attaque par rebond/amplification", j'ai sécurisé de suite, mais combien de personnes ont cette capacité d'analyse et de correction ?
votre avatar
"De nos jours, combien de trafic cela représente-t-il par rapport à la part utile pour les sites / services ?"

Je pense que cela représente très peu, quelques centaines de ko maximum par tentatives, comparé par exemple aux pages web actuelles qui pèsent en moyenne 2,5 Mo d'après les statistiques. Sans parler des vidéos et autres usages plus gourmands.
votre avatar
touch NextDansLaPlace
:mdr:
votre avatar
Question bête sans doute, mais si chaque PC et box connectés au net avait un honey pot actif en permanence, dans quelle mesure ça pourrait contrer les bots? Ca impacterait pas tant que ça les perfs du PC/box, non?
votre avatar
Certain fond dans la finesse:

login as: HONEYYYFAGGOT
HONEYYYFAGGOT@honeypot's password: HONNEYPOT-FAG-GO-FUCK-YOURSELF-SKID
votre avatar
Quand je regarde rapidement la liste des pays, c'est peu ou prou ce que j'ai sur mon site aussi.
votre avatar
Hahaha merci @SébastienGavois super article j'adore c'est vraiment top !
votre avatar
Bonjour. Est-ce que vous avez fait une stat pour voir combien de bots tentent d'entrer par IPv6 au lieu de IPv4 ?
votre avatar
Yaurait moyen de trier les stats par pays ? ou d'afficher un top 10 ?
C'est pas mal comme outil, je ne m'étais jamais posé cette question en louant des vps par-ci par-là...
votre avatar
Les miennes (de tête) :


  • USA (en grande majorité, mais ça sent plus le crawling que les attaques à proprement parler)

  • Chine

  • Mexique

  • Allemagne et quelques pays d'Europe de l'Est

  • Moyen Orient, un peu d'Afrique



Doit probablement y avoir de la Russie dans le troupeau vu la quantité de sites en .ru que j'ai dans les referrers, mais pas en terme de trafic. Donc il n'est pas impossible qu'une part non négligeable soit des leurres utilisant des points de sortie dans d'autres pays.
votre avatar
Le Brésil est très souvent dans mon top 5
votre avatar
En ce qui me concerne sur l'un des sites les plus "attaqués" sur la semaine : 


Country	                                         Visits
United States        39.1%      7,311
France                      7%           1,310
Vietnam                  6.4%         1,191
Germany                 6%             1,129
Canada                   3.7%           692


Sur la même période pour un autre : 


United States         891
Germany                  213
China                         199
France                       114
Australia                    99


Pour les USA, c'est la Virgnie qui est la plus grande source et de très loin.

Ça montre aussi à quel point ils ramassent tout le web.
votre avatar
J'ai pas les USA à ce niveau, mais j'ajouterais UK (oui, les Royaumes-Unis sont depuis longtemps de gros attaquants pour moi) et Irlande. Et encore, on a un géoblocage en amont.

Les USA montent clairement depuis la réélection de Trump.
votre avatar
Je ne comprends pas l'intérêt : sensationnalisme ?

N'importe qui ayant déjà administré un serveur connecté IPv4 ces 20 dernières années sait que les ports par défaut des protocoles les plus connus y sont le sujet de scan/connexions cherchant entrées & failles, car cela fait approximativement cette durée que la faisabilité technique d'un scan intégral des adresses IPv4 publiques est possible.
SSH, SMTP, HTTP, FTP… pour ne citer que quelques-uns des plus évidents. Étonnamment, DNS ne semble pas le plus inquiété. Une nouvelle fois, ce protocole est ignoré, cette fois par des attaquants : je ne vais pas m'en plaindre ce coup-ci.

Venez-vous de découvrir cela, pour que cela semble vous exciter à ce point ?

Quelques techniques simples et quelques outils de surveillance/action permettent de limiter la surface, auditer les actions critiques & réagir rapidement le cas échéant.

Bienvenue dans la vie d'un sysadmin, par le petit bout de la lorgnette.
Si jamais vous avez besoin d'aide pour être autonome dans vos cvies et reprendre le contrôle de vos données, demandez à un bon sysadmin de vous aider/apprendre sur la partie technique. On est toujours ravi de transmettre un savoir jugé essentiel quand on est bon dans un domaine. (o:
votre avatar
Tout le monde n'est pas sysadmin, par contre je pense que cet article fait aussi (logiquement) suite aux articles récents sur les VPS, qui se démocratisent énormément de part leur faible coût mais une grande diversité d'usages.
Du coup au contraire je trouve que cet article a toute sa place (et encore merci à Next) pour montrer que certes monter un VPS est très facile et pas cher mais que ce n'est pas anodin. Et au lieu de faire du FUD, Sébastien montre vraiment, de manière presque "ludique" la réalité des attaques qu'on ne voit jamais lorsqu'on est bien au chaud derrière sa box nattée chez soi.

En ce qui concerne l'audit & la surface d'attaque, je pense ne pas me tromper en imaginant que Sébastien a encore quelques articles à suivre dans sa besace :D
votre avatar
Tout le monde n'est pas sysadmin
Bienvenue dans la vie d'un sysadmin, par le petit bout de la lorgnette.
Si jamais vous avez besoin d'aide pour être autonome dans vos vies et reprendre le contrôle de vos données, demandez à un bon sysadmin de vous aider/apprendre sur la partie technique. On est toujours ravi de transmettre un savoir jugé essentiel quand on est bon dans un domaine. (o:
Intéressant l'angle FUD, mais on parle de l'audience de Next, assez spécialisée. Ce serait bien trop loin des priorités d'éducation à l'informatique pour une population générale de toutes façons.
votre avatar
Bah nan plus besoin de sysadmins regarde, y a Claude Code 🤡
votre avatar
je suis sysAdmin et j'ai apprécié cet article qui m'a fait découvrir ce petit outil bien sympas :)
votre avatar
Idée géniale mise en forme de façon brillante, ludique et spectaculaire. De quoi regarder autrement les récentes déclarations de l'ANSSI 100% pur bullshit pressé.
votre avatar
les récentes déclarations de l'ANSSI 100%
Lesquelles?

Bon, là on est sur du SSH, mais c'est pareil pour le web: tentatives des failles wordpress les plus connues par exemple, en boucle, tous les jours + tentative d'upload sauvage...

J'ai vu des attaques réussies, après pénétration ça déroule automatiquement des tentatives d'installation de soft pour analyser et prendre le contrôle.
Déposer simplement un fichier pour plus tard est courant. Ensuite ça peut prendre des mois avant qu'ils n'essaient de les utiliser.
votre avatar
Lesquelles?
Celles-là, je suppose.
votre avatar
Je trouve que les déclaration de l'ANSII sont très pragmatique, (très) loin d'un "pur bullshit pressé"
votre avatar
J'aurai eu tendance à penser qu'il n'y a pas de raison pour que desprestataire déclarent de fausses fuites de données, encore moins dans de telles proportions. Mais dans la mesure où ces questions ne constituent ni mon travail, ni mon passe temps, je veux bien vous croire si vous me dites que le rythme des attaques, illustré par cet article, est tout ce qu'il y a de plus classique. Au temps pour moi.
votre avatar
J'apporte une nuance : il n'y a pas de raisons pour qu'un prestataire déclare publiquement de fausses fuites.

Par contre, de part le RGPD et les 72h pour déclarer à l'autorité de contrôle (chez nous, la CNIL), il vaut mieux déclarer une fuite de données dès la suspicion et ensuite se rétracter une fois les analyses approfondies faites que d'attendre et de devoir justifier pourquoi on a dépassé le délai...