Page 2 sur 2

Re: [web:8080] Failed authentication attempt, ignoring client request (remote address: 137.135.249.200)

Publié : 23 nov. 2020, 22:39
par Keros
Ce ne serait pas très sécuritaire si on pouvait "attraper" les tentatives de connexions :roll:

Re: [web:8080] Failed authentication attempt, ignoring client request (remote address: 137.135.249.200)

Publié : 24 nov. 2020, 14:30
par ganq
Keros a écrit : 23 nov. 2020, 22:39 Ce ne serait pas très sécuritaire si on pouvait "attraper" les tentatives de connexions :roll:
même pas le login ?

Re: [web:8080] Failed authentication attempt, ignoring client request (remote address: 137.135.249.200)

Publié : 27 nov. 2020, 09:13
par totof60
ganq a écrit : 22 nov. 2020, 09:06 Bonjour, j'ai une tentative de connexion depuis plusieurs jours depuis 137.135.249.200
la recherche me dit que c'est une adresse de Microsoft Azure... Est ce un plugin qui peut faire cela ? une application ?
Avez vous eu la même erreur ?

il y a 2 ou 3 essais 2 à 3 fois par jour avec des intervalles irréguliers...

est-il possible de savoir l'identifiant utilisé et le mot de passe demandé ?
est-il possible de bannir cette adresse ip ?
Juste pour répondre a ta question j’ai la même erreur depuis un moment

Je n’ai pas réussi à faire fonctionner fail2ban

Re: [web:8080] Failed authentication attempt, ignoring client request (remote address: 137.135.249.200)

Publié : 27 nov. 2020, 10:33
par Flying Domotic
Bonjour,

Quelques éléments qui peuvent aider :
  • La tentative de connexion se fait sur un port "relai" HTTP, le port 8080 (qui est utilisé par Domoticz, mais probablement personne ne le sait à l'extérieur). Il est probablement attaqué parce que c'est un port connu et courant. Donc, à priori, ce ne serait pas Domoticz qui est attaqué, mais ce port connu.
  • Il est assez possible que l'attaquant scanne les ports connus, et qu'il y ait sur le (un ?) routeur une redirection de port vers la machine Domoticz.
  • Si on veut savoir ce qui se passe, il faut installer un analyseur de protocole IP, et faire une capture du trafic de la machine concernée. Si le serveur est sous Windows, installer WireShark. Si c'est un RPi, utiliser la commande tcpdump. S'il y a un routeur qui voit passer le trafic, et qu'il a tcpdump d'installé, on peut aussi intercepter les trames à cet endroit. L'analyse peut se faire localement, ou après redirection de la capture par ssh pour visualiser les données dans une interface graphique.
  • Si on a la main sur un routeur de la chaine de connexion, on peut tenter une ACL pour bloquer cette adresse (et donc tous les services qui tournent dessus).
  • Il est aussi possible de signaler à Microsoft que des tentatives d'accès entrants sont réalisées depuis cette machine, il pourraient aussi regarder de leur côté.
Je dois pouvoir aider à réaliser la capture avec quelques éléments de contexte (merci de ne pas poster d'information sensible ici, donc pas d'IP et juste des infos génériques).
  • Quel est l'OS de la machine Domoticz ?
  • Est-ce le (un des) routeur(s) supporte les connexions ssh ? tcpdump ? Pour tester, faire un ssh <@IP du routeur>, puis tcpdump. Noter qu'il faut probablement avoir un identifiant/mot de passe sur le routeur.