"Avez-vous d'abord tenté d'éteindre et de rallumer ?" Les sauveteurs numériques, experts en débogage et spécialistes du “retirer-brancher”. Quand un problème survient, leur première question est toujours la même, et ça fonctionne 99 % du temps.
Un serveur, fraîchement installé et à peine connecté sur Internet, n’a que quelques dizaines de secondes de répit avant une première tentative d’accès frauduleux. Puis, la tempête ne s’arrête jamais, avec en moyenne plus de 10 000 tentatives par jour.
Depuis plusieurs semaines, nous nous sommes lancés dans des tests et comparatifs de VPS (serveur privé virtuel). Nous en avons profité pour les laisser tourner, à vide ou presque. Ils sont dans leur configuration par défaut, avec le système d’exploitation installé lors de la livraison.
Quatre semaines plus tard, nous récupérons les logs des sept serveurs pour analyser les tentatives de connexion sur le port 22, celui pour SSH (Secure Shell). Ce dernier est « une méthode permettant d’envoyer, de manière sécurisée, des commandes à un ordinateur sur un réseau non sécurisé », rappelle Cloudflare. Via des logiciels comme PuTTY, par exemple, on peut se connecter à distance sur un serveur et réaliser toutes les opérations que l’on souhaite.
IBM précise que de son côté que « la plupart des robots automatisés tentent de se connecter à votre serveur SSH sur le port 22 en tant que root avec diverses combinaisons de force brute et de dictionnaire afin d’accéder à vos données ». Une connexion à distance en « root » laisserait l’intégralité de votre serveur à la merci des pirates.
Entre 6 500 et 14 000 tentatives par jour, en moyenne
Avez-vous un ordre d’idée du nombre de tentatives de connexion que subissent des serveurs sur Internet ? Selon nos mesures sur 25 jours d’expérimentation, la moyenne est aux alentours de… 10 000 attaques par jour et par serveur. Dans les logs, nous comptabilisons deux types d’événements. ECHEC, c’est-à-dire quand l’utilisateur existe, mais que le mot de passe est faux. ECHEC_USER_INVALIDE, quand l’utilisateur n’existe pas sur le serveur (le serveur ferme la connexion avant même de demander un mot de passe).
Voici un tableau récapitulatif des tentatives sur chacun des VPS :
Plus de 11 000 IP différentes, certaines attaquent les 7 VPS
…
Suite de l’article réservé aux abonnés : https://next.ink/227914/nous-avons-laisse-sept-vps-sur-internet-ils-sont-attaques-10-000-fois-par-jour-en-moyenne/
Sans suprise, le trio root, admin et user arrive en tête.
