Sébastien Dinot a écrit :
Bonjour,
----- Mail original -----
Ça ne sert strictement à rien.
Je ne serais pas aussi péremptoire : sur l'un des serveurs que j'administre,
deux instances de SSH sont en écoute sur des ports différents pour des raisons
techniques ; celle qui est sur le port standard est bien plus sollicitée que
celle qui écoute sur un port non standard.
Ça, à mon avis, c'est parce qu'il existe déjà une instance qui écoute
sur le port standard et que les bots ne s'emmerdent pas. Je parle de
machines qui ne peuvent pas écouter sur le port standard car sur du
WIMAX qui a son port 22 réservé à l'administration par le FAI du modem
(et qui ne répond que sur quelques IP bien précises). Franchement, je ne
vois pas la différence entre ces machines et mes machines en salles
blanches directement sur le réseau filaire. Les volumes des attaques
sont très similaires.
Pour la petite histoire, j'ai un NetBSD sur une connexion WIMAX et je
me suis amusé à regarder ce qui passait _sans_ firewall. Tous les ports
sont scannés et lorsqu'il y a une bannière SSH qui passe, les attaquants
se concentrent sur ce port. Je me suis même amusé à émuler un SSH façon
honeypot, c'est fou ce qu'on attrape comme mouches.
J'ai aussi constaté que si je mets mon fake-SSH sur un port inférieur à
celui du vrai ssh, je chope quasiment toutes les attaques, celles-ci
étant faites en incrémentant les ports.
Cordialement,
JKB