Sébastien Dinot a écrit :
Bonjour, ----- Mail original -----Ça ne sert strictement à rien.Je ne serais pas aussi péremptoire : sur l'un des serveurs que j'administre, deux instances de SSH sont en écoute sur des ports différents pour des raisons techniques ; celle qui est sur le port standard est bien plus sollicitée que celle qui écoute sur un port non standard.
Ça, à mon avis, c'est parce qu'il existe déjà une instance qui écoute sur le port standard et que les bots ne s'emmerdent pas. Je parle de machines qui ne peuvent pas écouter sur le port standard car sur du WIMAX qui a son port 22 réservé à l'administration par le FAI du modem (et qui ne répond que sur quelques IP bien précises). Franchement, je ne vois pas la différence entre ces machines et mes machines en salles blanches directement sur le réseau filaire. Les volumes des attaques sont très similaires.
Pour la petite histoire, j'ai un NetBSD sur une connexion WIMAX et je me suis amusé à regarder ce qui passait _sans_ firewall. Tous les ports sont scannés et lorsqu'il y a une bannière SSH qui passe, les attaquants se concentrent sur ce port. Je me suis même amusé à émuler un SSH façon honeypot, c'est fou ce qu'on attrape comme mouches.
J'ai aussi constaté que si je mets mon fake-SSH sur un port inférieur à celui du vrai ssh, je chope quasiment toutes les attaques, celles-ci étant faites en incrémentant les ports.
Cordialement, JKB