(V6) La box fait des attaques « SSH » en étant éteinte ?!

BENETNATH · Hobbit de L'Univers Inscrit le: 17 Mai 2013 Messages: 3

Bonjour à tous,

Vu que le seul conseil de Free c'est de résilier, je me penche vers le forum pour comprendre ce qu'il se passe avant de changer d'opérateur.

Situation :
- Freebox Revolution - Fibre - IP Full Stack depuis > 5 ans
- Depuis le 16 novembre, mon IP fait des centaines d'attaques SSH sur de nombreux serveurs. Du coup, elle est taggée ainsi sur abuseip (https://www.abuseipdb.com/check/82.64.9.113)

J'ai constaté que de nombreux sites devenaient inaccessibles, vraisemblablement du à ce tag. Première supposition, j'ai un malware ou rootkit dans mon réseau. J'ai donc scanné toutes les machines, téléphones etc... avec Malwarebytes ou rkhunter, rien.

Hier, après discussion avec Free, ils en arrivent à la seule conclusion possible, il faut résilier pour changer votre IP. Et au passage, perdre les avantages sur les lignes mobiles et perdre une offre gigabit à 35€ qui fonctionne très bien au demeurant.

Du coup, j'ai tenté autre chose hier, j'ai tout éteint, tous les postes/Smartphone, et débranché électriquement la Freebox. Et pourtant, cette nuit, les attaques n'ont pas cessé cf abuseIP.

Question :
- Est-il possible d'usurper une IP fixe ?
- Si oui, est-ce qu'il y a une possibilité de le solutionner ?
- Sinon, y a t'il un risque que cela se reproduise en changeant ma ligne chez un autre opérateur ?

Merci à tous de votre aide

*** Modération *** Titre édité *** Modération ***

Curtis Newton

loggoi · Geek de L'Univers Inscrit le: 22 Jan 2007 Messages: 9502

BLACKWOODS · Esprit de L'Univers Inscrit le: 17 Avr 2018 Messages: 348

Bonjour,

BENETNATH · Hobbit de L'Univers Inscrit le: 17 Mai 2013 Messages: 3

Merci pour vos deux retours !

Je vais déjà attendre un peu plus longtemps box éteinte pour effectivement valider que les attaques ne viennent vraiment pas de mon côté. Et si cela persiste, il semble qu'effectivement je doive quitter mon abonnement pour renouveler mon IP.

frederic76

Lorsqu'un site est déclaré à risque, des robots de par ex Google examinent et avertissent si c'est le cas. Ils repassent généralement toutes les 3 semaines env et tant si le proprio du site a remis, il doit attendre la prochaine verif des robots pour ne plus être signalé à risque.

Sans doute un délai assez similaire lorsque attaques... Peut être peux tu régler ta box pour l'usage de VPN, du moins pendant les problèmes.

Après effectivement, surtout en Full Stack, pas moyen de changé d’IP à ma connaissance donc la résiliation etc sont à faire.
_________________
Collectif, c'était mieux avant !

fofomm · Esprit de L'Univers Inscrit le: 03 Mai 2017 Messages: 397

Bonjour,

Tu peux utiliser Wireshark pour scanner l'interface Ethernet ou Wifi pour voir le type de paquets qui transitent.

Si tu as dans la colonne protocol du SSHv2 en masse, c'est que tu as en effet des attaques de ce type.

mm9876 · Hobbit de L'Univers Inscrit le: 08 Juin 2019 Messages: 7

Dites, utilisez-vous un outil pour consulter les sites sur le réseau TOR ?

Il est possible que des gens passent par là pour ensuite utiliser vos machines pour effectuer diverses attaques types DDOS.

BENETNATH · Hobbit de L'Univers Inscrit le: 17 Mai 2013 Messages: 3

J'ai identifié le coupable, c'était bien un service vérolé dans une VM, et les reportings étaient bien à distance des attaques perpétrées, me faisant mal diagnostiquer les sources de problèmes !

Merci de vos retours !

CurtisNewton · Modérateur UF Inscrit le: 25 Juil 2008 Messages: 54098

Bonjour,

Avec du détail, c'est mieux !