Les Dedibox seraient elles plus victimes d'attaques ?

Que ce soit professionnel ou personnel : je gère, à la louche, un parc de 15 serveurs dédiés.
Si je mets de côté les serveurs sous Windows qui sont à eux seuls, à la fois une aberration et une faille de sécurité; je dois m'occuper d'une bonne dizaine de serveurs Linux. Ces serveurs sont variés et tournent sous des Debian Sarge et Etch, des CentOS 5 ou Fedora 5. On peut localiser ce parc par 8 serveurs chez Ikoula et 2 Dedibox.

Après avoir décrit le parc, je vais décrire mes habitudes. Comme je suis conscient que tout le monde il est pas beau et que tout le monde il est pas gentils; j'ai pris l'habitude d'installer fail2ban et logwatch sur mes serveurs.
Le premiers détecte les tentatives d'intrusions par brute force et bloque, pendant une durée X, l'IP de toute personne ayant tenté par 3 fois et sans succès, de se connecter sur un serveur.
Le second est une tâche planifiée qui m'envoie un rapport journalier sur les serveurs.

Maintenant que le décor est planté, ma constatation : Les attaques par brute force ou par tentative d'exploitation de faille CMS ou de forums[1] sur mes 2 Dedibox sont largement supérieures à celles de mes serveurs chez Ikoula voir même supérieures à l'ensemble de toutes les autres machines.

J'ai ouvert un topic sur le sujet chez Dedibox-news et l'explication qu'il m'a été faite me parait à la fois effrayante et réaliste : à 29€ HT, Dedibox démocratise le dédié et n'importe quel clampin peu s'offrir une box sans aucune compétence en administration. Bilan, les IPs Dedibox auraient une réputation plus facile...

[1] Erreur 404 représentant des URLs typiques de script répendu tel que phpMyAdmin, joomla ou autres.

7 réactions

  • De Vanzetti De Vanzetti - 13/09/2007, 01:08 #1

    Il paraitrait meme que les premières install dedibox stockaient le mot de passe root indiqué à l'installation en clair dans une base de données du service technique de Dedibox.
    Le pire, c'est que cette base aurait été volée, d'où certains serveurs piratés.
    cf les archives d'alternc.

    De plus la réponse qu'on t'a donné est totallement véridique. combien de fois par jour on voit sur le channel irc de dedibox des "clampins" qui ne savent pas faire un "ls" ou ne savent même pas ce qu'est un DNS ?

    Et je rajoute que du coup, lorsqu'on prend une dedibox, il y a des possibilité (très fortes) pour tomber sur une ip qui a été blacklité par la majorité des organismes de blacklist.

    Je pense que j'ai tout dit...

  • De LLaumgui De LLaumgui - 13/09/2007, 08:12 #2

    Effectivement, j'ai du déblacklister ma Dedibox.

  • De ED De ED - 13/09/2007, 09:39 #3

    L'argument tient pas vraiment.

    On pourrait reprocher la même chose à OVH dont le réseau est nettement plus gros que celui de Dedibox.

    Or le nombre de scan est assez faible. Pourquoi ? Parce qu'ils ont mis en place des protections. (notamment des serveurs-sondes)

  • De ED De ED - 13/09/2007, 09:47 #4

    Je viens de lire un peu plus en détail le topic.

    {{Calimero a écrit:
    Pourquoi dedibox filtrerait alors que tu peux le faire (et le fais déjà) ?}}
    {{DeLoVaN a écrit:
    Oui, mais d'un point de vue plus rhétorique, ce n'est pas à eux de faire ça.}}

    Ca c'est un argument vraiment stupide.
    Chaque utilisateur doit sécuriser sa machine.
    Et dedibox doit sécuriser son réseau et réagir quand un client est hacké.

  • De TitaX De TitaX - 13/09/2007, 10:55 #5

    Pour ma part, les attaques viennent la pluspart du temps du réseau dedibox et plus particulièrement de mes voisins de mon /24.

    Les machines dédibox sont très souvent administrées par des non initiés qui administrent sous webmin ou autre plesk sans aucune connaissance, sans avoir mis de firewall ( vu que celui-ci n'est pas installer par default sur ubuntu ...</troll> ).

    La solution reste l'utilisation de arptables afin d'isoler sa machine de ses voisines et de ne "voir" que sa passerelle ( il faut donc que l'ip de la passerelle ne change pas ).
    Bien sûr si vous voulez communiquer avec une machine de votre /24 cela reste possible en editant correctement la regle arptables.
    C'est pour moi la solution ultime, après bien sûr pour les attaques extérieures, les admin de dédibox ont font le moins possible et n'interviennent pour faire un tcpdump que lorsque qu'un client pompe trop de BP donc à vous de bien mettre à jour vos scripts.

  • De LLaumgui De LLaumgui - 13/09/2007, 12:21 #6

    Yes effectivement, Ubuntu est aussi responsable à trop vouloir faire human beging ;-).

  • De DecIRC De DecIRC - 16/09/2007, 13:06 #7

    En plus le nombre de dedibox qui servent à des clients torrent (j'ai bien dit clients, pas serveurs).

    C'est effrayant...

    cEd

Attribution - Partage dans les Mêmes Conditions 4.0 International