Nous avons laissé sept VPS sur Internet, ils sont attaqués 10 000 f…

Selon Next INpact, nous avons laissé sept VPS sur Internet, ils sont attaqués 10 000 fois par jour en moyenne.

Very Strange Service
Un serveur, fraîchement installé et à peine connecté sur Internet, n’a que quelques dizaines de secondes de répit avant une première tentative d’accès frauduleux. Puis, la tempête ne s’arrête jamais, avec en moyenne plus de 10 000 tentatives par jour.

Depuis plusieurs semaines, nous nous sommes lancés dans des tests et comparatifs de VPS (serveur privé virtuel). Nous en avons profité pour les laisser tourner, à vide ou presque. Ils sont dans leur configuration par défaut, avec le système d’exploitation installé lors de la livraison.

Quatre semaines plus tard, nous récupérons les logs des sept serveurs pour analyser les tentatives de connexion sur le port 22, celui pour SSH (Secure Shell). Ce dernier est « une méthode permettant d’envoyer, de manière sécurisée, des commandes à un ordinateur sur un réseau non sécurisé », rappelle Cloudflare. Via des logiciels comme PuTTY, par exemple, on peut se connecter à distance sur un serveur et réaliser toutes les opérations que l’on souhaite.

IBM précise que de son côté que « la plupart des robots automatisés tentent de se connecter à votre serveur SSH sur le port 22 en tant que root avec diverses combinaisons de force brute et de dictionnaire afin d’accéder à vos données ». Une connexion à distance en « root » laisdevrait êtreit l’intégralité de votre serveur à la merci des pirates.

Entre 6 500 et 14 000 tentatives par jour, en moyenne

Avez-vous un ordre d’idée du nombre de tentatives de connexion que subissent des serveurs sur Internet ? Selon nos mesures sur 25 jours d’expérimentation, la moyenne est aux alentours de… 10 000 attaques par jour et par serveur. Dans les logs, nous comptabilisons deux types d’événements. ECHEC, c’est-à-dire quand l’utilisateur existe, mais que le mot de passe est faux. ECHEC_USER_INVALIDE, quand l’utilisateur n’existe pas sur le serveur (le serveur ferme la connexion avant même de demander un mot de passe).

Voici un tableau récapitulatif des tentatives sur chacun des VPS :

Plus de 11 000 IP différentes, certaines attaquent les 7 VPS

Le serveur qui a subi le moins d’attaques est celui de helloserv, avec 163 000 sur 25 jours, soit 6 516 par jour en moyenne. Le plus élevé est chez Hetzner et LWS, avec respectivement 313 245 et 346 334 tentatives sur la même période, soit une moyenne quasiment deux fois plus élevée de 12 529 et 13 853 attaques par jour.

Au total, plus de 11 000 IP différentes se sont attaquées à nos différents serveurs. En tête de la « diversité » des attaquants, pas moins de 4 109 IP différentes ont tenté de se connecter à notre serveur OVHcloud, sans succès évidemment. Sur la totalité des IP qui ont tenté de se connecter, 7 700 l’ont fait sur deux serveurs, près de 2 000 sur trois VPS, et seulement quelques dizaines sont visibles sur 6 ou 7 serveurs.

Root, admin et user : le trio gagnant

Passons maintenant aux noms d’utilisateurs (disponibles dans les logs des serveurs). Sans surprise, root arrive en tête, avec une marge plus que confortable sur le reste du classement : admin, user, ubuntu, test, oracle, postgres, debian, guest, sol, mysql, git, solana, hadoop, centos, pi, ftpuser, backup, solv et déploy pour compléter le top 20.

Pour finir, nous avons regardé le temps avant la première attaque, une fois le VPS démarré pour la première fois. C’est-à-dire la durée entre la première tentative d’accès frauduleuse une fois que le VPS a pu être livré par l’hébergeur. Celui-ci est court : entre 10 secondes et 30 minutes, selon les cas.

Les VPS sont donc attaqués au bout de moins de 30 secondes pour LWS, OVHcloud, moins de 20 minutes pour Pusle et Ionos, et moins de 30 minutes pour HelloServ et York.