Tentative de connexion suspect !

Forum dédié à l'accès à DomoticZ depuis l'extérieur de chez vous : routage de ports, VPN, VPS ...
La sécurité, c'est important !!
Matthias
Messages : 264
Inscription : 18 nov. 2018, 09:53

Tentative de connexion suspect !

Message par Matthias »

Bonsoir à tous,

Je rencontre un problème depuis 1 semaine.
J'ai quelques devices qui ont réagit spontanément ce qui a attiré mon attention.
Mon installation est stable depuis plusieurs années. Mon domoticz est hébergé sur un rpi3b+.
Je me suis donc intéressé au log et j'observe ce type d'erreur :
2023-01-03 15:47:21.491 Error: Failed login attempt from 192.168.0.254 for user 'xxx-001' !
Or cet utilisateur que j'appelle ici "xxx-001" n'est plus utilisé dans ma domotique depuis un moment.
J'ai observé le même type d'erreur avec mon user "xxx-002" et "xxx-003" avec des Failed login à des heures improbables où je suis certain ne pas avoir cherché à me connecter.

Depuis j'ai supprimé le user xxx-001 et malgré cela j'observe toujours des tentatives de connexion avec cet identifiant.

Mon domoticz est en https avec identifiant et mot de passe. Le port ouvert n'est pas le 443.
Cependant j'ai du faire une boulette car j'avais remarqué surement dû à une mauvaise manip que ma redirection de port sur le 8080 avait été réactivée. Depuis je l'ai fermé mais les tentatives continues toujours.

Pensez vous qu'il puisse s'agir d'un piratage ?
Que me recommanderiez vous de faire ?

Merci de votre aide.
Cozytouch_v3
Roborock S6
H801 LED
Onkyo AV
RFXCOM (Somfy)
ESPeasy (SonOff)
Zigbee2mqtt (Aqara, Mija, Xiaomi, IKEA, Honeywell)
Broadlink
Foscam - Reolink
Keros
Messages : 6638
Inscription : 23 juil. 2019, 20:57

Re: Tentative de connexion suspect !

Message par Keros »

Je viens de déplacer ton sujet dans le forum dédié aux connexions internet.

Qu'est-ce que tu veux dire par des "devices qui ont réagit spontanément" ?

C'est possible que ça vienne de l'extérieur même si tu as remplacé les ports par défauts. Pour moi, la redirection de port n'est pas une solution sécurisée.

Tu n'as pas des objets DIY avec EspEasy ou Tasmota qui pourraient également tenter de se connecter ?

Sinon, il y aurait la solution fail2ban qui pourrait te limiter ces tentatives.
Comment bien utiliser le forum : Poser une question, Mettre un script, un fichier, une image ou des logs
Mes petits guides : Débuter en programmation, Le débogage, Le choix de matériel, Les sauvegardes
Ma présentation - Mes Tutos
Neutrino
Messages : 2662
Inscription : 10 juil. 2015, 15:42
Localisation : Les Herbiers(85)

Re: Tentative de connexion suspect !

Message par Neutrino »

Quand j'ai des tentatives de connexion, j'ai l'IP externe qui s'affiche.
Ici, ça ressemble à une IP de ton LAN.
Quelle est l'appareil qui s'appelle 192.168.0.254 ?

Et Fail2ban fait très bien le ménage.
Ma maison à plein d'IP ! :mrgreen:
SAV Bonjour. Vous avez vidé le cache ?
Matthias
Messages : 264
Inscription : 18 nov. 2018, 09:53

Re: Tentative de connexion suspect !

Message par Matthias »

Cet IP correspond à ma freebox.
Pourquoi se connecterait elle avec les identifiants de mes utilisateurs domoticz ???

Infos supplémentaires, j'ai installé il y a 1 semaine un logiciel que je n'aurai pas dû qui a infecté un de mes PC (no comment, je me suis déjà puni pour ça...)
Cozytouch_v3
Roborock S6
H801 LED
Onkyo AV
RFXCOM (Somfy)
ESPeasy (SonOff)
Zigbee2mqtt (Aqara, Mija, Xiaomi, IKEA, Honeywell)
Broadlink
Foscam - Reolink
Keros
Messages : 6638
Inscription : 23 juil. 2019, 20:57

Re: Tentative de connexion suspect !

Message par Keros »

Tu n'as pas de VM dans ta Freebox qui pourraient encore être infectées ?
Comment bien utiliser le forum : Poser une question, Mettre un script, un fichier, une image ou des logs
Mes petits guides : Débuter en programmation, Le débogage, Le choix de matériel, Les sauvegardes
Ma présentation - Mes Tutos
Matthias
Messages : 264
Inscription : 18 nov. 2018, 09:53

Re: Tentative de connexion suspect !

Message par Matthias »

Il y a juste un disque dur avec des photos et des vidéos.
Cozytouch_v3
Roborock S6
H801 LED
Onkyo AV
RFXCOM (Somfy)
ESPeasy (SonOff)
Zigbee2mqtt (Aqara, Mija, Xiaomi, IKEA, Honeywell)
Broadlink
Foscam - Reolink
Neutrino
Messages : 2662
Inscription : 10 juil. 2015, 15:42
Localisation : Les Herbiers(85)

Re: Tentative de connexion suspect !

Message par Neutrino »

Ton domoticz est en DMZ ?
Ma maison à plein d'IP ! :mrgreen:
SAV Bonjour. Vous avez vidé le cache ?
Matthias
Messages : 264
Inscription : 18 nov. 2018, 09:53

Re: Tentative de connexion suspect !

Message par Matthias »

Non
Cozytouch_v3
Roborock S6
H801 LED
Onkyo AV
RFXCOM (Somfy)
ESPeasy (SonOff)
Zigbee2mqtt (Aqara, Mija, Xiaomi, IKEA, Honeywell)
Broadlink
Foscam - Reolink
higgins91
Messages : 668
Inscription : 17 nov. 2016, 11:06

Re: Tentative de connexion suspect !

Message par higgins91 »

Matthias a écrit : 03 janv. 2023, 21:44 Infos supplémentaires, j'ai installé il y a 1 semaine un logiciel que je n'aurai pas dû qui a infecté un de mes PC (no comment, je me suis déjà puni pour ça...)
Si le logiciel a envoyé des infos sensible a son auteur il se peut qu'il se fasse "plaisir" en essayant de pourrir ton SI et ton domoticz...
A part demander à changer d'IP y'a plus qu'a se blinder coté sécurité réseau. La freebox a déjà un firewall très performant mais c'est sur qu'une redirection n'est pas l'idéal de la sécurité.
Pour palier, install failtobin pour bloquer les ip, change tes login/mot de passe de Dz et au passage le port publique de redirection vers un port exotique (genre 24197 ou 75842 suivant la plage de port qui t'es attribuée)
Dz version : 2023.2
Rpi 4 avec dongle téléinfo, RFXCom, sondes 1-wire et GPIO
Matthias
Messages : 264
Inscription : 18 nov. 2018, 09:53

Re: Tentative de connexion suspect !

Message par Matthias »

Aujourd'hui, ma femme m'a appelé au travail parce que notre bar s'est allumé tout seul 2 fois de suite (zigbee).
On a aussi eu un spot extérieur (Wifi)

Quand je regarde les logs du device du bar, je vois : "Admin" avec l'IP du RPI sur lequel se trouve domoticz.
L'ordre ne vient donc pas de nos portables respectifs car dans ce cas nous voyons notre nom d'utilisateur.

Je n'ai pas d'utilisateur avec la désignation "Admin". Je ne comprends donc pas d'où vient cet ordre.

J'avais mis dans le menu "paramètres" de domoticz des adresses IP locales pour lesquelles on ne demande pas d'authentification.
C'est uniquement quand on se connecte de cette façon là que "Admin" apparait dans les logs. Mais personne ne se sert du dashboard à part moi.

J'ai donc enlevé ces adresses IP pour forcer l'identification même en local.

Est-ce possible de se faire attaquer comme ça ?
Cozytouch_v3
Roborock S6
H801 LED
Onkyo AV
RFXCOM (Somfy)
ESPeasy (SonOff)
Zigbee2mqtt (Aqara, Mija, Xiaomi, IKEA, Honeywell)
Broadlink
Foscam - Reolink
Répondre