Page 1 sur 4

Tentative de connexion suspect !

Publié : 03 janv. 2023, 20:55
par Matthias
Bonsoir à tous,

Je rencontre un problème depuis 1 semaine.
J'ai quelques devices qui ont réagit spontanément ce qui a attiré mon attention.
Mon installation est stable depuis plusieurs années. Mon domoticz est hébergé sur un rpi3b+.
Je me suis donc intéressé au log et j'observe ce type d'erreur :
2023-01-03 15:47:21.491 Error: Failed login attempt from 192.168.0.254 for user 'xxx-001' !
Or cet utilisateur que j'appelle ici "xxx-001" n'est plus utilisé dans ma domotique depuis un moment.
J'ai observé le même type d'erreur avec mon user "xxx-002" et "xxx-003" avec des Failed login à des heures improbables où je suis certain ne pas avoir cherché à me connecter.

Depuis j'ai supprimé le user xxx-001 et malgré cela j'observe toujours des tentatives de connexion avec cet identifiant.

Mon domoticz est en https avec identifiant et mot de passe. Le port ouvert n'est pas le 443.
Cependant j'ai du faire une boulette car j'avais remarqué surement dû à une mauvaise manip que ma redirection de port sur le 8080 avait été réactivée. Depuis je l'ai fermé mais les tentatives continues toujours.

Pensez vous qu'il puisse s'agir d'un piratage ?
Que me recommanderiez vous de faire ?

Merci de votre aide.

Re: Tentative de connexion suspect !

Publié : 03 janv. 2023, 21:16
par Keros
Je viens de déplacer ton sujet dans le forum dédié aux connexions internet.

Qu'est-ce que tu veux dire par des "devices qui ont réagit spontanément" ?

C'est possible que ça vienne de l'extérieur même si tu as remplacé les ports par défauts. Pour moi, la redirection de port n'est pas une solution sécurisée.

Tu n'as pas des objets DIY avec EspEasy ou Tasmota qui pourraient également tenter de se connecter ?

Sinon, il y aurait la solution fail2ban qui pourrait te limiter ces tentatives.

Re: Tentative de connexion suspect !

Publié : 03 janv. 2023, 21:33
par Neutrino
Quand j'ai des tentatives de connexion, j'ai l'IP externe qui s'affiche.
Ici, ça ressemble à une IP de ton LAN.
Quelle est l'appareil qui s'appelle 192.168.0.254 ?

Et Fail2ban fait très bien le ménage.

Re: Tentative de connexion suspect !

Publié : 03 janv. 2023, 21:44
par Matthias
Cet IP correspond à ma freebox.
Pourquoi se connecterait elle avec les identifiants de mes utilisateurs domoticz ???

Infos supplémentaires, j'ai installé il y a 1 semaine un logiciel que je n'aurai pas dû qui a infecté un de mes PC (no comment, je me suis déjà puni pour ça...)

Re: Tentative de connexion suspect !

Publié : 03 janv. 2023, 21:48
par Keros
Tu n'as pas de VM dans ta Freebox qui pourraient encore être infectées ?

Re: Tentative de connexion suspect !

Publié : 03 janv. 2023, 21:50
par Matthias
Il y a juste un disque dur avec des photos et des vidéos.

Re: Tentative de connexion suspect !

Publié : 03 janv. 2023, 21:56
par Neutrino
Ton domoticz est en DMZ ?

Re: Tentative de connexion suspect !

Publié : 03 janv. 2023, 21:58
par Matthias
Non

Re: Tentative de connexion suspect !

Publié : 04 janv. 2023, 20:47
par higgins91
Matthias a écrit : 03 janv. 2023, 21:44 Infos supplémentaires, j'ai installé il y a 1 semaine un logiciel que je n'aurai pas dû qui a infecté un de mes PC (no comment, je me suis déjà puni pour ça...)
Si le logiciel a envoyé des infos sensible a son auteur il se peut qu'il se fasse "plaisir" en essayant de pourrir ton SI et ton domoticz...
A part demander à changer d'IP y'a plus qu'a se blinder coté sécurité réseau. La freebox a déjà un firewall très performant mais c'est sur qu'une redirection n'est pas l'idéal de la sécurité.
Pour palier, install failtobin pour bloquer les ip, change tes login/mot de passe de Dz et au passage le port publique de redirection vers un port exotique (genre 24197 ou 75842 suivant la plage de port qui t'es attribuée)

Re: Tentative de connexion suspect !

Publié : 04 janv. 2023, 20:50
par Matthias
Aujourd'hui, ma femme m'a appelé au travail parce que notre bar s'est allumé tout seul 2 fois de suite (zigbee).
On a aussi eu un spot extérieur (Wifi)

Quand je regarde les logs du device du bar, je vois : "Admin" avec l'IP du RPI sur lequel se trouve domoticz.
L'ordre ne vient donc pas de nos portables respectifs car dans ce cas nous voyons notre nom d'utilisateur.

Je n'ai pas d'utilisateur avec la désignation "Admin". Je ne comprends donc pas d'où vient cet ordre.

J'avais mis dans le menu "paramètres" de domoticz des adresses IP locales pour lesquelles on ne demande pas d'authentification.
C'est uniquement quand on se connecte de cette façon là que "Admin" apparait dans les logs. Mais personne ne se sert du dashboard à part moi.

J'ai donc enlevé ces adresses IP pour forcer l'identification même en local.

Est-ce possible de se faire attaquer comme ça ?