Activité anormale sur bbox
Activité anormale sur bbox - Sécurité - Réseaux grand public / SoHo
Marsh Posté le 19-08-2020 à 16:43:59
Est-ce que la caméra se retrouve sur https://www.insecam.org/ ? 
Sinon il peut simplement s'agir d'une tentative d'accès à la caméra par des bots.
Est-ce que celle-ci s'octroie des ouvertures de ports ?
Si tel est le cas, je commencerais par limiter les IP pouvant se connecter à la caméra hors du réseau local.
---------------
-~- Libérez Datoune ! -~- Camarade, toi aussi rejoins le FLD pour que la flamme de la Révolution ne s'éteigne pas ! -~- A VENDRE
Marsh Posté le 19-08-2020 à 17:46:43
| mirtouf a écrit : Est-ce que la caméra se retrouve sur https://www.insecam.org/ ? |
Merci de ta réponse.
Non à priori elle n'est pas sur insecam.
Elle ne s'attribue pas d'autre port que celui nécessaire pour que j'y accède de l'extérieur via un dns dynamique et une redirection de port.
Je penche aussi pour un bot (les log de tentatives de connection sur pi m'ont déjà montré que c'est réel !) . Mais de la à bloquer le bon fonctionnement de certains services de mon réseau !?
Par ailleurs as tu une idée du message Conntrack résiduel ?
Merci
Marsh Posté le 19-08-2020 à 19:45:38
Difficile à dire, il y a plusieurs variables conntrack dans le noyau:
https://www.kernel.org/doc/Document [...] sysctl.txt
Sans doute que la valeur nf_conntrack_max est dépassée en cas d'attaques.
Seul hic, la bbox ne permet pas de modifier cette valeur et en cas de dépassement, cela pose problème, il me semble que les connexions entrantes sont DROP.
---------------
-~- Libérez Datoune ! -~- Camarade, toi aussi rejoins le FLD pour que la flamme de la Révolution ne s'éteigne pas ! -~- A VENDRE
Marsh Posté le 19-08-2020 à 22:42:14
| mirtouf a écrit : Difficile à dire, il y a plusieurs variables conntrack dans le noyau: Sans doute que la valeur nf_conntrack_max est dépassée en cas d'attaques. |
Merci pour toutes tes indications.
J'ai juste à croiser les doigts pour que ça n'arrive plus.
Si je n'avais pas été chez moi pendant longtemps, je n' aurais pas pu éteindre l'abonné incriminé et j'aurais bien été embêté !
Sujets relatifs:
- Asus RT-AX92U derière une Bbox wifi 6 et IPTV
- Bbox Smart TV et prises murales
- Debit max sur Bbox must à 1gb possible ?
- [Résolu] Possible infection sur réseau local (Bbox) ?
- Jeux qui fais désynchroniser la box (bbox)
- Bbox TV via switch WRT54G
- Double NAT Google Wifi & BBOX Miami
- BBox et opérateur immeuble Free Fibre
- Mise en place d'un Wake On Wan (avec Bbox)
- BBOX F@st5330b & ASUS DSL-AC68U (Paramètrage)
Marsh Posté le 19-08-2020 à 16:21:04
Bonjour,
J'espère poster au bon endroit.
Depuis quelques semaines, je constatais sur mon interface de gestion bbox (fibre) un panneau "conntrack trop de trafic" sur la page principale.
Tout fonctionnait bien.
En lien ou pas avec ce phénomène, je constate ce matin que je n'ai plus accès au ssh de deux de mes abonnés (raspberry pi), ni à mes caméras ip.
En allant dans l'interface de gestion / diagnostic / trafic, je vois l'indicateur "sessions" à la taquet et à 108% (?) due à un des abonnés : en l'occurrence l'une des caméras IP.
Je débranche la caméra : le trafic redevient normal et tout le reste du réseau aussi (ssh, caméras,..).
J'ai attendu 1heure avant de rebrancher la caméra : tout est resté normal y compris la caméra incriminée.
L'indicateur 'session' de l'interface de gestion bbox reste très faible, par contre j'ai toujours le message Conntrack sur la page d'accueil.
Pensez vous que ma caméra a subi une attaque ayant provoqué un déni de service?
C'est une cam chinoise (avec login/mdp personnalisés), je n'ignore pas que leurs firmwares sont plein de backdoors, mais c'est la première fois que je rencontre ce phénomène en 20ans.
Merci de vos lumières !