y a t-il traces, d'un changement de mdp ou/et de tranfert de données ?

Nicoo · Le 12/04/2013, à 18:40

Bonjour,
Il y a quelques jours un de mes pc à subit une intrusion, le mdp de l'utilisateur a été changé. J'ai l'ip et la date de quand cela a été fait. Vu que c'est un ordinateur du même réseau que moi, j'ai contacté le responsable pour voir si on a un petit malin ici, ou si son pc a servi comme ricochet...

le mdp n'a pas été un gros problème vu que je me log automatiquement et que root n'est pas accessible depuis l'extérieur... donc j'ai rectifié la chose. maintenant ce qui est TRES gênant c'est que j'ai en ce moment dans le dossier utilisateur des photocopies de documents administratifs... je pense pas que l'on puisse en tirer des sous, mais les histoires de vol d'identité ça, ça peut aller beaucoup plus loin...

donc si vous aviez la moindre idée des log que je pourrais fouiller pour avoir la trace de quand mon mdp a été changé, ça m'aiderait à prouver l'intrusion à caractère malveillant...

Si également, on peut essayer de trouver une trace des infos qui ont circulé...

je me fait pas beaucoup d'illusions mais je voulais demander quand même...

tiramiseb · Le 13/04/2013, à 08:12

Salut,

Pas de trace de transfert de données, peut-être des traces de changement de mot de passe je n'en suis pas certain.
En tout cas tu as des traces des connexions dans le fichier /var/log/auth.log, ça peut être un bon point de départ.

tiramiseb · Le 13/04/2013, à 12:17

pour remédier à ce genre d' intrusion une bonne fois pour toute [...]

Pour remédier à une telle intrusion une fois une machine "corrompue", une seule solution : réinstaller. On ne sait jamais ce qui a pu être fait.

Concernant "la méthode Debian" vs "la méthode Ubuntu", c'est juste une histoire d'approche différente, la "méthode Ubuntu" permettant de n'avoir à connaître qu'un seul mot de passe.

Si le compte utilisateur a été pénétré par découverte du mot de passe, c'est que celui-ci n'était pas assez sécurisé (et que le mot de passe "root" n'est probablement lui aussi pas assez sécurisé).
S'il a été corrompu d'une autre manière (et que le "pirate" ne connait donc pas le mot de passe), aucun risque pour root, même avec la "méthode Ubuntu".

Nicoo · Le 13/04/2013, à 22:48

@tiramiseb : j'ai effectivement la date des deux connexions et les ip.

@whoies : chez moi pas de sudo, donc impossible d'accéder à root. J'ai voulu que ce soit comme ça.

@tiramiseb : comme tu l'as dit, "on ne sait pas ce qui a été fait", j'ai d'ailleurs depuis une semaine (avant cet incident) environ travaillé sur un autre pc pour refaire deux linux par disque dur, avec comme objectif de les blinder... et j'avais pendant quelques heures (48H je pense) désactiver iptables sur la machines qui a été forcée... comme quoi, le réseau n'est absolument pas sur... d'ailleurs je n'ai pas encore discuté de tout ça avec notre technicien...

@whoies : je n'aime pas sudo et j'ai interdit toute connexion à root par ssh, d'ailleurs il est même impossible de se connecter par ssh depuis un utilisateur lambda à un utilisateur kapa.

Maintenant ce que je peu également dire, j'ai deux utilisateurs "normaux" en plus de root, un seul a été forcé. J'avoue être inquiet quand même, car j'ai énormément de documents administratifs scannés vu que j'avais refait tous mes papiers pour rester à l'étranger... j'espère que c'était juste un gars qui cherchait à s'amuser. Maintenant je tape la commande

last | less

environ toute les heures...

edit : si j'avais désactivé iptables c'est parce qu'en faisant des tests de différents dm je me suis rendu compte que mes règles d'iptables bloquait certains dm...

Dernière modification par Nicoo (Le 13/04/2013, à 23:01)

Pseudo supprimé · Le 14/04/2013, à 11:30

Vu que c'est un ordinateur du même réseau que moi

c'est quelqu'un de ton entourage. un collègue de boulot un peu curieux ... à mon avis

mettre un mot de passe au niveau du bios, pour éviter l'accès physique et le hack par LiveCD.

Nicoo · Le 14/04/2013, à 17:46

whoies a écrit :

ces ip sont locales ? alors l' intru est un de tes collègues.

l'une l'est l'autre est roumaine, mais elles étaient connectées à mon pc en même temps à moins de cinq minutes près, idem pour les heures où elles se sont déconnectés. En fait c'est une résidence universitaire, pour exemple, si je regarde dans "l'onglet réseau de thunar" je vois parfois pas mal de pc, et ils ne sont pas tous à moi ... pour moi une ip locale ne signifie pas forcément qu'une personne ici l'est fait, mais elle a bien pu être elle même hackée... mais je pense, que si l'intrusion vient d'ici, les techniciens du réseau doivent avoir une trace...

whoies a écrit :

comment a t' il eu connaissance du mot de passe user ? avec un logiciel ?

moi je pense que c'est un script qui a tourné par ssh... comme la machine en question ne me sert normallement qu'en client, là j'en avais besoin genre 2min en sshd, et (permière erreur) une fois finit j'avais oublié de desactiver le serveur, (deuxième erreur) j'avais desactivé iptables en restant connecté au réseau... pour le mdp j'avoue ne pas trop me fouler non plus, ça peut être considéré comme la pire des erreurs, mais les fichiers administratifs ne sont pas sur cette machine habituellement, là ce fut un cas d'urgence... et je ne les avait pas déplacé une fois finit, comme je travail sur la réinstallation de tout mes systèmes, j'attendais que ma future installation soit pleinemment opérationnelle et sécurisée pour effectuer la migration... champion du monde sur ce coup là!...

whoies a écrit :

y a t' il des "faussaires" dans ton entourage ?

il y a déjà eu beaucoup de chose dans mon entourage, et je sais qu'au Québec, le vol d'identité est un peu une sorte de sport national (genre un second hockey)... il est très facil de piquer l'identité d'un citoyen ici (pour sensibiliser leurs politiciens à ce problème, une équipe de télé est aller récupérer les données de leur premier ministre )... maintenant moi je suis étranger donc, je sais pas si ça peut vraiment être interessant...

whoies a écrit :

à l' avenir tu les mettras dans un truecrypt.

à l'avenir je vais respecter ce que je m'étais fixé comme protocole, c-à-d ne jamais laisser de fichiers sensibles sur un disque dur connecté en permanence et jamais à une machine elle même connectée au net...

Titouan a écrit :

c'est quelqu'un de ton entourage. un collègue de boulot un peu curieux ... à mon avis
mettre un mot de passe au niveau du bios, pour éviter l'accès physique et le hack par LiveCD.

en tout cas si j'arrive à savoir qui c'est, ça va peut être lui coûter cher... ici personne n'a accès à mon pc physiquement... éventuellement entrer dans ma piole quand je vais pisser... mais là... j'ai pas non plus les codes secrets de la bombe à crotte nord coréenne...

Dernière modification par Nicoo (Le 14/04/2013, à 18:26)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 12/04/2013, à 18:40

y a t-il traces, d'un changement de mdp ou/et de tranfert de données ?

#2 Le 13/04/2013, à 08:12

Re : y a t-il traces, d'un changement de mdp ou/et de tranfert de données ?

#3 Le 13/04/2013, à 12:17

Re : y a t-il traces, d'un changement de mdp ou/et de tranfert de données ?

#4 Le 13/04/2013, à 22:48

Re : y a t-il traces, d'un changement de mdp ou/et de tranfert de données ?

#5 Le 14/04/2013, à 11:30

Re : y a t-il traces, d'un changement de mdp ou/et de tranfert de données ?

#6 Le 14/04/2013, à 17:46

Re : y a t-il traces, d'un changement de mdp ou/et de tranfert de données ?

Pied de page des forums