Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 20/12/2020, à 16:52

Yoggi

Connexion SSH non désiré depuis mon serveur

Bonjour,
j'ai un petit serveur depuis plus de 5 ans hébergé sur online.
J'ai subi il y a quelque mois des attaques brute force et botnet qui émane de mon serveur.
Du coup online à bloqué mon serveur et mon ip est signalé sur le site https://www.abuseipdb.com/.
N'étant pas expert, j'ai préféré réinstallé mon serveur. Je suis maintenant sur Ubuntu 16.04.7 LTS.
Je me connecte en ssh avec une clé public/privé et j'ai empêché les connexion ssh par mot de passe et changé le port.
Le problème est que j'ai été signalé encore deux fois pour des attaques bruteforce comme vous pouvez le voir :
https://zupimages.net/up/20/51/m46q.jpg

Donc si je comprends bien, c'est bien mon IP qui est responsable des attaques?
Si c'est le cas, comment faire pour m'en débarrasser?
Je peux empêcher mon serveur d'envoyer des demandes de ssh?
Un firewall pourrait servir à quelque chose?

Pour info j'ai formaté mon serveur le 18/12.
Je suis preneur de toutes infos.
Merci

Cordialement


Modération : merci d'utiliser des images de petite taille (300x300) ou des miniatures pointant sur ces images (Des hébergeurs comme Toile Libre ou TDCT'Pix le permettent).

Dernière modification par cqfd93 (Le 20/12/2020, à 17:36)

Hors ligne

#2 Le 20/12/2020, à 17:15

Vobul

Re : Connexion SSH non désiré depuis mon serveur

T'as quoi d'autre d'installé sur ton serveur ?


Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM

Hors ligne

#3 Le 20/12/2020, à 17:18

Yoggi

Re : Connexion SSH non désiré depuis mon serveur

Un serveur Quickbox, avec rutorrent et un serveur vsftpd.

Hors ligne

#4 Le 21/12/2020, à 00:36

Vobul

Re : Connexion SSH non désiré depuis mon serveur

Je vote pour une vulnérabilité dans quickbox. Genre: https://nvd.nist.gov/vuln/detail/CVE-2020-13448


Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM

Hors ligne

#5 Le 21/12/2020, à 09:39

Yoggi

Re : Connexion SSH non désiré depuis mon serveur

Ok merci Vobul.
J'ai bien compris qu'il y avait une vulnérabilité mais je n'ai pas trouvé comment corrigé ce soucis?

Hors ligne

#6 Le 21/12/2020, à 14:36

Vobul

Re : Connexion SSH non désiré depuis mon serveur

T'as bien tout mis à jour ?

Tu peux configurer ton serveur pour n'accepter de connexions quickbox que depuis ton ip. Le problème peut également être vsftpd (tu utilises bien TLS pour te connecter hein ?). D'ailleurs t'as pas vraiment besoin d'un serveur ftp, utilise SFTP (SSH) c'est bien mieux !


Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM

Hors ligne

#7 Le 21/12/2020, à 22:30

Yoggi

Re : Connexion SSH non désiré depuis mon serveur

Merci Vobul pour tes conseil.
Je ne peux pas accepté ou refusé des ip sur quicbox, il faut la version pro.
Vu que mon soucis est le fait que des attaques brute force sont lancé depuis mon serveur, si je désactive ssh, je ne pourrais plus accéder a mon serveur, mais est ce que mon serveur peut lancé des requêtes ssh ?
Pour me connecter a mon serveur, je reboot depuis mon interface client et le serveur ssh doit s'activer par défaut au démarrage si je ne me trompe pas.
Est ce une solution ?

Hors ligne

#8 Le 22/12/2020, à 00:25

Vobul

Re : Connexion SSH non désiré depuis mon serveur

Tu peux ajouter une règle au firewall pour empêcher des connections sortantes en ssh, mais bon le vrai problème c'est d'utiliser quickbox je pense.


Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM

Hors ligne

#9 Le 22/12/2020, à 09:10

bruno

Re : Connexion SSH non désiré depuis mon serveur

Le pare-feu ne servira strictement à rien. Il faut trouver comment ton serveur est compromis aussi rapidement. C'est soit une erreur grossière de configuration, soit un service qui comporte une belle faille de sécurité connue et exploitée depuis longtemps. Je ne sait pas ce qu'est quickbox, mais comme cela n'est pas du logiciel libre c'est un bon candidat et @Vobul a bien raison sur ce point.
Ton serveur ayant été compromis tu n'as pas d'autre choix que de réinstaller en cherchant une alternative.

#10 Le 22/12/2020, à 09:14

xubu1957

Re : Connexion SSH non désiré depuis mon serveur

Bonjour,

@bruno

Pour info > github.com/QuickBox/QB


Conseils pour les nouveaux demandeurs et pas qu'eux
Important : Pensez à passer vos sujets en [Réso|u] lorsque ceux-ci le sont, au début du titre en cliquant sur Modifier sous le premier message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci.                   Membre de Linux-Azur

Hors ligne

#11 Le 22/12/2020, à 09:30

bruno

Re : Connexion SSH non désiré depuis mon serveur

Merci xubu1957, je corrige donc. Quickbox est bien libre par contre le développement ne semble pas très actif et je vois bien le correctif(*) concernant la CVE indiquée par Vobul.
Au vu de l'usine à gaz que cela semble être, je déconseille de l'installer sur un serveur publiquement accessible (en dehors d'un réseau local).

(*) le correctif concerne la configuration de suoders, qui pour moi reste  une énorme faille de sécurité : www-data est autorisé à faire plein de choses sans mot de passe hmm

#12 Le 22/12/2020, à 16:35

Yoggi

Re : Connexion SSH non désiré depuis mon serveur

Merci pour vos infos.
Si je rencontre encore un soucis, oui je chercherais une alternative.

Serait-il possible d'interdire mon serveur de lancer des connexions SSH?
Si je stop le service SSH, je ne peux plus me connecter à mon serveur, ce qui est normal, par contre de mon serveur je peux lancer une connexion ssh vers un autre serveur, c'est ça que je veux interdire.

Hors ligne

#13 Le 22/12/2020, à 17:08

bruno

Re : Connexion SSH non désiré depuis mon serveur

En l'état actuel non, cela ne servirait à rien. Parce que l'on ne sait pas comment ton serveur est compromis ni jusqu'à quel point.

#14 Le 22/12/2020, à 20:06

Yoggi

Re : Connexion SSH non désiré depuis mon serveur

OK merci pour toutes vos réponses.
Je vais voir de trouver une autres solutions du coup.

Hors ligne