Pages : 1
#1 Le 20/12/2020, à 16:52
- Yoggi
Connexion SSH non désiré depuis mon serveur
Bonjour,
j'ai un petit serveur depuis plus de 5 ans hébergé sur online.
J'ai subi il y a quelque mois des attaques brute force et botnet qui émane de mon serveur.
Du coup online à bloqué mon serveur et mon ip est signalé sur le site https://www.abuseipdb.com/.
N'étant pas expert, j'ai préféré réinstallé mon serveur. Je suis maintenant sur Ubuntu 16.04.7 LTS.
Je me connecte en ssh avec une clé public/privé et j'ai empêché les connexion ssh par mot de passe et changé le port.
Le problème est que j'ai été signalé encore deux fois pour des attaques bruteforce comme vous pouvez le voir :
https://zupimages.net/up/20/51/m46q.jpg
Donc si je comprends bien, c'est bien mon IP qui est responsable des attaques?
Si c'est le cas, comment faire pour m'en débarrasser?
Je peux empêcher mon serveur d'envoyer des demandes de ssh?
Un firewall pourrait servir à quelque chose?
Pour info j'ai formaté mon serveur le 18/12.
Je suis preneur de toutes infos.
Merci
Cordialement
Modération : merci d'utiliser des images de petite taille (300x300) ou des miniatures pointant sur ces images (Des hébergeurs comme Toile Libre ou TDCT'Pix le permettent).
Dernière modification par cqfd93 (Le 20/12/2020, à 17:36)
Hors ligne
#2 Le 20/12/2020, à 17:15
- Vobul
Re : Connexion SSH non désiré depuis mon serveur
T'as quoi d'autre d'installé sur ton serveur ?
Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM
Hors ligne
#3 Le 20/12/2020, à 17:18
- Yoggi
Re : Connexion SSH non désiré depuis mon serveur
Un serveur Quickbox, avec rutorrent et un serveur vsftpd.
Hors ligne
#4 Le 21/12/2020, à 00:36
- Vobul
Re : Connexion SSH non désiré depuis mon serveur
Je vote pour une vulnérabilité dans quickbox. Genre: https://nvd.nist.gov/vuln/detail/CVE-2020-13448
Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM
Hors ligne
#5 Le 21/12/2020, à 09:39
- Yoggi
Re : Connexion SSH non désiré depuis mon serveur
Ok merci Vobul.
J'ai bien compris qu'il y avait une vulnérabilité mais je n'ai pas trouvé comment corrigé ce soucis?
Hors ligne
#6 Le 21/12/2020, à 14:36
- Vobul
Re : Connexion SSH non désiré depuis mon serveur
T'as bien tout mis à jour ?
Tu peux configurer ton serveur pour n'accepter de connexions quickbox que depuis ton ip. Le problème peut également être vsftpd (tu utilises bien TLS pour te connecter hein ?). D'ailleurs t'as pas vraiment besoin d'un serveur ftp, utilise SFTP (SSH) c'est bien mieux !
Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM
Hors ligne
#7 Le 21/12/2020, à 22:30
- Yoggi
Re : Connexion SSH non désiré depuis mon serveur
Merci Vobul pour tes conseil.
Je ne peux pas accepté ou refusé des ip sur quicbox, il faut la version pro.
Vu que mon soucis est le fait que des attaques brute force sont lancé depuis mon serveur, si je désactive ssh, je ne pourrais plus accéder a mon serveur, mais est ce que mon serveur peut lancé des requêtes ssh ?
Pour me connecter a mon serveur, je reboot depuis mon interface client et le serveur ssh doit s'activer par défaut au démarrage si je ne me trompe pas.
Est ce une solution ?
Hors ligne
#8 Le 22/12/2020, à 00:25
- Vobul
Re : Connexion SSH non désiré depuis mon serveur
Tu peux ajouter une règle au firewall pour empêcher des connections sortantes en ssh, mais bon le vrai problème c'est d'utiliser quickbox je pense.
Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM
Hors ligne
#9 Le 22/12/2020, à 09:10
- bruno
Re : Connexion SSH non désiré depuis mon serveur
Le pare-feu ne servira strictement à rien. Il faut trouver comment ton serveur est compromis aussi rapidement. C'est soit une erreur grossière de configuration, soit un service qui comporte une belle faille de sécurité connue et exploitée depuis longtemps. Je ne sait pas ce qu'est quickbox, mais comme cela n'est pas du logiciel libre c'est un bon candidat et @Vobul a bien raison sur ce point.
Ton serveur ayant été compromis tu n'as pas d'autre choix que de réinstaller en cherchant une alternative.
#10 Le 22/12/2020, à 09:14
- xubu1957
Re : Connexion SSH non désiré depuis mon serveur
Conseils pour les nouveaux demandeurs et pas qu'eux
Important : Pensez à passer vos sujets en [Réso|u] lorsque ceux-ci le sont, au début du titre en cliquant sur Modifier sous le premier message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci. Membre de Linux-Azur
En ligne
#11 Le 22/12/2020, à 09:30
- bruno
Re : Connexion SSH non désiré depuis mon serveur
Merci xubu1957, je corrige donc. Quickbox est bien libre par contre le développement ne semble pas très actif et je vois bien le correctif(*) concernant la CVE indiquée par Vobul.
Au vu de l'usine à gaz que cela semble être, je déconseille de l'installer sur un serveur publiquement accessible (en dehors d'un réseau local).
(*) le correctif concerne la configuration de suoders, qui pour moi reste une énorme faille de sécurité : www-data est autorisé à faire plein de choses sans mot de passe
#12 Le 22/12/2020, à 16:35
- Yoggi
Re : Connexion SSH non désiré depuis mon serveur
Merci pour vos infos.
Si je rencontre encore un soucis, oui je chercherais une alternative.
Serait-il possible d'interdire mon serveur de lancer des connexions SSH?
Si je stop le service SSH, je ne peux plus me connecter à mon serveur, ce qui est normal, par contre de mon serveur je peux lancer une connexion ssh vers un autre serveur, c'est ça que je veux interdire.
Hors ligne
#13 Le 22/12/2020, à 17:08
- bruno
Re : Connexion SSH non désiré depuis mon serveur
En l'état actuel non, cela ne servirait à rien. Parce que l'on ne sait pas comment ton serveur est compromis ni jusqu'à quel point.
#14 Le 22/12/2020, à 20:06
- Yoggi
Re : Connexion SSH non désiré depuis mon serveur
OK merci pour toutes vos réponses.
Je vais voir de trouver une autres solutions du coup.
Hors ligne
Pages : 1