Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 05/02/2022, à 15:43

blueduck

[Résolu] Tentatives d'intrusion SSH et RDP

Bonjour,

En utilisant la commande lastb sur un de mes serveurs, j'obtiens la sortie suivante (extrait) :

ubuntu   ssh:notty    192.168.10.1     Sat Feb  5 15:10 - 15:10  (00:00)
ubuntu   ssh:notty    192.168.10.1     Sat Feb  5 15:03 - 15:03  (00:00)
ftpuser  ssh:notty    192.168.10.1     Sat Feb  5 14:52 - 14:52  (00:00)
ubuntu   ssh:notty    192.168.10.1     Sat Feb  5 14:47 - 14:47  (00:00)
ubuntu   ssh:notty    192.168.10.1     Sat Feb  5 14:30 - 14:30  (00:00)
ubuntu   ssh:notty    192.168.10.1     Sat Feb  5 14:22 - 14:22  (00:00)
root     ssh:notty    192.168.10.1     Sat Feb  5 14:12 - 14:12  (00:00)
test     ssh:notty    192.168.10.1     Sat Feb  5 14:10 - 14:10  (00:00)
root     ssh:notty    192.168.10.1     Sat Feb  5 13:59 - 13:59  (00:00)
root     ssh:notty    192.168.10.1     Sat Feb  5 13:58 - 13:58  (00:00)
root     ssh:notty    192.168.10.1     Sat Feb  5 13:55 - 13:55  (00:00)
admin    ssh:notty    192.168.10.1     Sat Feb  5 13:44 - 13:44  (00:00)
admin    ssh:notty    192.168.10.1     Sat Feb  5 13:44 - 13:44  (00:00)
root     ssh:notty    192.168.10.1     Sat Feb  5 13:43 - 13:43  (00:00)
tomcat   ssh:notty    192.168.10.1     Sat Feb  5 13:32 - 13:32  (00:00)

Je précise que j'ai changé le port SSH par défaut, et que je n'ai pas de port forwarding sur mon routeur qui conduise à ce serveur.

Ce qui m'intrigue, c'est que l'adresse d'origine correspond à un VPS dont je me sers comme serveur OpenVPN. J'ai essayé dessus lastcomm mais, aux heures indiquées, je ne trouve pas de commandes ssh, sftp, scp, rsync... seulement des systemd-udevd et des openvpn.

J'ai fait un who et un last, mais je ne vois aucune connexion suspecte.

Je me demande quelles investigations je devrais mener sur le VPS pour comprendre ces tentatives de connexion ? L'adresse d'origine signifie-t-elle que c'est depuis le VPS lui-même que sont initiées les tentatives, ou peut-il s'agir d'un autre client VPN dont les tentatives seraient routées par le VPS ?

Cordialement,

Blue Duck

Dernière modification par blueduck (Le 06/02/2022, à 16:36)


Poste de travail : Kubuntu « Impish Indri » 22.10 64 bits - AMD Ryzen 3900X @ 3.8 GHz - Palit GeForce RTX 2070 Super
Serveur domestique : Ubuntu Server « Jammy Jellyfish » 22.04.1 LTS 64 bits - Intel Core i5 2400S @ 2.5 GHz

Hors ligne

#2 Le 05/02/2022, à 18:45

bruno

Re : [Résolu] Tentatives d'intrusion SSH et RDP

Bonjour,

La commande lastb montre les tentatives de connexions échouées. Sur un serveur exposé sur Internet, il y a des centaines de tentatives de ce type. Ce sont des attaques par force brute avec des dictionnaires de noms d'utilisateur / mots de passe. Si le serveur SSH est correctement configuré (changer le port n'apporte aucune sécurité) il n'y a aucune inquiétude à avoir.

Toutes les tentatives sont issues d'une seule adresse IP privée : 192.168.10.1. Si c'est effectivement l'adresse privée de ton serveur VPN et que ton serveur SSH est dans le me réseau privé, les tentatives peuvent venir de n'importe quel client qui se connecte à ton VPN, aussi bien que du serveur VPN lui-même (s'il a été compromis). Il faut donc examiner les logs  du serveur VPN.

#3 Le 06/02/2022, à 14:35

blueduck

Re : [Résolu] Tentatives d'intrusion SSH et RDP

Bonjour bruno, et merci pour ta réponse.

Je vais vérifier une nouvelle fois la configuration SSH du serveur.

Concernant le VPS, je n'ai pas de connexion suspecte dans auth.log, ni dans les sorties de who, last et lastb : est-ce que je peux raisonnablement écarter qu'il soit compromis ?

Si je pars alors de l'hypothèse que les tentatives viennent d'un client du VPN, comment puis-je surveiller les communications que le VPS (en tant que serveur OpenVPN) relaie ? J'ai pensé à wireshark, ou bien à des règles de logging iptables : mais peut-être y a-t-il d'autres outils à utiliser en première intention ?

Cordialement,

Blue Duck

Dernière modification par blueduck (Le 08/02/2022, à 11:11)


Poste de travail : Kubuntu « Impish Indri » 22.10 64 bits - AMD Ryzen 3900X @ 3.8 GHz - Palit GeForce RTX 2070 Super
Serveur domestique : Ubuntu Server « Jammy Jellyfish » 22.04.1 LTS 64 bits - Intel Core i5 2400S @ 2.5 GHz

Hors ligne

#4 Le 06/02/2022, à 15:02

bruno

Re : [Résolu] Tentatives d'intrusion SSH et RDP

blueduck a écrit :

Je vais vérifier une nouvelle fois la configuration SSH du serveur.

Le mieux serait de nous montrer cette configuration. Et d'expliquer en détail ta configuration réseau et le rôle de ce serveur VPN.

blueduck a écrit :

Concernant le VPS, je n'ai pas de connexion suspecte dans auth.log, ni dans les sorties de who, last et lastb : est-ce que je peux raisonnablement écarter qu'il soit compromis ?

Non.

blueduck a écrit :

Si je pars alors de l'hypothèse que les tentatives viennent d'un client du VPN, comment puis-je surveiller les communications que le VPS (en temps que serveur OpenVPN) relaie ? J'ai pensé à wireshark, ou bien à des règles de logging iptables : mais peut-être y a-t-il d'autres outils à utiliser en première intention ?

Je ne suis pas assez calé en VPN pour répondre.
Les logs d’authentification des clients sont dans syslog ou dans openvpn.log. Si les paquets sont retransmis par des règles iptables tu dois effectivement pouvoir les mettre dans les logs. Mais je ne sais pas si le trafic issu des clients est enregistré en détail quelque part.

#5 Le 06/02/2022, à 16:31

blueduck

Re : [Résolu] Tentatives d'intrusion SSH et RDP

Problème réglé, c'était une mauvaise configuration du firewall sur le VPS, des connexions arrivant sur l'interface externe étaient routées vers celle du VPN :

Feb  6 15:27:19 vpsXXXXXX kernel: [258528.703364] [UFW ALLOW] IN=ens3 OUT=tap0 SRC=185.156.72.5 DST=192.168.10.17 LEN=52 TOS=0x02 PREC=0x00 TTL=111 ID=10333 DF PROTO=TCP SPT=58251 DPT=3389 WINDOW=8192 RES=0x00 CWR ECE SYN URGP=0
Feb  6 15:42:49 vpsXXXXXX kernel: [259458.722109] [UFW ALLOW] IN=ens3 OUT=tap0 SRC=143.198.171.44 DST=192.168.10.60 LEN=60 TOS=0x00 PREC=0x00 TTL=40 ID=27856 DF PROTO=TCP SPT=56108 DPT=22 WINDOW=64240 RES=0x00 SYN URGP=0

Ce qui montre au passage qu'il n'y a pas que mon serveur qui était ciblé, mais aussi mon poste de travail et son bureau à distance. Et que contrairement à ce que je pensais, le port SSH du serveur est toujours sur 22.

La règle par défaut pour la chaîne FORWARD était sur ALLOW au lieu de DENY.

Je laisse un peu tourner les logs, mais UFW enregistre maintenant des choses comme cela :

Feb  6 16:08:16 vpsXXXXXX kernel: [260985.379868] [UFW BLOCK] IN=ens3 OUT=tap0 SRC=159.89.83.255 DST=192.168.10.60 LEN=60 TOS=0x00 PREC=0x00 TTL=44 ID=62352 DF PROTO=TCP SPT=34218 DPT=22 WINDOW=29200 RES=0x00 SYN URGP=0
Feb  6 16:14:18 vpsXXXXXX kernel: [261347.450898] [UFW BLOCK] IN=ens3 OUT=tap0 SRC=185.156.72.5 DST=192.168.10.17 LEN=48 TOS=0x00 PREC=0x00 TTL=112 ID=11177 DF PROTO=TCP SPT=43611 DPT=3389 WINDOW=8192 RES=0x00 SYN URGP=0

Cordialement,

Blue Duck

Dernière modification par blueduck (Le 07/02/2022, à 08:27)


Poste de travail : Kubuntu « Impish Indri » 22.10 64 bits - AMD Ryzen 3900X @ 3.8 GHz - Palit GeForce RTX 2070 Super
Serveur domestique : Ubuntu Server « Jammy Jellyfish » 22.04.1 LTS 64 bits - Intel Core i5 2400S @ 2.5 GHz

Hors ligne