Intrusion sur mon serveur par SSH

Intrusion sur mon serveur par SSH - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 27-11-2012 à 22:53:42    

Bonjour a tous,
 
En lisant le log secure de SSH, je me suis rendu compte qu'un individu malveillant avait réussi a se connecter sur ma machine CentOs.
Ce qui est bizarre c'est qu'il a tenté plein de usernames, comme si il connaissait le mot de passe.
(le username est très faible : o, mais le mot de passe était assez fort)
 
Nov 21 23:18:34 raid0 sshd[1403]: input_userauth_request: invalid user nwsham
Nov 21 23:18:34 raid0 sshd[1400]: pam_unix(sshd:auth): check pass; user unknown
Nov 21 23:18:34 raid0 sshd[1400]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=host-62-24-184-241.as13285.net  
Nov 21 23:18:34 raid0 sshd[1400]: pam_succeed_if(sshd:auth): error retrieving information about user nwsham
Nov 21 23:18:35 raid0 sshd[1400]: Failed password for invalid user nwsham from 62.24.184.241 port 55197 ssh2
Nov 21 23:18:36 raid0 sshd[1403]: Received disconnect from 62.24.184.241: 11: Bye Bye
Nov 21 23:18:37 raid0 sshd[1404]: Invalid user nwworkshop from 62.24.184.241
Nov 21 23:18:37 raid0 sshd[1407]: input_userauth_request: invalid user nwworkshop
Nov 21 23:18:38 raid0 sshd[1404]: pam_unix(sshd:auth): check pass; user unknown
Nov 21 23:18:38 raid0 sshd[1404]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=host-62-24-184-241.as13285.net  
Nov 21 23:18:38 raid0 sshd[1404]: pam_succeed_if(sshd:auth): error retrieving information about user nwworkshop
Nov 21 23:18:40 raid0 sshd[1404]: Failed password for invalid user nwworkshop from 62.24.184.241 port 55276 ssh2
Nov 21 23:18:40 raid0 sshd[1407]: Received disconnect from 62.24.184.241: 11: Bye Bye
Nov 21 23:18:42 raid0 sshd[1408]: Invalid user nxuser from 62.24.184.241
Nov 21 23:18:42 raid0 sshd[1411]: input_userauth_request: invalid user nxuser
Nov 21 23:18:43 raid0 sshd[1408]: pam_unix(sshd:auth): check pass; user unknown
Nov 21 23:18:43 raid0 sshd[1408]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=host-62-24-184-241.as13285.net  
Nov 21 23:18:43 raid0 sshd[1408]: pam_succeed_if(sshd:auth): error retrieving information about user nxuser
Nov 21 23:18:44 raid0 sshd[1408]: Failed password for invalid user nxuser from 62.24.184.241 port 55359 ssh2
Nov 21 23:18:45 raid0 sshd[1411]: Received disconnect from 62.24.184.241: 11: Bye Bye
Nov 21 23:18:47 raid0 sshd[1412]: Accepted password for o from 62.24.184.241 port 55451 ssh2
]Nov 21 23:18:48 raid0 sshd[1412]: pam_unix(sshd:session): session opened for user o by (uid=0)
Nov 21 23:18:48 raid0 sshd[1416]: Received disconnect from 62.24.184.241: 11: Bye Bye
Nov 21 23:18:48 raid0 sshd[1412]: pam_unix(sshd:session): session closed for user o

 
Comme je suis un boulet en administration système, j'ai fermé la connexion distante ssh et changé le mot de passe en attendant de mettre a jour ma machine point de vue
sécurité (j'ai vu des tutos sur fail2ban etc..)
 
Si vous pouviez m'éclairer sur 2 questions :
* Comment l'attaquant peut il connaitre le mot de passe sans le username, d’habitude dans un brute-force c'est l'inverse non ?  
* Il s'est reconnecté quelques fois avant que je ferme le tunnel, comment puis je pister ses actions sur ma machine, le log bash étant largement périmé ?


Message édité par pipotronic le 27-11-2012 à 22:58:51
Reply

Marsh Posté le 27-11-2012 à 22:53:42   

Reply

Marsh Posté le 28-11-2012 à 00:20:31    

qu'il parvienne à se connecter qu'une seule seconde O_o
je pense que c'est un bot..
 
au cas où,  j'aurais changé le port standard d'écoute du serveur ssh (22->?)
Je laisse ma place aux admins en sécurité ;)

Reply

Marsh Posté le 28-11-2012 à 08:36:00    

C'est plutôt un bot qui test les couples login / mot de passe courant par défaut.
 
Et effectivement fail2ban est un premier début pour limiter ce genre de désagrément.


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Reply

Marsh Posté le 28-11-2012 à 13:25:16    

Nous ce qu'on fait, au niveau de notre pare-feu, c'est qu'on active les règles d'accès distant au besoin. Quand on a terminé, on la désactive.
 
Après, j'avoue que c'est pas forcement jouable dans toutes les structures.


---------------
In my bed, but still_at_work.
Reply

Marsh Posté le 28-11-2012 à 14:27:08    

Je pense aussi que c'est un bot, mais il n'a fait qu'une tentative avec le bon username et s'est connecté tout de suite, signe qu'il avait le mot de passe, ce qui est étrange (mot de passe fort et unique, utilisé uniquement par moi pour SSH)
 
Il s'est reconnecté 3 fois 5 min le lendemain "a la main" et a tenté sudo, il a aussi changé le mot de passe. Pas moyen de savoir s'il a fait autre chose de néfaste ?

Reply

Marsh Posté le 28-11-2012 à 16:57:19    

à mon avis il faut que tu sortes au plus vite ton serveur du réseau pour analyse, en tout cas.

Message cité 1 fois
Message édité par Misssardonik le 28-11-2012 à 16:57:26

---------------
Que va-t-il se passer cette gelgamar ? vous le découvrirez janamont à 20h
Reply

Marsh Posté le 28-11-2012 à 16:58:13    

Misssardonik a écrit :

à mon avis il faut que tu sortes au plus vite ton serveur du réseau pour analyse, en tout cas.


 
+1


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Reply

Marsh Posté le 28-11-2012 à 22:35:43    

Ok, merci pour vos reponses

Reply

Marsh Posté le 12-12-2012 à 17:59:22    

bon deja  ce que tu doit faire :  
 
tape sur google " liste des port" et tu prend  un port quin 'est pas désigné par  un service  ( 2222 par exemple )
 
ensuite edit ton fichier conf :
 
vim /etc/ssh/sshd_config
 
desactive l'autentification root et change le port par default (22)
 
ensuite tu elabore ta connexion ssh avec clé RSA  > 2048 bits minimum
 
Sur ce site tu a les procedure :  
 
http://tux-security.forums-actifs.com/f2-tutorial
 
le principe reste le meme que se soit du windows  ou linux car on utilise dans tous les cas openssh sur windows ;)

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed