Intrusion sur mon serveur par SSH - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 28-11-2012 à 00:20:31
qu'il parvienne à se connecter qu'une seule seconde O_o
je pense que c'est un bot..
au cas où, j'aurais changé le port standard d'écoute du serveur ssh (22->?)
Je laisse ma place aux admins en sécurité
Marsh Posté le 28-11-2012 à 08:36:00
C'est plutôt un bot qui test les couples login / mot de passe courant par défaut.
Et effectivement fail2ban est un premier début pour limiter ce genre de désagrément.
Marsh Posté le 28-11-2012 à 13:25:16
Nous ce qu'on fait, au niveau de notre pare-feu, c'est qu'on active les règles d'accès distant au besoin. Quand on a terminé, on la désactive.
Après, j'avoue que c'est pas forcement jouable dans toutes les structures.
Marsh Posté le 28-11-2012 à 14:27:08
Je pense aussi que c'est un bot, mais il n'a fait qu'une tentative avec le bon username et s'est connecté tout de suite, signe qu'il avait le mot de passe, ce qui est étrange (mot de passe fort et unique, utilisé uniquement par moi pour SSH)
Il s'est reconnecté 3 fois 5 min le lendemain "a la main" et a tenté sudo, il a aussi changé le mot de passe. Pas moyen de savoir s'il a fait autre chose de néfaste ?
Marsh Posté le 28-11-2012 à 16:57:19
à mon avis il faut que tu sortes au plus vite ton serveur du réseau pour analyse, en tout cas.
Marsh Posté le 28-11-2012 à 16:58:13
Misssardonik a écrit : à mon avis il faut que tu sortes au plus vite ton serveur du réseau pour analyse, en tout cas. |
+1
Marsh Posté le 12-12-2012 à 17:59:22
bon deja ce que tu doit faire :
tape sur google " liste des port" et tu prend un port quin 'est pas désigné par un service ( 2222 par exemple )
ensuite edit ton fichier conf :
vim /etc/ssh/sshd_config
desactive l'autentification root et change le port par default (22)
ensuite tu elabore ta connexion ssh avec clé RSA > 2048 bits minimum
Sur ce site tu a les procedure :
http://tux-security.forums-actifs.com/f2-tutorial
le principe reste le meme que se soit du windows ou linux car on utilise dans tous les cas openssh sur windows
Marsh Posté le 27-11-2012 à 22:53:42
Bonjour a tous,
En lisant le log secure de SSH, je me suis rendu compte qu'un individu malveillant avait réussi a se connecter sur ma machine CentOs.
Ce qui est bizarre c'est qu'il a tenté plein de usernames, comme si il connaissait le mot de passe.
(le username est très faible : o, mais le mot de passe était assez fort)
Nov 21 23:18:34 raid0 sshd[1403]: input_userauth_request: invalid user nwsham
Nov 21 23:18:34 raid0 sshd[1400]: pam_unix(sshd:auth): check pass; user unknown
Nov 21 23:18:34 raid0 sshd[1400]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=host-62-24-184-241.as13285.net
Nov 21 23:18:34 raid0 sshd[1400]: pam_succeed_if(sshd:auth): error retrieving information about user nwsham
Nov 21 23:18:35 raid0 sshd[1400]: Failed password for invalid user nwsham from 62.24.184.241 port 55197 ssh2
Nov 21 23:18:36 raid0 sshd[1403]: Received disconnect from 62.24.184.241: 11: Bye Bye
Nov 21 23:18:37 raid0 sshd[1404]: Invalid user nwworkshop from 62.24.184.241
Nov 21 23:18:37 raid0 sshd[1407]: input_userauth_request: invalid user nwworkshop
Nov 21 23:18:38 raid0 sshd[1404]: pam_unix(sshd:auth): check pass; user unknown
Nov 21 23:18:38 raid0 sshd[1404]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=host-62-24-184-241.as13285.net
Nov 21 23:18:38 raid0 sshd[1404]: pam_succeed_if(sshd:auth): error retrieving information about user nwworkshop
Nov 21 23:18:40 raid0 sshd[1404]: Failed password for invalid user nwworkshop from 62.24.184.241 port 55276 ssh2
Nov 21 23:18:40 raid0 sshd[1407]: Received disconnect from 62.24.184.241: 11: Bye Bye
Nov 21 23:18:42 raid0 sshd[1408]: Invalid user nxuser from 62.24.184.241
Nov 21 23:18:42 raid0 sshd[1411]: input_userauth_request: invalid user nxuser
Nov 21 23:18:43 raid0 sshd[1408]: pam_unix(sshd:auth): check pass; user unknown
Nov 21 23:18:43 raid0 sshd[1408]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=host-62-24-184-241.as13285.net
Nov 21 23:18:43 raid0 sshd[1408]: pam_succeed_if(sshd:auth): error retrieving information about user nxuser
Nov 21 23:18:44 raid0 sshd[1408]: Failed password for invalid user nxuser from 62.24.184.241 port 55359 ssh2
Nov 21 23:18:45 raid0 sshd[1411]: Received disconnect from 62.24.184.241: 11: Bye Bye
Nov 21 23:18:47 raid0 sshd[1412]: Accepted password for o from 62.24.184.241 port 55451 ssh2
]Nov 21 23:18:48 raid0 sshd[1412]: pam_unix(sshd:session): session opened for user o by (uid=0)
Nov 21 23:18:48 raid0 sshd[1416]: Received disconnect from 62.24.184.241: 11: Bye Bye
Nov 21 23:18:48 raid0 sshd[1412]: pam_unix(sshd:session): session closed for user o
Comme je suis un boulet en administration système, j'ai fermé la connexion distante ssh et changé le mot de passe en attendant de mettre a jour ma machine point de vue
sécurité (j'ai vu des tutos sur fail2ban etc..)
Si vous pouviez m'éclairer sur 2 questions :
* Comment l'attaquant peut il connaitre le mot de passe sans le username, d’habitude dans un brute-force c'est l'inverse non ?
* Il s'est reconnecté quelques fois avant que je ferme le tunnel, comment puis je pister ses actions sur ma machine, le log bash étant largement périmé ?
Message édité par pipotronic le 27-11-2012 à 22:58:51