Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[Sécurité Réseau] Accès illégal au SSH! (Résolu)
View unanswered posts
View posts from last 24 hours

Goto page 1, 2  Next  
Reply to topic    Gentoo Forums Forum Index French
View previous topic :: View next topic  
Author Message
digimag
Guru
Guru


Joined: 14 May 2005
Posts: 451
Location: Toulouse, France

PostPosted: Thu Jan 12, 2006 12:35 pm    Post subject: [Sécurité Réseau] Accès illégal au SSH! (Résolu) Reply with quote

Bonjour,

Je suis tout simplement stupefait:
Code:
Jan  7 09:47:44 [sshd]
[...]
 Invalid user rpcuser from 219.117.232.218
Jan  7 09:47:46 [sshd] Invalid user rpc from 219.117.232.218
Jan  7 09:47:48 [sshd] Invalid user gopher from 219.117.232.218
Jan  7 10:53:01 [sshd] Accepted keyboard-interactive/pam for root from 194.199.224.99 port 14354 ssh2
8O Ce n'est pas l'IP qui scannait, la 219.117.232.218, je m'en fiche mais 194.199.224.99... Là, je ne comprends plus rien!!! La seule personne qui a le mot de passe est moi. Moi, j'ai un FAI sous le nom d'Alice et mon IP commence toujours par 83 (ou défois 82 je crois)! Jamais je n'aurai pu avoir ceci comme IP. De plus, juste après il y a ma connection:
Code:
Jan  7 10:53:01 [sshd] Accepted keyboard-interactive/pam for root from 194.199.224.99 port 14354 ssh2
Jan  7 13:27:08 [sshd] Accepted publickey for root from 83.157.23.27 port 57043 ssh2
Alors, c'est un mistère pour moi. Que dois-je faire maintenant? Et puis, suis-je tellement vulnérable? :roll: Je ne comprends pas comment cela est-ce possible...

Regardez d'où vient l'IP en question...

Personnellement, j'habite à Marseille. Mais l'adresse IP en question est là et bien là, vous pouvez faire un ping dessus, alors qu'actuellement mon IP a déjà changé! :cry: Ce n'est pas moi dans tous les cas, derrière cette IP...
_________________
Sacha


Last edited by digimag on Tue Jan 17, 2006 5:35 pm; edited 1 time in total
Back to top
View user's profile Send private message
coco-loco
Apprentice
Apprentice


Joined: 30 Oct 2005
Posts: 249

PostPosted: Thu Jan 12, 2006 12:54 pm    Post subject: Reply with quote

A ta place, je changerai tout de suite de mot de passe. Mets quelque chose de compliqué, avec des majuscules, miniscules et des chiffres et lettres mélangés. C'est peut être quelqu'un qui fait tourner un programme pour craquer les mots de passe - si c'est trop simple, ça se déchiffre ne moins de deux.
Back to top
View user's profile Send private message
kernelsensei
Bodhisattva
Bodhisattva


Joined: 22 Feb 2004
Posts: 5619
Location: Woustviller/Moselle/FRANCE (49.07°N;7.02°E)

PostPosted: Thu Jan 12, 2006 12:56 pm    Post subject: Reply with quote

Mhh, juste par curiosité, ton ancien mot de passe root (car tu l'as changé je pense) avait combien de caracteres ? Et quoi comme ? Tu alternais alpha et num ? Majuscules / Minuscules et caracteres speciaux ?

N'empeche si il a reussi du premier coup, le mot de passe a du etre intercepté d'une maniere ou d'une autre, car sinon on aurait constaté une attaque bruteforce ... (a moins qu'il ait eu du pot et que ton mdp etait le premier de sa liste !)
_________________
$ ruby -e'puts " .:@BFegiklnorst".unpack("x4ax7aaX6ax5aX15ax4aax6aaX7ax2aX5aX8 \
axaX3ax8aX4ax6aX3aX6ax3ax3aX9ax4ax2aX9axaX6ax3aX2ax4ax3aX4aXaX12ax10aaX7a").join'
Back to top
View user's profile Send private message
dapsaille
Advocate
Advocate


Joined: 02 Aug 2004
Posts: 2366
Location: Paris

PostPosted: Thu Jan 12, 2006 1:01 pm    Post subject: Reply with quote

coco-loco wrote:
A ta place, je changerai tout de suite de mot de passe. Mets quelque chose de compliqué, avec des majuscules, miniscules et des chiffres et lettres mélangés. C'est peut être quelqu'un qui fait tourner un programme pour craquer les mots de passe - si c'est trop simple, ça se déchiffre ne moins de deux.


Je ne suis pas d'accord ... si le système a été pénétré en plus sans brute force , le mec doit savoir ce qu'il fait donc dès qu'il est rentré tu peux etre sur a 90% que le système est plombé ...
Back to top
View user's profile Send private message
kernelsensei
Bodhisattva
Bodhisattva


Joined: 22 Feb 2004
Posts: 5619
Location: Woustviller/Moselle/FRANCE (49.07°N;7.02°E)

PostPosted: Thu Jan 12, 2006 1:06 pm    Post subject: Reply with quote

dapsaille wrote:
coco-loco wrote:
A ta place, je changerai tout de suite de mot de passe. Mets quelque chose de compliqué, avec des majuscules, miniscules et des chiffres et lettres mélangés. C'est peut être quelqu'un qui fait tourner un programme pour craquer les mots de passe - si c'est trop simple, ça se déchiffre ne moins de deux.


Je ne suis pas d'accord ... si le système a été pénétré en plus sans brute force , le mec doit savoir ce qu'il fait donc dès qu'il est rentré tu peux etre sur a 90% que le système est plombé ...


+1

Reinstall complete et si necessaire, recuperation des data utilisées en les passant a la loupe ! ;)
_________________
$ ruby -e'puts " .:@BFegiklnorst".unpack("x4ax7aaX6ax5aX15ax4aax6aaX7ax2aX5aX8 \
axaX3ax8aX4ax6aX3aX6ax3ax3aX9ax4ax2aX9axaX6ax3aX2ax4ax3aX4aXaX12ax10aaX7a").join'
Back to top
View user's profile Send private message
coco-loco
Apprentice
Apprentice


Joined: 30 Oct 2005
Posts: 249

PostPosted: Thu Jan 12, 2006 1:16 pm    Post subject: Reply with quote

Après réfléction, je suis d'accord, pas de trace de brute force.

Mais si c'est intercepté... serait-il assez bête pour utiliser le même mot de passe pour différents accès (peut-être même le internet-banking?), dans ce cas, il faut réagir vite, sinon...
Back to top
View user's profile Send private message
Talosectos
Guru
Guru


Joined: 31 Aug 2004
Posts: 329
Location: Bugey-Libre

PostPosted: Thu Jan 12, 2006 1:40 pm    Post subject: Reply with quote

C'est bizzarre, tu nous dit que tu es de marseille est l'ip est à peu près au même endroit. Ne serait-ce pas une personne que tu connais? Voila ce que donne whois.
_________________
Comité de lutte contre le language sms et les fautes volontaires
Utilisez la fonction recherche !
Back to top
View user's profile Send private message
kernelsensei
Bodhisattva
Bodhisattva


Joined: 22 Feb 2004
Posts: 5619
Location: Woustviller/Moselle/FRANCE (49.07°N;7.02°E)

PostPosted: Thu Jan 12, 2006 1:43 pm    Post subject: Reply with quote

en effet ... renater c'est pas un reseau de fac en france ? Tu te serais pas connecté de ta fac / ecole / ... ?
_________________
$ ruby -e'puts " .:@BFegiklnorst".unpack("x4ax7aaX6ax5aX15ax4aax6aaX7ax2aX5aX8 \
axaX3ax8aX4ax6aX3aX6ax3ax3aX9ax4ax2aX9axaX6ax3aX2ax4ax3aX4aXaX12ax10aaX7a").join'
Back to top
View user's profile Send private message
Adrien
Advocate
Advocate


Joined: 13 Jul 2004
Posts: 2310
Location: Bretagne

PostPosted: Thu Jan 12, 2006 1:56 pm    Post subject: Reply with quote

kernel_sensei wrote:
en effet ... renater c'est pas un reseau de fac en france

Renater c'est un groupe qui s'occupe (entre autres peut-être) de surveiller le traffic qu'il y a sur la totalité du réseau auquel sont connectées toutes les facs de France.
edit: C'est aussi le nom du réseau apparemment... :)
Back to top
View user's profile Send private message
Talosectos
Guru
Guru


Joined: 31 Aug 2004
Posts: 329
Location: Bugey-Libre

PostPosted: Thu Jan 12, 2006 2:07 pm    Post subject: Reply with quote

Adrien wrote:
kernel_sensei wrote:
en effet ... renater c'est pas un reseau de fac en france

Renater c'est un groupe qui s'occupe (entre autres peut-être) de surveiller le traffic qu'il y a sur la totalité du réseau auquel sont connectées toutes les facs de France.
edit: C'est aussi le nom du réseau apparemment... :)

tout à fait : Lien
Le groupe, ce serait pas plutôt le CERT-Renater
_________________
Comité de lutte contre le language sms et les fautes volontaires
Utilisez la fonction recherche !
Back to top
View user's profile Send private message
Adrien
Advocate
Advocate


Joined: 13 Jul 2004
Posts: 2310
Location: Bretagne

PostPosted: Thu Jan 12, 2006 2:11 pm    Post subject: Reply with quote

Talosectos wrote:
Le groupe, ce serait pas plutôt le CERT-Renater

Oui c'est ça, mais les informaticiens du coin disent juste "renater" :wink:
Back to top
View user's profile Send private message
-KuRGaN-
Veteran
Veteran


Joined: 05 Dec 2004
Posts: 1142
Location: Besançon (25) [FRANCE]

PostPosted: Thu Jan 12, 2006 2:50 pm    Post subject: Reply with quote

Mais pourquoi encore utilisé des mots de passe pour SSH, je comprend pas. Le système par echange de clès est quand même beaucoup plus sécurisé non?
Back to top
View user's profile Send private message
_droop_
l33t
l33t


Joined: 30 May 2004
Posts: 957

PostPosted: Thu Jan 12, 2006 2:54 pm    Post subject: Reply with quote

Sinon,

Bon, je vais pas repondre spécifiquement à ce threads, je vais essayer de donner quelques conseils pour un ssh accessible par internet :
- désactiver l'accès root (et s'assurer que les mot de passes utilisateurs sont assez compliqués, avec cracklib par exemple : http://www.gentoo.org/doc/fr/security/security-handbook.xml?part=1&chap=7).
- désactiver le protocole 1 (il me semble qu'il y a des problèmes dans son design).
- si possible modifier le port d'ecoute (ça évites nombre de bots).
- option : utiliser un script de détection de force brute (style fail2ban).

Voilà, çà me parait un bon début (si vous en avez d'autres, n'hésitez pas)...

Bonne journée.
Back to top
View user's profile Send private message
digimag
Guru
Guru


Joined: 14 May 2005
Posts: 451
Location: Toulouse, France

PostPosted: Thu Jan 12, 2006 3:03 pm    Post subject: Reply with quote

:evil: Un long soupir.

C'est pour la première fois que j'ai un truc pareil. Les faits:
  • Mon mot de passe était sous la forme de xxxxXXXX (xxxx sont des lettres minuscules différentes et XXXX sont des chiffres différents). De toute façon, je viens de le changer par un autre beaucoup plus difficile: plus de dix caractères (je dis pas combien ;) ), chiffres, minuscules,majuscules,caractères spéciaux...
  • Ce même mot de passe était présent sur mon ordinateur personnel (lui aussi déjà changé) auquel je me suis connecté une fois depuis le collège via Putty; à l'époque, je n'avais même pas le serveur dédié en question
  • Ce mot de pas n'a jamais été communiqué à qui que ce soit
  • Je me suis connecté avec le mot de passe assez souvent au serveur dédié, depuis pas longtemps j'utilise une clef publique. Cependant, et ça c'est tout un autre problème, le fichier de configuration SSH précise qu'une connection par mot de passe n'est pas permise, or, SSH ignore cela! Je m'en suis aperçu dès que j'ai modifié la configuration, mais je n'ai pas creusé pour savoir pourquoi mes paramètres n'étaient pas pris en compte, je me suis dit que ça sera paranoïque.
  • Le serveur est mis à jour manuellement chaques 24 heures.
  • Rien n'a été changé sur le serveur. En tout cas, rien d'éffacé, rien de modifié apparament. J'ai remarqué juste un accès aux fichiers de portage.


Coup de guele

Non...

Ah enfin!!! Je me suis rappellé... Je suis un âne

Roooh... Autant de stress pour rien.

Mais oui, j'étais au collège, je me suis connecté au serveur pour mettre à jour portage... Mais oui...

Et moi qui part à la recherche du pirate qui s'appelle Digimag...

Ah, toutes mes excuses! Et moi je m'imaginais déjà des services secrets frannçais éspionner je ne sais qui et je ne sais pourquoi! Et moi qui allait porter plainte contre X se trouvant derrière 194.199.224.99... Et moi qui allait mettre un mot de passe dans Grub du serveur à distance et crypter le contenu des disques durs, ayant perdu toute confiance en soi et en tout autre humain...

Bon, je m'en arrête là. Juste avant de mettre (Résolu), que conseilerez-vous pour plus de sécurité? J'ai lu pas mal des guides sur le SSH mais cela était, franchement, assez compliqué... Clef publique, clef privée, tunnel, et toutes ces choses là que je n'ai pas compris. Je vais y revenir, je comprendrai, il faut juste que je réflechisse, mais en attendant, suis-je assez protégé? Je vous en prie, faites tous vos tests imaginables sur 213.251.165.178, je pense que le serveur tiendra bon. En tout cas j'étais fier d'avoir réussi à mettre un par-feu (iptables) avec des régles qui empêchent le DOS.

Bref, merci! Au moins, j'ai appris à quel réseau mon collège appartenait!
Back to top
View user's profile Send private message
_droop_
l33t
l33t


Joined: 30 May 2004
Posts: 957

PostPosted: Thu Jan 12, 2006 3:08 pm    Post subject: Reply with quote

Ouf :)

Comme je le disais au dessus, ne te connectes jamais directement en root sur une machine, après on met du temps à trouver qui l'a fait (surtout qand il y a plusieurs administrateurs).

Sinon, regarde un peu ce que j'ai mis au dessus, je suis sûr que des âmes charitables vont venir completer celà...
Back to top
View user's profile Send private message
digimag
Guru
Guru


Joined: 14 May 2005
Posts: 451
Location: Toulouse, France

PostPosted: Thu Jan 12, 2006 3:11 pm    Post subject: Reply with quote

_droop_ wrote:
Ouf :)

Comme je le disais au dessus, ne te connectes jamais directement en root sur une machine, après on met du temps à trouver qui l'a fait (surtout qand il y a plusieurs administrateurs).

Sinon, regarde un peu ce que j'ai mis au dessus, je suis sûr que des âmes charitables vont venir completer celà...
Merci à toi, ce message était surement arrivé pendant que je saisissais ;)
Back to top
View user's profile Send private message
-KuRGaN-
Veteran
Veteran


Joined: 05 Dec 2004
Posts: 1142
Location: Besançon (25) [FRANCE]

PostPosted: Thu Jan 12, 2006 3:13 pm    Post subject: Reply with quote

Pub=on
J'ai fait un petit tuto pour SSH avec les deux types de configurations (clefs et mot de passe), si ça interresse quelq'un !!
Pub=off

:lol: :lol:
Back to top
View user's profile Send private message
Enlight
Advocate
Advocate


Joined: 28 Oct 2004
Posts: 3519
Location: Alsace (France)

PostPosted: Thu Jan 12, 2006 4:26 pm    Post subject: Reply with quote

Quote:
Jan 7 09:47:46 [sshd] Invalid user rpc from 219.117.232.218
Jan 7 09:47:48 [sshd] Invalid user gopher from 219.117.232.218


Par contre celui-là, ça sent le script-kiddie qui essaye les bonnes vieilles bacdors d'une autre époque. Qui fait un how-to "comment défoncer la gu... au batard qui a essayé de me bruteforcer?" :mrgreen:
Back to top
View user's profile Send private message
boozo
Advocate
Advocate


Joined: 01 Jul 2004
Posts: 3193

PostPosted: Thu Jan 12, 2006 8:33 pm    Post subject: Reply with quote

k_s wrote:
N'empeche si il a reussi du premier coup, le mot de passe a du etre intercepté d'une maniere ou d'une autre, car sinon on aurait constaté une attaque bruteforce ... (a moins qu'il ait eu du pot et que ton mdp etait le premier de sa liste !)


c'est criant de vérité :wink: celà dit à moins de mettre un pwd du type "toto1972", c'est vraiment délirant de se faire hacker en oneshot... m^ si la probabilité statistique de trouver en un seul tirage un passwd de +/- 8 caractères +chiffres existe je vous le confère.

sinon avec qqch du genre :

    passroot >10 chiffres + lettres sans signifiaction déductible
    interdire la connection root directe
    autoriser le protocole 2 uniquement
    mettre fail2ban en background


on risque plus grand chose... m^ si tout est possible, celui qui entre sera gaillard qd m^ :twisted:

BTW :
Enlight wrote:
Quote:
Jan 7 09:47:46 [sshd] Invalid user rpc from 219.117.232.218
Jan 7 09:47:48 [sshd] Invalid user gopher from 219.117.232.218


Par contre celui-là, ça sent le script-kiddie qui essaye les bonnes vieilles bacdors d'une autre époque. Qui fait un how-to "comment défoncer la gu... au batard qui a essayé de me bruteforcer?" :mrgreen:


en voilà une idée sympatique... :D qui de surcroit permettrait d'apprendre plein de choses à n'en pas douter :wink:

bon les geeks là... oui oui les vrais... au fond du forum qui grommèlent tout le temps... va falloir arrêter d'en promettre hein ?! va falloir en donner ! :mrgreen:

ps: je parse mes logs... si y'en a qui se sentent l'humeur badine sur le pwd... oui oui je sais qu'y'en a qui vont y penser :P
_________________
" Un psychotique, c'est quelqu'un qui croit dur comme fer que 2 et 2 font 5, et qui en est pleinement satisfait.
Un névrosé, c'est quelqu'un qui sait pertinemment que 2 et 2 font 4, et ça le rend malade ! "
Back to top
View user's profile Send private message
bulki
Guru
Guru


Joined: 25 Nov 2004
Posts: 529
Location: SiliconValley

PostPosted: Thu Jan 12, 2006 8:47 pm    Post subject: Reply with quote

Je vois une ou l'autre solution à ça:

- en tout cas pas du brute force ;) (pas besoin d'être ingénieur pour dire ça)
- Open-ssh avec trojan ?
- Tu as subit une attaque par man in the middle ? (par downgrade par exemple, si le serveur accepte aussi le sshv1,5)
- Tu avais un soft qui présentait une faille de sécurité ? (Comme Squid, ou autre) et le type aurait modifié ton login.sh dans le but d'avoir ton pass à postériori.
- Tu t'es connecté sur ta machine en faisant du tunneling et tu t'en rappelles plus ?

Bon, dans le cas où tu as un soft qui donne un des privilèges root, il va peut-être falloir remettre ton système à jour, changer le mdp ne servirai à rien :S... essaie d'utiliser des chrootkits (qui recherches des rootkits éventuels sur ta bécane). Si tu en trouves un, tu peux tout réinstaller le système, parce que c'est quasiment impossible de l'irradier totalement...

bonne chance

+
Back to top
View user's profile Send private message
kernelsensei
Bodhisattva
Bodhisattva


Joined: 22 Feb 2004
Posts: 5619
Location: Woustviller/Moselle/FRANCE (49.07°N;7.02°E)

PostPosted: Thu Jan 12, 2006 9:11 pm    Post subject: Reply with quote

@bulki : Il s'est connecté de l'école pour mettre sa gentoo a jour, il s'en est souvenu ! (voir quelques posts au dessus !)
_________________
$ ruby -e'puts " .:@BFegiklnorst".unpack("x4ax7aaX6ax5aX15ax4aax6aaX7ax2aX5aX8 \
axaX3ax8aX4ax6aX3aX6ax3ax3aX9ax4ax2aX9axaX6ax3aX2ax4ax3aX4aXaX12ax10aaX7a").join'
Back to top
View user's profile Send private message
bulki
Guru
Guru


Joined: 25 Nov 2004
Posts: 529
Location: SiliconValley

PostPosted: Thu Jan 12, 2006 9:28 pm    Post subject: Reply with quote

kernel_sensei wrote:
@bulki : Il s'est connecté de l'école pour mettre sa gentoo a jour, il s'en est souvenu ! (voir quelques posts au dessus !)


LOL, j'avais pas lu le pavé :P... ça y est, mon identité aux yeux du forum est fouttue :(... :oops:
Back to top
View user's profile Send private message
nuts
Veteran
Veteran


Joined: 10 Jan 2004
Posts: 1630

PostPosted: Thu Jan 12, 2006 10:20 pm    Post subject: Reply with quote

c'est pas prudent de laisser ssh avec un acces root direct. malgré que ssh soit secure, on sait jamais.
_________________
nuts
PC: AMD Phenom 2 bi-core 555 + Asus M4A77T/USB3 + 2Go de RAM + wifi Ralink RT61 + Radeon HD 3450 - Disque dur 500Go.
SGI Octane ip30 R10000
Back to top
View user's profile Send private message
digimag
Guru
Guru


Joined: 14 May 2005
Posts: 451
Location: Toulouse, France

PostPosted: Sun Jan 15, 2006 1:32 pm    Post subject: Reply with quote

Ça y est, tout parametré, ça roule! Il me semble que j'ai tout bien configuré... contre les ataques (DOS nottament). Si ça vous tente, vous pouvez me tester à ce numéro de téléphone: 213.251.165.178 :lol:

P.S. Juste un truc... SSH ne veut pas m'écouter quand je lui dis de ne pas accepter les conenctions par mot de passe (par contre pour le reste de la config, ça marche parfaitement)...
Code:
PasswordAuthentication no
Je peux toujours me connecter avec le mot de passe, sans clef publique.
Back to top
View user's profile Send private message
kernelsensei
Bodhisattva
Bodhisattva


Joined: 22 Feb 2004
Posts: 5619
Location: Woustviller/Moselle/FRANCE (49.07°N;7.02°E)

PostPosted: Sun Jan 15, 2006 2:03 pm    Post subject: Reply with quote

Tu aurais pas UsePAM yes par hasard ?
_________________
$ ruby -e'puts " .:@BFegiklnorst".unpack("x4ax7aaX6ax5aX15ax4aax6aaX7ax2aX5aX8 \
axaX3ax8aX4ax6aX3aX6ax3ax3aX9ax4ax2aX9axaX6ax3aX2ax4ax3aX4aXaX12ax10aaX7a").join'
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index French All times are GMT
Goto page 1, 2  Next
Page 1 of 2

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum