Accès douteux sur VKS OVH

Chr0my · Février 21, 2016, 1:39pm

Bonjour à tous,

Voilà j’ai profité il y a quelques temps d’une offre OVH pour un petit serveur VKS. J’y avait installé rapidement un serveur lighttpd, mais rien configuré.

Cela fait quelques semaines maintenant que je ne m’y suis pas connecté par faute de temps. Je décide de m’y connecter il y a cinq minutes, et en essayant un petit apt-get update, je remarque cette erreur :

Et je remarque que le fichier n’est pas vide… :

Je décommentes et parvient à lancer la commande.

Je trouve ça suspect, je vais voir dans les logs, et plus particulièrement dans le auth.log:

Nov 6 11:58:59 vks18631 sshd[17385]: Failed password for root from 198.23.147.95 port 50243 ssh2 Nov 6 11:59:01 vks18631 sshd[17387]: Address 198.23.147.95 maps to host.colocrossing.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT! Nov 6 11:59:01 vks18631 sshd[17387]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=198.23.147.95 user=root Nov 6 11:59:03 vks18631 sshd[17387]: Failed password for root from 198.23.147.95 port 50394 ssh2 Nov 6 11:59:04 vks18631 sshd[17389]: Address 198.23.147.95 maps to host.colocrossing.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT! Nov 6 11:59:04 vks18631 sshd[17389]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=198.23.147.95 user=root Nov 6 11:59:06 vks18631 sshd[17389]: Failed password for root from 198.23.147.95 port 50593 ssh2 Nov 6 11:59:10 vks18631 sshd[17391]: Address 198.23.147.95 maps to host.colocrossing.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!

Je vois également d’autres accès root toutes les heures, réussies. Par contre XX.XX.XX.XX est mon accès:

Nov 7 07:27:01 vks18631 CRON[17780]: pam_unix(cron:session): session opened for user root by (uid=0) Nov 7 07:27:01 vks18631 CRON[17780]: pam_unix(cron:session): session closed for user root Nov 7 08:27:01 vks18631 CRON[17795]: pam_unix(cron:session): session opened for user root by (uid=0) Nov 7 08:27:01 vks18631 CRON[17795]: pam_unix(cron:session): session closed for user root Nov 7 09:27:01 vks18631 CRON[17810]: pam_unix(cron:session): session opened for user root by (uid=0) Nov 7 09:27:01 vks18631 CRON[17810]: pam_unix(cron:session): session closed for user root Nov 7 10:27:01 vks18631 CRON[17825]: pam_unix(cron:session): session opened for user root by (uid=0) Nov 7 10:27:01 vks18631 CRON[17825]: pam_unix(cron:session): session closed for user root Nov 7 10:58:33 vks18631 sshd[17834]: Accepted password for root from XX.XX.XX.XX port 31354 ssh2 Nov 7 10:58:33 vks18631 sshd[17834]: pam_unix(sshd:session): session opened for user root by (uid=0)

Il est vrai que je n’ai rien paramétré du tout sur ce serveur, j’attendais d’avoir un peu de temps pour moi, mais je crois qu’il va falloir que je le sécurise un peu… Qu’en pensez-vous?

quelques infos supplémentaires:

uname -a Linux vks18631 2.6.32-042stab059.7 #1 SMP Tue Jul 24 19:12:01 MSK 2012 x86_64 GNU/Linux

Edit: il semblerait que ce soit cette tâche cron qui soit à l’origine de la connexion :

Nov 7 09:07:01 vks18631 -- MARK -- Nov 7 09:27:01 vks18631 -- MARK -- Nov 7 09:27:01 vks18631 /USR/SBIN/CRON[17811]: (root) CMD (cd / && run-parts --report /etc/cron.hourly) Nov 7 09:47:01 vks18631 -- MARK -- Nov 7 10:07:02 vks18631 -- MARK -- Nov 7 10:27:01 vks18631 /USR/SBIN/CRON[17826]: (root) CMD (cd / && run-parts --report /etc/cron.hourly) Nov 7 10:47:01 vks18631 -- MARK -- Nov 7 11:00:33 vks18631 crontab[17915]: (root) LIST (root) Nov 7 11:18:05 vks18631 crontab[18248]: (root) LIST (root) Nov 7 11:27:01 vks18631 /USR/SBIN/CRON[18429]: (root) CMD (cd / && run-parts --report /etc/cron.hourly)
Rien de malheureux alors?

agentsteel · Février 21, 2016, 1:39pm

apparemment tu as eu des tentatives de bruteforce sur le port SSH.
(pense à installer fail2ban)

les accès root pour CRON, c’est tout à fait normal.

par contre, pour ton fichier apt.conf, c’est un peu inquiétant!
(je n’en sais pas plus)

Niloo · Février 21, 2016, 1:39pm

Par sécurité, à ta place je réinstallerai ton vks.
Enchaine ensuite par une bonne phase de renforcement de la sécurité.

Si besoin d’aide n’hésite pas.

loreleil · Février 21, 2016, 1:39pm

Salut,

proxy3.anonymousblog.info proxy3.anonymousblog.info has address 62.75.211.32

[quote]inetnum: 62.75.208.0 - 62.75.211.255
netname: BSB-SERVICE-1
descr: BSB-SERVICE - Virtual dedicated Server-Hosting
country: DE
org: ORG-BSBS1-RIPE
admin-c: NPA10-RIPE
tech-c: NPA10-RIPE
remarks: rev-srv: ptr1.intergenia.de
remarks: rev-srv: ptr2.intergenia.de
status: ASSIGNED PA
remarks: Abuse-Contact:
mnt-by: INTERGENIA-MNT
source: RIPE # Filtered
remarks: rev-srv attribute deprecated by RIPE NCC on 02/09/2009

organisation: ORG-BSBS1-RIPE
org-name: B S B - Service GmbH
org-type: OTHER
descr: Internet-Hoster
remarks: BSB Service GmbH is part of intergenia AG
address: Daimlerstr.9-11
address: 50354 Huerth
address: Germany
phone: +49 2233 612-0
fax-no: +49 2233 612-144
admin-c: NPA10-RIPE
tech-c: NPA10-RIPE
mnt-ref: INTERGENIA-MNT
mnt-by: INTERGENIA-MNT
source: RIPE # Filtered

role: NMC PlusServer AG
address: PlusServer AG
address: Daimlerstr. 9-11
address: 50354 Huerth
phone: +49 1801 119991
fax-no: +49 2233 612-53500
abuse-mailbox:
remarks:
remarks: ********************************************************
remarks: * PLEASE READ CAREFULLY: *
remarks: * and choose the right addresses for contacting our *
remarks: * staff. *
remarks: * This will fasten up processing your request ! *
remarks: ********************************************************
remarks: * ABUSE-Complaints are only handled at: *
remarks: * *
remarks: ********************************************************
remarks: * Auskunftsersuchen gemaess TKG werden nur unter *
remarks: * Fax: +49 2233 612 5150 *
remarks: * bearbeitet! *
remarks: ********************************************************
remarks: * Informational Contact: *
remarks: * or plusserver.de *
remarks: ********************************************************
remarks:
remarks: ********************************************************
remarks: * If you have a routing-related request you *
remarks: * may contact us at : *
remarks: * Phone: +49 1801 119 991 *
remarks: * Fax: +49 2233 612 53500 *
remarks: * *
remarks: ********************************************************
remarks:
admin-c: JBPS-RIPE
tech-c: OHPS-RIPE
tech-c: CDPS-RIPE
tech-c: ADPS-RIPE
nic-hdl: NPA10-RIPE
mnt-by: INTERGENIA-MNT
source: RIPE # Filtered

route: 62.75.128.0/17
descr: Plusserver AG
origin: AS8972
mnt-by: INTERGENIA-MNT
mnt-lower: INTERGENIA-MNT
source: RIPE # Filtered[/quote]

Chr0my · Février 21, 2016, 1:39pm

De toute façon je n’ai encore rien d’installé dessus, donc il n’y a rien qui craint.
Cela me rassure pour le cron, je n’étais pas sûr.

Je pensais justement me servir de ce serveur pour tester mes compétences en sécurité, ça tombe bien

Malheureusement je n’ai pas de temps à y consacrer pour le moment, peut-être que les semaines futures seront plus tranquilles.

Pour le moment, j’ai désactivé lighttpd, et vu le mot de passe cela m’étonnerai qu’il puisse être “bruteforcé”. Mais bon, on ne sait jamais. Je vais essayer de prendre le temps pour fail2ban.

Je vais également jeter un oeil du côté du proxy, je ne sais pas comment il a pu arriver là. Je vous tiendrai au courant si jamais je remarque d’autres choses étranges .