Accès pirate ?

PmGs · Février 21, 2016, 9:38pm

Bonjour,

dans mon post précédent ( Virus ? ) j’ai conclus avec l’aide de Mimosa que mon compte root a été piraté et ceci a priori le 16/04/15 vers 15h45. Les logs ( auth ) montrent effectivement qqc à cette date mais je ne sais pas les interpréter. Si qq voit qqc merci de le faire savoir. Pour info le PC a pour nom bg1, l’utilisateur normal bernard qui dispose du mdp root mais ne devrait pas l’utiliser sans mon support téléphonique.

Apr 16 15:36:01 bg1 CRON[12840]: pam_unix(cron:session): session closed for user root
Apr 16 15:39:01 bg1 CRON[13435]: pam_unix(cron:session): session opened for user root by (uid=0)
Apr 16 15:39:01 bg1 CRON[13436]: pam_unix(cron:session): session opened for user root by (uid=0)
Apr 16 15:39:01 bg1 CRON[13435]: pam_unix(cron:session): session closed for user root
Apr 16 15:39:01 bg1 CRON[13436]: pam_unix(cron:session): session closed for user root
Apr 16 15:40:20 bg1 sshd[21755]: Received signal 15; terminating.
Apr 16 15:40:20 bg1 sshd[13917]: Server listening on 0.0.0.0 port 22.
Apr 16 15:40:20 bg1 sshd[13917]: Server listening on :: port 22.
Apr 16 15:42:01 bg1 CRON[14385]: pam_unix(cron:session): session opened for user root by (uid=0)
Apr 16 15:42:01 bg1 CRON[14385]: pam_unix(cron:session): session closed for user root
Apr 16 15:44:25 bg1 gdm3][4065]: pam_unix(gdm3:session): session closed for user bernard
Apr 16 15:44:25 bg1 polkitd(authority=local): Unregistered Authentication Agent for unix-session:/org/freedesktop/ConsoleKit/Session2 (system bus name :1.66, object path /org/gnome/PolicyKit1/AuthenticationAgent, locale fr_FR.UTF-8) (disconnected from bus)
Apr 16 15:44:32 bg1 sshd[13917]: Received signal 15; terminating.
Apr 16 15:45:38 bg1 sshd[3686]: Server listening on 0.0.0.0 port 22.
Apr 16 15:45:38 bg1 sshd[3686]: Server listening on :: port 22.
Apr 16 15:45:41 bg1 gdm-welcome][3715]: pam_unix(gdm-welcome:session): session opened for user Debian-gdm by (uid=0)
Apr 16 15:45:41 bg1 gdm-welcome][3715]: pam_ck_connector(gdm-welcome:session): nox11 mode, ignoring PAM_TTY :0
Apr 16 15:45:48 bg1 polkitd(authority=local): Registered Authentication Agent for unix-session:/org/freedesktop/ConsoleKit/Session1 (system bus name :1.48 [/usr/lib/policykit-1-gnome/polkit-gnome-authentication-agent-1], object path /org/gnome/PolicyKit1/AuthenticationAgent, locale fr_FR.UTF-8)
Apr 16 15:45:50 bg1 dbus[2450]: [system] Rejected send message, 2 matched rules; type=“method_call”, sender=":1.49" (uid=114 pid=4011 comm="/usr/lib/gdm3/gdm-simple-greeter “) interface=“org.freedesktop.DBus.Properties” member=“GetAll” error name=”(unset)" requested_reply=“0” destination=":1.17" (uid=0 pid=3088 comm="/usr/sbin/console-kit-daemon --no-daemon “)
Apr 16 15:45:50 bg1 dbus[2450]: [system] Rejected send message, 2 matched rules; type=“method_call”, sender=”:1.49" (uid=114 pid=4011 comm="/usr/lib/gdm3/gdm-simple-greeter “) interface=“org.freedesktop.DBus.Properties” member=“GetAll” error name=”(unset)" requested_reply=“0” destination=":1.17" (uid=0 pid=3088 comm="/usr/sbin/console-kit-daemon --no-daemon “)
Apr 16 15:45:50 bg1 dbus[2450]: [system] Rejected send message, 2 matched rules; type=“method_call”, sender=”:1.49" (uid=114 pid=4011 comm="/usr/lib/gdm3/gdm-simple-greeter “) interface=“org.freedesktop.DBus.Properties” member=“GetAll” error name=”(unset)" requested_reply=“0” destination=":1.17" (uid=0 pid=3088 comm="/usr/sbin/console-kit-daemon --no-daemon “)
Apr 16 15:45:50 bg1 dbus[2450]: [system] Rejected send message, 2 matched rules; type=“method_call”, sender=”:1.49" (uid=114 pid=4011 comm="/usr/lib/gdm3/gdm-simple-greeter “) interface=“org.freedesktop.DBus.Properties” member=“GetAll” error name=”(unset)" requested_reply=“0” destination=":1.17" (uid=0 pid=3088 comm="/usr/sbin/console-kit-daemon --no-daemon “)
Apr 16 15:45:50 bg1 dbus[2450]: [system] Rejected send message, 2 matched rules; type=“method_call”, sender=”:1.49" (uid=114 pid=4011 comm="/usr/lib/gdm3/gdm-simple-greeter “) interface=“org.freedesktop.DBus.Properties” member=“GetAll” error name=”(unset)" requested_reply=“0” destination=":1.17" (uid=0 pid=3088 comm="/usr/sbin/console-kit-daemon --no-daemon ")
Apr 16 15:45:57 bg1 gdm3][4022]: pam_unix(gdm3:auth): authentication failure; logname= uid=0 euid=0 tty=:0 ruser= rhost= user=bernard
Apr 16 15:45:57 bg1 gdm3][4022]: pam_winbind(gdm3:auth): getting password (0x00000388)
Apr 16 15:45:57 bg1 gdm3][4022]: pam_winbind(gdm3:auth): pam_get_item returned a password
Apr 16 15:45:57 bg1 gdm3][4022]: pam_winbind(gdm3:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_USER_UNKNOWN (10), NTSTATUS: NT_STATUS_NO_SUCH_USER, Error message was: No such user
Apr 16 15:46:05 bg1 gdm3][4059]: pam_unix(gdm3:session): session opened for user bernard by (uid=0)
Apr 16 15:46:05 bg1 gdm3][4059]: pam_ck_connector(gdm3:session): nox11 mode, ignoring PAM_TTY :0
Apr 16 15:46:05 bg1 gdm-welcome][3715]: pam_unix(gdm-welcome:session): session closed for user Debian-gdm
Apr 16 15:46:05 bg1 polkitd(authority=local): Unregistered Authentication Agent for unix-session:/org/freedesktop/ConsoleKit/Session1 (system bus name :1.48, object path /org/gnome/PolicyKit1/AuthenticationAgent, locale fr_FR.UTF-8) (disconnected from bus)
Apr 16 15:46:10 bg1 polkitd(authority=local): Registered Authentication Agent for unix-session:/org/freedesktop/ConsoleKit/Session2 (system bus name :1.68 [/usr/lib/policykit-1-gnome/polkit-gnome-authentication-agent-1], object path /org/gnome/PolicyKit1/AuthenticationAgent, locale fr_FR.UTF-8)
Apr 16 15:48:01 bg1 CRON[4807]: pam_unix(cron:session): session opened for user root by (uid=0)
Apr 16 15:48:01 bg1 CRON[4807]: pam_unix(cron:session): session closed for user root

fran.b · Février 21, 2016, 9:38pm

Rien de suspect ici surtout si ton nom est Bernard. Le seul truc curieux est la relance de ssh. As tu fait cela à cette heure?

PmGs · Février 21, 2016, 9:38pm

Merci fran.b pour ta lecture critique.

Aucune explication ( à cette heure ) pour l’arrêt de sshd.

Pour info : la cde suivante réalisée sur la sauvegardes des logs de la période.
for i in $(seq 0 4) ; do echo “$i)” ; cat auth.log.$i | grep sshd | grep “signal 15” ;done
0)
May 6 08:20:17 bg1 sshd[16947]: Received signal 15; terminating.
May 6 08:21:13 bg1 sshd[3145]: Received signal 15; terminating.
May 6 08:21:14 bg1 sshd[3445]: Received signal 15; terminating.
May 6 10:09:14 bg1 sshd[3717]: Received signal 15; terminating.
1)
2)
Apr 20 23:08:09 bg1 sshd[21452]: Received signal 15; terminating.
Apr 20 23:21:14 bg1 sshd[30401]: Received signal 15; terminating.
Apr 20 23:25:03 bg1 sshd[901]: Received signal 15; terminating.
Apr 20 23:28:08 bg1 sshd[1893]: Received signal 15; terminating.
Apr 21 09:10:59 bg1 sshd[2946]: Received signal 15; terminating.
3)
Apr 12 19:00:08 bg1 sshd[8659]: Received signal 15; terminating.
Apr 12 23:24:46 bg1 sshd[4416]: Received signal 15; terminating.
Apr 16 15:40:20 bg1 sshd[21755]: Received signal 15; terminating.
Apr 16 15:44:32 bg1 sshd[13917]: Received signal 15; terminating.
Apr 16 16:57:52 bg1 sshd[3686]: Received signal 15; terminating.
Apr 17 14:20:23 bg1 sshd[18957]: Received signal 15; terminating.
Apr 17 14:20:24 bg1 sshd[21335]: Received signal 15; terminating.
4)
Apr 5 08:50:26 bg1 sshd[7960]: Received signal 15; terminating.
Apr 8 12:15:11 bg1 sshd[30167]: Received signal 15; terminating.

fran.b · Février 21, 2016, 9:38pm

Bon dans ce cas, c’est un piratage simple avec des clefs et un mot de passe root connu: change donc déjà le mot de passe de root, les clefs ssh de root, ainsi que celles de tous les utilisateurs de la machine. Vérifies l’absence de répertoire .ssh dans /var/www ainsi que dans tous les répertoire home indiqués dans /etc/passwd. Regarde avec soin le répertoire /etc/passwd avec la présence d’un utilisateur qui aurait un uid ou un gid valant 0 (à part root). Quand tout cela est fait, regarde l’activité de la machine. Une suggestion, installe le paquet surveillance disponible chez moi
deb boisson.homeip.net/depot jessie divers
tu verras les éventuels fichiers modifiés après son installation.

Vérifie le contenu de /var/log/auth.log, il te dira qui s’est connecté (si les logs n’ont pas été modifié).

Tu peux également regarder avec la commande last qui s’est connecté récemment.

PmGs · Février 21, 2016, 9:38pm

Merci pour ton retour et le partage de ton soft de surveillance.

Bon dans ce cas, c’est un piratage simple avec des clefs et un mot de passe root connu : cela confirme ce que je pensais du mdp root, mais je n’ai pas fait le lien avec les arrêts de ssh ?

Mdp root changé
.ssh renommé en .ssh_old
ssh-agent supprimés
/etc/passwd : seul root a l’uid 0

→ a priori aucun changement sur l’activité.

J’ai téléchargé ton soft mais ne l’ai pas encore installé.

Reste à faire :
Vérif de l’ensemble du système ( chexksums )
Comprendre et mettre en service ton soft de surveillance.
…

fran.b · Février 21, 2016, 9:38pm

Lance
debsums -c
sous root. Tu peux avoir des debsums manquants:

# debsums -c debsums: no md5sums for binutils debsums: no md5sums for bluej debsums: no md5sums for default-jre debsums: no md5sums for doc-debian debsums: no md5sums for emacsen-common debsums: no md5sums for g++ debsums: no md5sums for gcc-multilib debsums: no md5sums for google-chrome-stable debsums: no md5sums for google-earth-stable debsums: no md5sums for libaudio-dev:amd64 debsums: no md5sums for libaudio2:amd64 debsums: no md5sums for libreadline-dev:amd64 /lib/modules/3.10.1-fb-aufs/modules.dep.bin [...]

PmGs · Février 21, 2016, 9:39pm

debsums -c
sur mon serveur :
/usr/share/keyrings/debian-archive-removed-keys.gpg ! ?

sur le pc distant ( avec virus )
rien !