Attaque openssh ?

Support Debian
#1

Bonjour,

Voilà je suis loin d’être un expert en sécurité, d’où ma question peut-être triviale.

J’ai été récemment victime sur un serveur debian lenny d’une attaque brute force ssh.
Le jour suivant je me suis rendu compte que quelqu’un avait exécuté des commandes en tant que root.

Mon serveur ssh est configuré comme suit :

  • openssh récent (màj moins de 2 mois)
  • password interdit => uniquement par clé donc
  • clé regénérée après le “bug” de 2008
  • connexion root interdite
  • port 22222

Vous semble t-il possible que malgré tout, il ait été possible que quelqu’un se connecte via ssh ?
Ou bien l’exécution des commandes en root a été effectuée en utilisant une autre faille ?

Merci d’avance !

#2

Tu as installé un parefeu ?

#3

Pas de trace d’un log réussi dans auth.log ?
Commandes lancées depuis un compte root loggé en direct ou via su ?
Sur de ta config ssh (par clé uniquement) ?
Quels sont les autres services ouverts et peut-on trouver des choses suspectes dans les log ?
Actuellement que raconte netstat -tpul ?

#4

Oui (script iptables)

#5

[quote=“antalgeek”]Pas de trace d’un log réussi dans auth.log ?
Commandes lancées depuis un compte root loggé en direct ou via su ?
Sur de ta config ssh (par clé uniquement) ?
Quels sont les autres services ouverts et peut-on trouver des choses suspectes dans les log ?
Actuellement que raconte netstat -tpul ?[/quote]

  • Pas de trace de log de connexion réussie dans auth.log
  • Les commandes je les ai vues dans le history de root
  • Config ssh par clé uniquement
  • Voici le netstat : pastebin.com/K4VKwjFy
#6

iptables + fail2ban de manière à ne laisser que 3 tentatives puis ban par ip, ça limitera les soucis .

#7

Oui c’est clair que c’est mieux…
Mais j’aimerais juste comprendre comment l’exécution des commandes a pu a voir lieu.

#8

Ben ça ne vient pas forcément de ssh, il y a du monde sur ta machine.
Je pense que tu es parti pour une bonne séance d’épluchage de log. Tu peux t’aider d’un outil d’analyse de log.

#9

Ok je vais regarder tout ça, merci pour votre aide en tout cas.

#10

Quelles sont les commandes exécutées? Ça me parait étonnant une telle négligence…