HELP ! Mon serveur debian semble être compromis attaqué

Support Debian
#1

Bonjour,

j’ai constaté que mon serveur réagit bizarrement, après vérification je m’aperçois que mon fichier /var/log/auth.log a des tentative de connexion avec des users que je n’est pas et des adresse ip exterieur inconnu.
Asterisk m’appelle tout seul avec le numéro 101 et quand je décroche il y a personne ? la nuit c’est plutôt dérangent.
le plus surprenant c’est que dans le Logs d’authentification il y a des fragments de mots que j’ai tapés directement dans le terminal, comme : commande / mot de passe / login ! tapé sur une autre machine du réseau ???
Suis je vraiment protégé, faut il réinstaller mon serveur complètement a zéro, y a t’il d’autre vérification à effectuer, si non que faut il faire ?
Je ne suis pas un expert sous linux .
Merci.

Users du serveur

root@debian:~# ls -al /home total 16 drwxr-xr-x 3 root root 4096 4 janv. 13:48 . drwxr-xr-x 23 root root 4096 15 juil. 2012 .. drwxr-xr-x 34 serveur serveur 4096 21 févr. 14:45 serveur root@debian:~#

Logs d’authentification
PS : Je ne peut pas tout mettre le fichier est trop long.

[code]root@debian:~# cat /var/log/auth.log
Feb 22 08:42:54 debian sshd[14704]: Invalid user music from 121.15.207.113
Feb 22 08:42:54 debian sshd[14704]: pam_unix(sshd:auth): check pass; user unknown
Feb 22 08:42:54 debian sshd[14704]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.15.207.113
Feb 22 08:42:54 debian sshd[14697]: Failed password for invalid user ev1user from 121.15.207.113 port 27015 ssh2
Feb 22 08:42:54 debian sshd[14698]: Failed password for invalid user sergey from 121.15.207.113 port 27031 ssh2
Feb 22 08:42:55 debian sshd[14705]: Invalid user newspost from 121.15.207.113
Feb 22 08:42:55 debian sshd[14706]: Invalid user dllstx1 from 121.15.207.113
Feb 22 08:42:55 debian sshd[14705]: pam_unix(sshd:auth): check pass; user unknown
Feb 22 08:42:55 debian sshd[14705]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.15.207.113
Feb 22 08:42:55 debian sshd[14706]: pam_unix(sshd:auth): check pass; user unknown
Feb 22 08:42:55 debian sshd[14706]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.15.207.113
Feb 22 08:42:55 debian sshd[14701]: Failed password for invalid user dispatcher from 121.15.207.113 port 27527 ssh2
Feb 22 08:42:56 debian sshd[14703]: Failed password for invalid user fax from 121.15.207.113 port 27684 ssh2
Feb 22 08:42:56 debian sshd[14704]: Failed password for invalid user music from 121.15.207.113 port 27696 ssh2
Feb 22 08:42:56 debian sshd[14705]: Failed password for invalid user newspost from 121.15.207.113 port 27718 ssh2
Feb 22 08:42:56 debian sshd[14706]: Failed password for invalid user dllstx1 from 121.15.207.113 port 27720 ssh2
Feb 22 08:42:57 debian sshd[14712]: Invalid user nurlan from 121.15.207.113
Feb 22 08:42:57 debian sshd[14711]: Invalid user ev2 from 121.15.207.113
Feb 22 08:42:57 debian sshd[14712]: pam_unix(sshd:auth): check pass; user unknown
Feb 22 08:42:57 debian sshd[14712]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.15.207.113

Feb 22 08:46:20 debian sshd[15034]: Failed password for invalid user mvnuser from 121.15.207.113 port 34685 ssh2
Feb 22 08:46:20 debian sshd[15035]: Failed password for invalid user make from 121.15.207.113 port 34683 ssh2
Feb 22 08:46:23 debian sshd[15039]: Invalid user mythtv from 121.15.207.113
Feb 22 08:46:23 debian sshd[15040]: Invalid user music from 121.15.207.113
Feb 22 08:46:23 debian sshd[15039]: pam_unix(sshd:auth): check pass; user unknown
Feb 22 08:46:23 debian sshd[15039]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.15.207.113
Feb 22 08:46:23 debian sshd[15040]: pam_unix(sshd:auth): check pass; user unknown
Feb 22 08:46:23 debian sshd[15040]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.15.207.113
Feb 22 08:46:25 debian sshd[15040]: Failed password for invalid user music from 121.15.207.113 port 36309 ssh2
Feb 22 08:46:25 debian sshd[15039]: Failed password for invalid user mythtv from 121.15.207.113 port 36308 ssh2
Feb 22 08:46:28 debian sshd[15043]: Invalid user mvntest from 121.15.207.113
Feb 22 08:46:28 debian sshd[15044]: Invalid user mythtv from 121.15.207.113
Feb 22 08:46:28 debian sshd[15043]: pam_unix(sshd:auth): check pass; user unknown
Feb 22 08:46:28 debian sshd[15043]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.15.207.113

Feb 22 08:47:48 debian sshd[15109]: Failed password for invalid user ev2 from 121.15.207.113 port 61686 ssh2
Feb 22 08:47:48 debian sshd[15108]: Failed password for invalid user fax from 121.15.207.113 port 61685 ssh2
Feb 22 08:47:51 debian sshd[15112]: Invalid user ev2user from 121.15.207.113
Feb 22 08:47:51 debian sshd[15113]: Invalid user fax from 121.15.207.113
Feb 22 08:47:51 debian sshd[15112]: pam_unix(sshd:auth): check pass; user unknown
Feb 22 08:47:51 debian sshd[15112]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.15.207.113
Feb 22 08:47:51 debian sshd[15113]: pam_unix(sshd:auth): check pass; user unknown
Feb 22 08:47:51 debian sshd[15113]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.15.207.113
Feb 22 08:47:53 debian sshd[15112]: Failed password for invalid user ev2user from 121.15.207.113 port 63114 ssh2
Feb 22 08:47:53 debian sshd[15113]: Failed password for invalid user fax from 121.15.207.113 port 63115 ssh2
Feb 22 08:47:56 debian sshd[15116]: Invalid user faq from 121.15.207.113
Feb 22 08:47:56 debian sshd[15117]: Invalid user fax from 121.15.207.113
Feb 22 08:47:56 debian sshd[15116]: pam_unix(sshd:auth): check pass; user unknown
Feb 22 08:47:56 debian sshd[15116]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.15.207.113

eb 22 08:48:07 debian sshd[15122]: Failed password for invalid user fax from 121.15.207.113 port 3020 ssh2
Feb 22 08:48:09 debian sshd[15124]: Invalid user fax from 121.15.207.113
Feb 22 08:48:09 debian sshd[15124]: pam_unix(sshd:auth): check pass; user unknown
Feb 22 08:48:09 debian sshd[15124]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.15.207.113[/code]

Connexions Internet actives

root@debian:~# netstat -antp Connexions Internet actives (serveurs et établies) Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name tcp 0 0 0.0.0.0:4709 0.0.0.0:* LISTEN 1268/amuleweb tcp 0 0 0.0.0.0:4711 0.0.0.0:* LISTEN 1258/amuled tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 1569/mysqld tcp 0 0 0.0.0.0:1099 0.0.0.0:* LISTEN 726/mochad tcp 0 0 0.0.0.0:1100 0.0.0.0:* LISTEN 726/mochad tcp 0 0 0.0.0.0:1101 0.0.0.0:* LISTEN 726/mochad tcp 0 0 0.0.0.0:10000 0.0.0.0:* LISTEN 1858/perl tcp 0 0 0.0.0.0:4661 0.0.0.0:* LISTEN 1258/amuled tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1542/sshd tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 1848/master tcp 0 0 127.0.0.1:42183 127.0.0.1:4711 ESTABLISHED 1268/amuleweb tcp 0 0 192.168.0.1:22 192.168.0.4:54872 ESTABLISHED 16330/0 tcp 0 0 127.0.0.1:4711 127.0.0.1:42183 ESTABLISHED 1258/amuled tcp 0 220 192.168.0.1:4661 83.41.184.109:60505 ESTABLISHED 1258/amuled tcp 0 0 192.168.0.1:37912 91.225.136.126:1887 ESTABLISHED 1258/amuled tcp 1 1 192.168.0.1:34380 221.234.169.160:7115 LAST_ACK - tcp 0 0 192.168.0.1:39860 1.202.22.3:4682 TIME_WAIT - tcp6 0 0 :::8585 :::* LISTEN 1270/apache2 tcp6 0 0 :::139 :::* LISTEN 1237/smbd tcp6 0 0 :::80 :::* LISTEN 1270/apache2 tcp6 0 0 :::22 :::* LISTEN 1542/sshd tcp6 0 0 :::445 :::* LISTEN 1237/smbd root@debian:~#

Scan des ports ouverts

[code]root@debian:~# nmap 192.168.0.1 -p 1-65535

Starting Nmap 5.00 ( http://nmap.org ) at 2013-02-22 12:30 CET
Interesting ports on 192.168.0.1:
Not shown: 65522 closed ports
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
80/tcp open http
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1099/tcp open unknown
1100/tcp open unknown
1101/tcp open unknown
4661/tcp open unknown
4709/tcp open unknown
4711/tcp open unknown
8585/tcp open unknown
10000/tcp open snet-sensor-mgmt

Nmap done: 1 IP address (1 host up) scanned in 16.67 seconds
root@debian:~# [/code]

iptables

[code]root@debian:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp – anywhere anywhere tcp dpt:ssh
ACCEPT tcp – anywhere anywhere tcp dpt:ipp
ACCEPT tcp – anywhere anywhere tcp dpt:www
ACCEPT tcp – anywhere anywhere tcp dpt:www
ACCEPT udp – anywhere anywhere udp dpt:sip
ACCEPT udp – anywhere anywhere udp dpts:10000:20000
ACCEPT tcp – anywhere anywhere tcp dpt:www
ACCEPT tcp – anywhere anywhere tcp dpt:sip
ACCEPT udp – anywhere anywhere udp dpt:sip
ACCEPT tcp – anywhere anywhere tcp dpt:8585
ACCEPT tcp – anywhere anywhere tcp dpt:4661
ACCEPT udp – anywhere anywhere udp dpt:4712

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
root@debian:~# [/code]

Merci.

#2

Salut,

Apparement, c’est toujours la même ip, et pour le moment il y a juste tentative de passage en brute-force

Donc, a ta place, je commencerais par faire deux choses :

la premiere : changer le port d’écoute de ssh

voir par exemple : korben.info/tuto-ssh-securiser.html

la seconce : modifier ta table de routage pour ignorer tout ce qui viens de cette ip.
route add -host 121.15.207.113 reject

voir par exemple : cyberciti.biz/tips/how-do-i- … outes.html

#3

Installe fail2ban ça limitera les tentatives…

ce ne sont pas tant les échec qu’il faut surveiller dans le auth.log, mais plutôt les “Accepted”:grep Accepted /var/log/auth.logouzgrep Accepted /var/log/auth.log*Si tu y vois des “Accepted” qui n’ont rien à voir avec tes connexions “à toi”, là, inquiète toi…

:006

#4

+1 pour fail2ban! Vraiment, c’est une sécurité de poids!

#5

Bjr,

Maintenant c’est une nouvelle adresse ip

Feb 22 14:07:20 debian sshd[16949]: Failed password for invalid user centos from 117.79.91.214 port 51360 ssh2 Feb 22 14:07:24 debian sshd[16951]: Failed password for invalid user git from 117.79.91.214 port 53036 ssh2 Feb 22 14:07:28 debian sshd[16953]: Failed password for invalid user ubuntu from 117.79.91.214 port 53943 ssh2 Feb 22 14:06:51 debian sshd[16936]: Failed password for invalid user CUCU from 117.79.91.214 port 44997 ssh2

Ok j’ai installé fail2ban mais que faut il faire après ?

root@debian:~# apt-get install fail2ban Lecture des listes de paquets... Fait Construction de l'arbre des dépendances Lecture des informations d'état... Fait Les paquets supplémentaires suivants seront installés : python-central whois Paquets suggérés : python-gamin Les NOUVEAUX paquets suivants seront installés : fail2ban python-central whois 0 mis à jour, 3 nouvellement installés, 0 à enlever et 99 non mis à jour. Il est nécessaire de prendre 209 ko dans les archives. Après cette opération, 1 323 ko d'espace disque supplémentaires seront utilisés. Souhaitez-vous continuer [O/n] ? o Réception de : 1 http://ftp.us.debian.org/debian/ squeeze/main python-central all 0.6.16+nmu1 [47,4 kB] Réception de : 2 http://ftp.us.debian.org/debian/ squeeze/main whois armel 5.0.10 [65,0 kB] Réception de : 3 http://ftp.us.debian.org/debian/ squeeze/main fail2ban all 0.8.4-3+squeeze1 [96,2 kB] 209 ko réceptionnés en 7s (27,8 ko/s) Sélection du paquet python-central précédemment désélectionné. (Lecture de la base de données... 66237 fichiers et répertoires déjà installés.) Dépaquetage de python-central (à partir de .../python-central_0.6.16+nmu1_all.deb) ... Sélection du paquet whois précédemment désélectionné. Dépaquetage de whois (à partir de .../whois_5.0.10_armel.deb) ... Sélection du paquet fail2ban précédemment désélectionné. Dépaquetage de fail2ban (à partir de .../fail2ban_0.8.4-3+squeeze1_all.deb) ... Traitement des actions différées (« triggers ») pour « man-db »... Paramétrage de python-central (0.6.16+nmu1) ... Paramétrage de whois (5.0.10) ... Paramétrage de fail2ban (0.8.4-3+squeeze1) ... insserv: script service-amule-daemon: service amule-daemon already provided! Traitement des actions différées (« triggers ») pour « python-central »... root@debian:~#

Jusqu’a présent tout les Accepted du Logs d’authentification son bien de mon adresse IP local.

Pour modifier ta table de routage afin d’ignorer toutes adresses ip suivante :

121.15.207.113 117.79.91.214 des méchants…

je n’ai pas très bien compris, en plus c’est en anglais.
Faut il faire :

ou route add -host <l'ip du hackers> reject

Merci.

#6

Tu sais, des lignes comme ça j’en ai régulièrement, parfois même tu vois passer tout un dictionnaire pendant 4-5 mois venant d’un botnet quelconque qui essaye à coup de 3 tentatives (je bannis au bout de 3 essais). Bref, ne panique pas. Par contre ton parefeu a tout à ACCEPT donc de ce coté là ne protège strictement rien. Si tu veux être efficace, regarde de ce coté éventuellement.

#7

Voilà, c’est la première chose qui m’a choquée : INPUT policy ACCEPT.
Configure ton parefeu convenablement et installe Fail2ban.
Quant aux tentatives, nous en avons tous.

#8

Bon, tout est dit…

Le serveur n’est en ligne que depuis 1 mois et demi…

# expr `zcat /var/log/auth.log*gz | grep -c "authentication failure"` + ` cat /var/log/auth.log* | grep -c "authentication failure"` 5502

Il faut bien faire la différence entre attaqué (c’est normal) et compromis…
Comme dit plus haut, ce sont les “Accepted” qu’il faut surveiller…

Tu devrais lire ce sujet: debian-fr.org/je-suis-pirate … 8-100.html

#9

Bonjour,

[quote]Bon, tout est dit…[/quote] Non pas tout, attend…
Y a-t-il un moyen d’être averti par email, si quelqu’un se connecte à mon système, évidemment pour se connecter au système, il faut se loger.
Que ce soit un login (users), root ou avec sudo , comment puis je être averti par email, si l’ip n’est pas une ip du réseau local de 192.168.0.2 à 192.168.0.254 ?

Quand je tape

et si je veut voir les connexions acceped avec sudo, il m’affiche

Feb 23 11:40:44 debian sudo: serveur : TTY=pts/0 ; PWD=/home/serveur ; USER=root ; COMMAND=/bin/grep Accepted /var/log/auth.log il ne me dit pas de qui ? depuis quel poste ? Imaginer que ce soit un pirate ?

alors qu’ici il me dit de qui, depuis quel poste !

Merci.

#10

Évidemment, pour ce faire Pam est ton ami.

Avec ce script que tu rendras exécutable, nommément /usr/local/bin/pam-notify-login.

#!/bin/sh [ "$PAM_TYPE" = "open_session" ] || exit 0 { echo "User: $PAM_USER" echo "Ruser: $PAM_RUSER" echo "Rhost: $PAM_RHOST" echo "Service: $PAM_SERVICE" echo "TTY: $PAM_TTY" echo "Server: `uname -a`" echo "Date: `date`" echo "Console: `who -a -H --ips`" } |mail -s "`hostname -s` $PAM_SERVICE login: $PAM_USER" root

Rajoutes cette ligne dans le fichier /etc/pam.d/common-session

  • Nota: si tu utilises sudo, places également cette dernière dans /etc/pam.d/sudo

Avec effet immédiat!

  • Nota: informé /etc/aliases
#11

Bonjour,

Merci de votre réponse.

Là, le message est envoyé sur le compte root.
Mais si je veux l’envoyer sur une adresse email privé.
Comment dois je stipuler cette ligne :

Merci.

#12

[quote=“BelZéButh”]

  • Nota: informé /etc/aliases[/quote]

gmail par exemple.

... root: USER@gmail.com ...

?

#13

Bonjour,

Mon fichier /etc/aliases est comme ceci

[code]cat /etc/aliases

/etc/aliases

mailer-daemon: postmaster
postmaster: root
nobody: root
hostmaster: root
usenet: root
news: root
webmaster: root
www: root
ftp: root
abuse: root
noc: root
security: root
serveur@debian:~$[/code]

Si je comprend bien, vous voulez dire qu’il faut que je rajoute ceci a la l igne du fichier /etc/aliases

Merci.

#14

Oui! Ceci dans la mesure ou tu est titulaire d’un compte gmail, pour aller au plus simple …

  • Nota: enregistres ce nouvelle aliases comme suis.
#15

Bonsoir,

j’ai fait un simple test, ça marche aussi comme ceci

J’ai reçus l’email suivante :

User: serveur Ruser: Rhost: 192.168.0.4 Service: sshd TTY: ssh Server: Linux debian 2.6.39.4 #1 PREEMPT Sat Apr 7 16:02:44 UTC 2012 armv5tel GNU/Linux Date: dimanche 24 février 2013, 22:12:28 (UTC+0100) Console: NOM LIGNE HEURE PID COMMENTAIRE EXIT 2013-02-24 17:05 606 id=si term=0 sortie=0 démarrage système 2013-02-24 17:05 niveau d'exécution 2 2013-02-24 17:05 dernier=S 2013-02-24 17:05 1162 id=l2 term=0 sortie=0 IDENTIFIANT ttyS0 2013-02-24 17:05 1937 id=T0 root - pts/0 2013-02-24 22:00 00:03 7462 192.168.0.4 serveur + pts/1 2013-02-24 17:06 00:58 1981 192.168.0.4

Excuse moi je n’ai pas compris la manip pour # newaliases
Je ne peut pas ajouter directement dans le fichier la ligne suivante :

nilux17
Ne vaut il pas mieux de bloquer l’ip du brute-force via iptables ?

Merci.

#16

Salut,

[quote=“xunil2003”]Je ne peut pas ajouter directement dans le fichier la ligne suivante :
Code:
root: mon_email_privé@gmail.com[/quote]Ben si!

[quote=“xunil2003”]Ne vaut il pas mieux de bloquer l’ip du brute-force via iptables ?
Code:
iptables -A INPUT -s 121.15.207.113 -j DROP[/quote]Comme tu as du le voir, en 6 semaines j’ai eu plus de 5000 tentatives. Tu divise par trois (il sont dropés par fail2ban) ça donne plus de 1600 ip… Ton iptables va devenir rapidement ingérable et bien trop lourd.
Fais confiance à fail2ban.

Évites aussi d’autoriser la connexion de root autrement que par mot de passe, utilise des clefs tu dormiras tranquille… 8)

#17

En parcourant tes récents fils il me semblait que l’utilisation d’un éditeur de texte ne te poser guère de souci …

[quote=“xunil2003”]Je ne peut pas ajouter directement dans le fichier la ligne suivante

Excuse moi je n’ai pas compris la manip pour[/quote]

Vouloir, c’est pouvoir. Pour ce faire Debian t’offre nativement un outil tel que nano.

Nano, un éditeur de texte en console.

Ceci fait, pour que la prise en compte soit valider, tu lances simplement cette commande en tant que root.

  • Remarque:

Une seule adresse mail pour le compte root peut être ajouter au fichier /etc/aliases.

Sans oublié le Wiki.