Deux choses m’interpellent ce matin :
le résultat quotidien de logwatch :

[quote]--------------------- SSHD Begin ------------------------

Users logging in through sshd:
ricardo:
192.168.1.9: 1 time

Received disconnect:
11: disconnected by user : 1 Time(s)

---------------------- SSHD End ---------
[/quote]

Alors que je n’ai pas d’IP…“9”

et ensuite, en me connectant sur le serveur en ssh, je vois un dernière connexion hier à 15:05, avec cette IP.

[quote]ricardo@sid-sda8:~$ ssh -p XXXXXX 192.168.1.2
ricardo@192.168.1.2’s password:
Linux serveur 2.6.32-5-amd64 #1 SMP Wed Jan 12 03:40:32 UTC 2011 x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
You have mail.
Last login: Thu Mar 3 15:05:45 2011 from 192.168.1.9
[/quote]

OÙ DOIS-JE ALLER POUR VÉRIFIER SI INTRUSION ET COMMENT PARER À UN RENOUVELLEMENT ?

Tu es déjà allé voir du côté des logs dans /var/log?

Je suppose que c’est DANS le serveur ?
Je fais ça après la soupe.

Oui, dans le /var du serveur, c’est une habitude que je prend de façon quotidienne, surtout avec une serveur sftp.

Je contrôle qui prend quoi, quand…

Regarde l’historique de ton bash (~/.bash_history) des fois qu’il se soit déconnecter proprement … tu verras les commandes tapées.

Et change ton password

Sinon c’est une IP local, donc y a t il un nouvel ordi sur ton réseau ? Désactive le Wifi

Rien vu d’anormal dans syslog ; messages ; Xorg.0.log ; dmesg ; user.log ;
J’ai déconnecté le wifi mais je suis isolé et dans une impasse, peu de circulation. Je reçois avec maxi 30% les wifi alentours et je vois mal parmi les voisins quelqu’un capable d’intrusion.
Rien d’anormal dans ~/.bash_history
Je vais modifier mon pass “user”, puisque la connexion a été faite avec ricardo ?

[quote=“Mimoza”]Et change ton password [/quote]

Et un petit

# grep Failed /var/log/auth.log

histoire de vérifier si ça ressemble vraiment à une intrusion…

Question bête - sait-on jamais - as-tu contrôlé dernièrement que ton IP ne passe pas en *.9 ?

Mieux vaut commencer par les choses les plus simples

Ça, c’est classique, des tentatives, il y en a des tas chaque jour, que je vois avec logwatch

ricardo@serveur:~$ sudo grep Failed /var/log/auth.log [sudo] password for ricardo: Mar 4 12:28:57 serveur sshd[731]: Failed password for ricardo from 192.168.1.4 port 51325 ssh2 Mar 4 12:29:22 serveur sshd[731]: Failed password for ricardo from 192.168.1.4 port 51325 ssh2 Mar 4 12:29:29 serveur sshd[731]: Failed password for ricardo from 192.168.1.4 port 51325 ssh2 Mar 4 12:30:13 serveur sshd[734]: Failed password for ricardo from 192.168.1.4 port 41598 ssh2 Mar 4 12:31:15 serveur sshd[734]: Failed password for ricardo from 192.168.1.4 port 41598 ssh2

Ne serait-il pas utile de “vider” le fichier ~/.ssh/known_hosts du serveur ???
Dans ce cas, est-ce que je n’aurais pas de problèmes pour me connecter de nouveau ?

EDIT :
garder une copie, bien sûr

[quote=“ricardo”]Ne serait-il pas utile de “vider” le fichier ~/.ssh/known_hosts du serveur ???
Dans ce cas, est-ce que je n’aurais pas de problèmes pour me connecter de nouveau ?

EDIT :
garder une copie, bien sûr[/quote]
Ce fichier sert sur une machine cliente à bien s’assurer qu’un serveur ssh est bien ce qu’il prétend être.

Quand tu te log une première fois sur un serveur ssh, il te montre une fingerprint qui représente une sorte d’empreinte digitale du serveur. En tapant yes, tu accepte que cette fingerprint représente le serveur que tu souhaite accéder. Ensuite à chaque connexion ssh vérifie que le serveur au quel tu essaie d’accéder a bien la même empreinte que la dernière fois, sinon il gueule.

OK, donc rien à voir avec mon cas.

salut

fail²ban installer ??

arpwatch aussi ??

fail2ban = oui
arpwatch : connais pas ???

[quote=“ricardo”]Ça, c’est classique, des tentatives, il y en a des tas chaque jour, que je vois avec logwatch

ricardo@serveur:~$ sudo grep Failed /var/log/auth.log [sudo] password for ricardo: Mar 4 12:28:57 serveur sshd[731]: Failed password for ricardo from 192.168.1.4 port 51325 ssh2 Mar 4 12:29:22 serveur sshd[731]: Failed password for ricardo from 192.168.1.4 port 51325 ssh2 Mar 4 12:29:29 serveur sshd[731]: Failed password for ricardo from 192.168.1.4 port 51325 ssh2 Mar 4 12:30:13 serveur sshd[734]: Failed password for ricardo from 192.168.1.4 port 41598 ssh2 Mar 4 12:31:15 serveur sshd[734]: Failed password for ricardo from 192.168.1.4 port 41598 ssh2 [/quote]Bonjour,

il y a deux choses qui m’interpellent,

• comme déjà relevé, ce sont des IP locales.
• les tentatives échouées ont toutes ton identifiant.

Chez moi, c’est toujours des IP extérieures et il n’y a jusqu’à présent aucune tentative qui a eu lieu avec mon identifiant.

C’est peut-être ta femme …

J’y avais pensé, sans oser…

Ma femme, non, ça ne risque pas, même ses mails elle ne veut pas les taper, c’est moi qui me les cogne.
Oui, c’est aussi ce qui m’étonne : ricardo. Il m’arrive de faire une fausse connexion mais pas tous les jours quand même.
voilà une idée de logwatch ce matin :

[quote]--------------------- httpd Begin ------------------------

Requests with error response codes
404 Not Found
//MyAdmin/: 2 Time(s)
//PMA/: 1 Time(s)
//admin/: 1 Time(s)
//dbadmin/: 1 Time(s)
//myadmin/: 2 Time(s)
//mysql/: 1 Time(s)
//phpMyAdmin/: 2 Time(s)
//phpmyadmin/: 2 Time(s)
//phppgadmin/: 1 Time(s)
//pma/: 2 Time(s)
/robots.txt: 3 Time(s)
58.218.199.147:7182/judge.php: 1 Time(s)
58.218.204.110:7182/judge.php: 1 Time(s)
66.196.81.202/error/vote: 1 Time(s)
98.126.15.13/proxyheader.php: 1 Time(s)
ppcfinder.net/judge.php: 1 Time(s)
infodownload.info/proxyheader.php: 2 Time(s)
shopsline.com/proxyheader.php: 1 Time(s)

---------------------- httpd End -------------------------
[/quote]

Les curieux ne manquent pas !

autre chose, je viens de faire un iptables-save et il y a des lignes ajoutées (EN BLEU) sur le port 22 et 3 autres à la fin, que je n’ai jamais entrées.
le port n’est pas le 22, bien sûr.[quote]-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -i eth0 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport X -j ACCEPT
-A INPUT -p tcp -m tcp --dport X -j ACCEPT
-A INPUT -p tcp -m tcp --dport X -j ACCEPT
-A INPUT -p tcp -m tcp --dport X -j ACCEPT
-A FORWARD -i eth0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o eth0 -j ACCEPT
-A fail2ban-ssh -j RETURN
-A fail2ban-ssh -j RETURN
-A fail2ban-ssh -j RETURN
COMMIT

Completed on Fri Mar 4 16:06:30 2011

[/quote]

1. tape

arp

pour voir si tu as une machine 192.168.1.9 présente.

2. Tape
   $ last
   pour voir les dernières connexions et les heures.

3. Les lignes viennent surement de multiples lancements de fail2ban.

Je te suggère l’installation de arpwatch et/ou arpalert pour voir d’éventuelles nouvelles machines sur ton réseau mais j’ai du mal à croire à une intrusion. Cela signifierait une machine sur ton réseau compromise ou ton réseau compromis. Au niveau local, ça n’est pas banal tout de même.

essais un ps aux

si a la fin tu as un pts/0 c’est qu’il y a quelqu’un qui a ouvert un processus a distance ou bien ouvert un xterm par exemple [pas pts/1] on sais jamais

essais de voir aussi avec le who - a

mais surtout installe les aprwatch , whatchdog etc…