Intrusion ou pas ?

première question :
du client (4) :

[quote]ricardo@sid-sda8:~$ sudo arp
[sudo] password for ricardo:
Address HWtype HWaddress Flags Mask Iface
192.168.1.2 ether 6c:f0:49:df:46:37 C eth0
192.168.1.1 ether 30:46:9a:82:12:32 C eth0
[/quote]
du serveur (2) :

[quote]ricardo@serveur:~$ sudo arp
[sudo] password for ricardo:
Address HWtype HWaddress Flags Mask Iface
192.168.1.4 ether 00:22:19:df:1a:5d C eth0
192.168.1.1 ether 30:46:9a:82:12:32 C eth0
[/quote]

le (1) étant la box ou le routeur, je crois

je regarde pour la suite.

2e question

[quote]ricardo@serveur:~$ last
ricardo pts/0 192.168.1.4 Fri Mar 4 16:45 still logged in
ricardo pts/0 192.168.1.4 Fri Mar 4 16:40 - 16:41 (00:01)
ricardo pts/0 192.168.1.4 Fri Mar 4 16:38 - 16:39 (00:01)
ricardo pts/0 192.168.1.4 Fri Mar 4 16:36 - 16:37 (00:01)
ricardo pts/0 192.168.1.4 Fri Mar 4 16:05 - 16:34 (00:28)
ricardo pts/0 192.168.1.4 Fri Mar 4 15:22 - 15:25 (00:02)
ricardo pts/0 192.168.1.4 Fri Mar 4 15:08 - 15:11 (00:03)
ricardo pts/0 192.168.1.4 Fri Mar 4 15:01 - 15:05 (00:03)
ricardo pts/0 192.168.1.4 Fri Mar 4 14:08 - 14:53 (00:45)
ricardo pts/0 192.168.1.9 Fri Mar 4 12:52 - 12:53 (00:00)
ricardo pts/0 192.168.1.6 Fri Mar 4 12:35 - 12:51 (00:15)
ricardo pts/0 192.168.1.4 Fri Mar 4 12:03 - 12:04 (00:01)
ricardo pts/0 192.168.1.9 Thu Mar 3 15:05 - 15:06 (00:00)

wtmp begins Thu Mar 3 15:05:45 2011
ricardo@serveur:~$
[/quote]

(4) et (6) étant des machines du réseau donc normal.
MAIS à 12:52 et 15:05, comprends pas

Que donne

$ last -f /var/log/wtmp.1

Ce sont des connexions d’une minute, mais tu en fais souvent semble-t-il…

[quote=“Grhim”]essais un ps aux

si a la fin tu as un pts/0 c’est qu’il y a quelqu’un qui a ouvert un processus a distance ou bien ouvert un xterm par exemple [pas pts/1] on sais jamais

essais de voir aussi avec le who - a

mais surtout installe les aprwatch , whatchdog etc…[/quote]

il ya quelques lignes qui se terminent par des pts/0, dont
ricardo 1682 0.0 0.0 70488 1676 ? S 16:45 0:00 sshd: ricardo@pts/0
ou
root 42 0.0 0.0 0 0 ? S Feb24 0:00 [kondemand/0]
root 43 0.0 0.0 0 0 ? S Feb24 0:00 [kondemand/1]
root 44 0.0 0.0 0 0 ? S Feb24 0:00 [kondemand/2]
root 45 0.0 0.0 0 0 ? S Feb24 0:00 [kondemand/3]

[quote]ricardo@serveur:~$ who -a
2011-02-24 00:39 329 id=si term=0 sortie=0
démarrage système 2011-02-24 00:39
niveau d’exécution 2 2011-02-24 00:39 dernier=S
2011-02-24 00:39 954 id=l2 term=0 sortie=0
IDENTIFIANT tty1 2011-02-24 00:39 1478 id=1
IDENTIFIANT tty2 2011-02-24 00:39 1479 id=2
IDENTIFIANT tty3 2011-02-24 00:39 1480 id=3
IDENTIFIANT tty5 2011-02-24 00:39 1482 id=5
IDENTIFIANT tty4 2011-02-24 00:39 1481 id=4
IDENTIFIANT tty6 2011-02-24 00:39 1483 id=6
ricardo + pts/0 2011-03-04 16:45 . 1679 (192.168.1.4)[/quote]

watchdog, je viens d’installer mais

ricardo@serveur:~$ apt-cache policy aprwatch
W: Impossible de trouver le paquet aprwatch

[quote=“fran.b”]Que donne

$ last -f /var/log/wtmp.1

Ce sont des connexions d’une minute, mais tu en fais souvent semble-t-il…[/quote]
Oui, je n’aime pas resté connecté en ssh sur le serveur.

[quote]ricardo@serveur:~$ last -f /var/log/wtmp.1
reboot system boot 2.6.32-5-amd64 Thu Feb 24 00:39 - 17:15 (8+16:35)
reboot system boot 2.6.32-5-amd64 Tue Feb 22 12:37 - 17:15 (10+04:37)
ricardo pts/0 192.168.1.4 Fri Feb 18 11:59 - 12:01 (00:01)
ricardo pts/0 192.168.1.4 Wed Feb 16 14:48 - 14:49 (00:00)
ricardo pts/0 192.168.1.4 Wed Feb 16 12:31 - 12:48 (00:16)
ricardo pts/0 192.168.1.4 Wed Feb 16 12:04 - 12:05 (00:01)
ricardo pts/0 192.168.1.4 Tue Feb 15 23:34 - 23:35 (00:01)
ricardo pts/0 192.168.1.4 Tue Feb 15 23:29 - 23:33 (00:03)
ricardo pts/0 192.168.1.4 Sat Feb 12 19:49 - 20:39 (00:49)
ricardo pts/0 192.168.1.4 Sat Feb 12 19:31 - 19:33 (00:02)
ricardo pts/0 192.168.1.4 Sat Feb 12 11:43 - 11:45 (00:01)
ricardo pts/0 192.168.1.4 Sat Feb 12 01:06 - 01:25 (00:19)
ricardo pts/0 192.168.1.4 Fri Feb 11 12:08 - 12:39 (00:31)
ricardo pts/0 192.168.1.4 Fri Feb 11 01:30 - 01:33 (00:03)
ricardo pts/0 192.168.1.4 Fri Feb 11 01:14 - 01:14 (00:00)
reboot system boot 2.6.32-5-amd64 Fri Feb 11 01:06 - 17:15 (21+16:09)
ricardo pts/0 192.168.1.4 Thu Feb 10 23:37 - down (01:27)
ricardo pts/0 192.168.1.4 Thu Feb 10 19:45 - 19:57 (00:11)
ricardo pts/0 192.168.1.4 Thu Feb 10 12:19 - 12:21 (00:01)
ricardo pts/0 192.168.1.4 Thu Feb 10 01:23 - 02:17 (00:54)
ricardo pts/0 192.168.1.4 Thu Feb 10 01:16 - 01:20 (00:04)
ricardo pts/0 192.168.1.4 Thu Feb 10 01:01 - 01:11 (00:09)
ricardo pts/0 192.168.1.4 Thu Feb 10 00:08 - 00:38 (00:29)
CONNU pts/1 192.168.1.4 Wed Feb 9 18:05 - 18:05 (00:00)
CONNU pts/1 192.168.1.4 Wed Feb 9 18:05 - 18:05 (00:00)
ricardo pts/0 192.168.1.4 Wed Feb 9 17:55 - 19:54 (01:58)
CONNU pts/0 192.168.1.4 Wed Feb 9 17:55 - 17:55 (00:00)
ricardo pts/0 192.168.1.4 Wed Feb 9 17:53 - 17:54 (00:01)
CONNU pts/0 192.168.1.4 Wed Feb 9 17:52 - 17:52 (00:00)
ricardo pts/1 192.168.1.4 Wed Feb 9 17:39 - 18:00 (00:21)
CONNU pts/1 192.168.1.2 Wed Feb 9 17:08 - 17:08 (00:00)
CONNU pts/1 192.168.1.2 Wed Feb 9 17:05 - 17:05 (00:00)
ricardo pts/0 192.168.1.4 Wed Feb 9 17:04 - 17:52 (00:48)
ricardo pts/0 192.168.1.4 Wed Feb 9 16:52 - 17:02 (00:09)
ricardo pts/0 192.168.1.4 Wed Feb 9 00:53 - 01:34 (00:41)
ricardo pts/0 192.168.1.4 Wed Feb 9 00:47 - 00:50 (00:03)
ricardo pts/0 192.168.1.4 Tue Feb 8 19:36 - 21:57 (02:20)
ricardo pts/1 192.168.1.4 Tue Feb 8 16:42 - 16:46 (00:04)
ricardo pts/0 192.168.1.4 Tue Feb 8 16:18 - 19:08 (02:50)
ricardo pts/0 192.168.1.4 Tue Feb 8 14:55 - 15:17 (00:21)
ricardo pts/0 192.168.1.4 Tue Feb 8 14:41 - 14:49 (00:07)
ricardo pts/0 192.168.1.4 Sat Feb 5 12:46 - 12:52 (00:05)
ricardo pts/0 192.168.1.4 Sat Feb 5 12:31 - 12:32 (00:01)
ricardo pts/0 192.168.1.4 Sat Feb 5 11:40 - 11:56 (00:16)
ricardo pts/0 192.168.1.4 Thu Feb 3 01:54 - 01:56 (00:01)

wtmp.1 begins Thu Feb 3 01:54:52 2011
[/quote]

Ce qui me rassure un peu c’est que je n’ai pas eu d’alerte “surveillance”

$ aptitude search arpwatch i arpwatch - Station de surveillance d'activité Ethernet/FDDI

edit : www-igm.univ-mlv.fr/~dr/XPOSE2001/liyun/IDS.html

a.mongers.org/muppets/20040808-sshscan-1

je pense que je vais t’offrir la version ebook du livre “halte aux hackers linux” looool

Donne ta table de routage (route -n), mais cette machine n’a pu que être directement connecté à ton réseau. N’as tu pas bouté ce jour là sur une vieille sid ou une autre distribution qui aurait une IP statique différente? Tu utilises une identification par clef??

[quote]ricardo@serveur:~$ sudo route -n
[sudo] password for ricardo:
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 eth0
[/quote]

[quote=“Grhim”]…
mais surtout installe les aprwatch , whatchdog etc…[/quote]
MOI, chiu con, je tape ce qu’on m’écrit

EDIT :
arpwatch installé.
Je suppose que tout ça envoie des alerte cron, ou seulement au cas où ?

Ben maintenant, si je ne suis pas au courant de ce qui se passe sur mon serveur, avec :
Surveillance
Logwatch
Rkhunter
Arpwatch
Watchdog

Bon, ta table n’est pas exotique donc si piratage il y a, c’est du machine branchée à ton réseau. Tu n’as pas répondu sur ta connexion (clef ou mot de passe?). Pour moi je suis sur que c’est la machine avec laquelle tu te connectes usuellement qui a eu une IP en 9. La brièveté des connexions en est l’argument principal (que veux tu faire en une minute sur une machine que tu ne connais pas!?!). Essaye de voir quand même de ce coté…

regarde du coté de ton router…le phenomene se trouve là

j’edite ou je t’envois un mp si plus

Pour me connecter à mon serveur en ssh, j’entre un MDP mais il y a aussi les “clef” RSA ???, qui sont acceptées une fois pour toutes, je n’en sais pas plus. Je dirais donc MDP ?
Je vais fouiller dans le routeur mais celui-ci est relié eth avec

serveur 192.168.1.2
machine1 …4
machine2 …6
imprimante (???)… 8,
liaison wifi du routeur vers un point d’accès … 3
…sur lequel est branché en eth la
machine3 …7

L’IP 5 sert à la machine 1 en wifi (exceptionnel)
Je suppose que l’IP 1 c’est la FreeBox

oui, (passerelle par défaut)

Ricardo, piraté par Ricardo??

Recherche dans les logs de ta machine 192.168.1.4 si tu n’as pas une IP 192.168.1.9 qui apparait…

Bon, j’ai trouvé l’intrus
C’est l’IP de la machine 1 branchée en wifi.
Cette IP a été modifiée pour une raison inconnue, car elles étaient “bloquées” sur le routeur. Elle est passée de 5 à 9.
En fait le portail du routeur est très explicite et il y a un journal assez complet sur les branchements.
Ce que je ne comprends pas, c’est que j’avais déconnecté mon wifi, n’en ayant pas besoin quand je ne me sers pas du point d’accès. C’est donc la carte wifi qui continue d’émettre, ou ptet de faire une tentative de connexion vers le routeur, ce qui expliquerait le temps restreint (une minute) ???
Enfin, je ne me prends plus la tête avec ces histoires Ip internes.
Merci à tous de l’aide.

Pas gênant, tu as toute une liste de remarques fortement utiles pour une autre fois.

Tout ce stratagème pour inaugurer la coche verte …

Je reviens sur ce sujet pour avoir des précisions sur l’identification par clef, versus MdP.
Il doit déjà y avoir des fil là-dessus mais je ne trouve pas
avantages/inconvénients ?

EDIT :
J’ai trouvé ça mais c’est assez court :
http://www.debian-fr.org/identification-ssh-t882.html