Log Debian 8 (auth.log) - Interprétation

Support Debian
#1

Bonjour à tous.

Voilà, je possède donc un VPS Debian 8. L’entreprise hébergeant mon VPS me la bloqué pour trafic inhabituel le 1e Août aux alentours de midi. Je me suis donc mis à la recherche pour savoir ce qu’il c’étais passé ce jour-là.

Il faut donc mettre les mains dans le cambouis, et checker un maximum de logs pour récupérer un max d’informations :sweat_smile:

Je me suis stopé net au /var/log/auth.log :
Le même jour, à peu près au même moment j’ai des messages inhabituels concernant un user nommé " invite " et le user root.

J’ai l’impression qu’une session a été ouverte depuis le compte invite et est passé en su root juste après . Ensuite j’ai du mal à interpréter ce qu’il se passe par la suite. Que sa ai un rapport ou non avec un possible piratage/exploit, il est quand même important d’interpréter ce qu’il c’est passé (et c’est la que j’ai besoin de vous ! :innocent:)

Donc voilà je suis preneur de toutes interprétations sur mon screenshot (j’ai flouté le hostname) et les encadrés rouges ! (avec le “removed session c1 …” etc

Merci d’avance :slight_smile:
Amicalement.

#2

Tu peux attendre le retour de gens plus compétents que moi, mais je pense que c’est plutôt un su - invite depuis root qui s’est passé. Le compte invite a été créé par toi ? Cet événement se répète-t-il ? As-tu récupéré l’IP à l’origine du login SSH ?

#3

Je confirme, c’est exactement ça, mais savoir qui est l’utilisateur root, il faut voir quelques lignes plus haut dans le log.
Est-il possible que tu mettes tout ce qui est entre le bas de ta capture d’écran et la précédente occurence de session opened for user root ?
Merci.

#4

Alors concernant le compte invite il a été crée par moi oui, un utilisateur ne possédant pas de droit important juste FTP et droit sur un serveur torrent…

Non l’évènement ne se répète pas par la suite, et le plus bizarre est qu’il n’y a aucune connexion SSH au même moment. :confused:

Pas de trace de connexion SSH dans les logs (supprimé pour ne pas laisser de trace peut-être ? ) donc pas d’adresse IP…j’ai juste au même moment (12:14:04 pile poil dans le /var/log/messages) un signal de rsyslogd du genre [origine software = “rsyslogd” swVersion=“8.4.2” x-pid=“292” x-info=“http://www.rsyslog.com”] exiting - puis le même signal en START … cela serais peut-être en rapport ? Je ne sais pas …

#5

Merci à tous pour votre réponse.
Malheuresement, je ne pense qu’il n’y a rien à en tirer entre mon screenshot et la “session opened for user root”, seulement des tâches CRON automatique crée de base et rédigé par l’entreprise mettant à disposition ses VPS.

Je met une capture quand même. :slight_smile:

#6

Ça vient sûrement d’une session root ouverte il y a plus longtemps. Après, je ne saurais pas trop te dire, mais c’est peut-être spécifique au système installé par ton fournisseur.

#7

Effectivement il est possible que ce soit sa…je n’arrive pas trop à donner une définir exactement les événements qui se sont produits…

En tout cas merci beaucoup pour vos réponses.
Cordialement.