Piratage de mon serveur ssh?

Support Debian
#21

Oui certainement, du moins c’est la base d’une attaque “réussie”, savoir conserver son anonymat.

Et c’est une règle primordiale. On ne sait jamais sur qui on peut tomber…

Donc en gros, la chose importante, c’est lorsque tu es attaqué, ne joue pas à la loi du talion contre l’ip indiquée, il s’agit très souvent d’un leurre.

[quote]De plus, comment font ils pour détecter l’utilisation de serveurs ssh sur le réseau??

Ont ils une armée de bot qui sniffent le réseau??[/quote]

Oui possible aussi, il y a trop de possibilités…

As-tu mis en place le fail2ban ? Qu’indique un tail -f /var/log/fail2ban.log en root ?

Tu peux également te renseigner sur DenyHosts. :smt002

Bonne nuit à toi.

#22

Bonjour,

C’est quoi ces ‘signal 15’ ? :

[quote]…
Jul 17 14:09:16 debian sshd[5870]: reverse mapping checking getaddrinfo for host-58-98.pool.intred.it [62.97.58.98] failed - POSSIBLE BREAK-IN ATTEMPT!
Jul 17 14:09:16 debian sshd[5870]: Invalid user postgres from 62.97.58.98
Jul 17 14:09:16 debian sshd[5870]: pam_unix(sshd:auth): check pass; user unknown
Jul 17 14:09:16 debian sshd[5870]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=62.97.58.98
Jul 17 14:09:18 debian sshd[5870]: Failed password for invalid user postgres from 62.97.58.98 port 60721 ssh2
Jul 17 14:22:24 debian sshd[2748]: Received signal 15; terminating.
Jul 17 15:33:37 debian sshd[2504]: Server listening on 0.0.0.0 port 22.
Jul 17 15:33:37 debian sshd[2504]: Server listening on :: port 22.
…[/quote]
Edit: Je ne parle pas du SIGTERM, mais du fait que cela soit cyclique, tu l’as paramétré comme cela (temporisation) ?
ou…
Tu as quelque chose qui les génère ?
Tu as cela ailleurs dans ton log normalement ?

#23

Je ne sais ce que sont ces “signaux 15” :unamused:

#24

Je m’en doutais. :confused:

Il faudrait qu’un pro d’ SSH dise si c’est normal … ou pas.

En attendant essaye de voir si tu n’as pas un cron qui se déclenche à ces mêmes heures.

#25

Peu probable. Il est devenu extrêmement difficile de faire du spoofing IP en TCP à travers internet. C’est certainement une machine déjà compromise.

Ils scannent le port 22 sur des plages entières d’adresses IP, tout bêtement.

#26

Et pour le SIGTERM, tu as une idée ?

@M3t4linux: Tu continues de l’avoir dans ton log ce signal 15 ?

#27

Pour réponse…

Jul 24 13:54:48 debian sshd[2539]: Received signal 15; terminating. Jul 24 15:56:16 debian sshd[2519]: Server listening on 0.0.0.0 port 22. Jul 24 15:56:16 debian sshd[2519]: Server listening on :: port 22. Jul 24 15:56:16 debian sshd[2519]: Received signal 15; terminating. Jul 24 15:56:16 debian sshd[2565]: Server listening on 0.0.0.0 port 22. Jul 24 15:56:16 debian sshd[2565]: Server listening on :: port 22.

Inquiétant?? Pas encore vérifié si il y a un cron :unamused:

#28

Inquiétant … bah, tout dépend de ce que tu trouves inquiétant …

D’après ton log:

  • tu as ton serveur ssh qui reboote régulièrement sans raison … ce qui est la meilleure manière pour activer de nouveaux réglages … entre autre.

  • ton serveur écoute sur toutes les adresses (réseau local et internet) en IPv4 (et on dirait en IPv6 aussi), ce qui reviens à vouloir se cacher en faisant de grand geste au milieu d’un terrain de golf.

… Mais après-tout c’est ton ordi, hein. :smt003

#29

Franchement, je ne sais pas pourquoi tout cela se produit.
J’ai juste voulu installer ce serveur ftp sur ssh pour échanger avec la famille… :unamused:

Voici les lignes concernant cron sur le auth.log

Jul 24 16:17:01 debian CRON[4130]: pam_unix(cron:session): session opened for user root by (uid=0) Jul 24 16:17:01 debian CRON[4130]: pam_unix(cron:session): session closed for user root Jul 24 17:17:01 debian CRON[4447]: pam_unix(cron:session): session opened for user root by (uid=0) Jul 24 17:17:02 debian CRON[4447]: pam_unix(cron:session): session closed for user root Jul 24 18:17:01 debian CRON[4753]: pam_unix(cron:session): session opened for user root by (uid=0) Jul 24 18:17:01 debian CRON[4753]: pam_unix(cron:session): session closed for user root Jul 24 19:17:02 debian CRON[5166]: pam_unix(cron:session): session opened for user root by (uid=0) Jul 24 19:17:02 debian CRON[5166]: pam_unix(cron:session): session closed for user root

Qu’est ce que ça veut dire??

Je n’y comprends rien, je suis qu’un noob, qu’elle incompétence et ignorance!!!

#30

Bon, en attendant d’en savoir plus mais aussi d’en apprendre plus, j’ai fermé le port 22 et arrêté le serveur ssh…

Au menu pour moi ces prochains jours :

fail2ban
chkrootkit
rkhunter
sécuriser un serveur ssh

J’ai trouvé quelques liens, si vous en avez d’autres qui seraient “à ne pas manquer” :smt006
Et d’autres pistes d’apprentissage…

Merci beaucoup à tous :smt006

#31

En fait ce que je disais c’est si l’heure à laquelle cela se produit correspond à l’heure à laquelle un cron se déclenche, au cas où cela soit une maintenance. Désolé de ne pas avoir été plus clair avant.
Maintenant il te reste à comparer les heures entre les deux logs.

Hum, si c’est pour échanger des fichiers occasionnellement avec la famille pourquoi ne pas ouvrir chacun un compte jabber et se les échanger par là ? Cela évite les failles de sécurités du serveur SSH et celle du serveur FTP (c’est pas obliger qu’il y est des failles mais de ne pas avoir de serveur évite de se faire cracker par eux en cas de faille ! :wink: ). Comme cela vous êtes en P2P direct et vous pouvez même crypter la connexion.

Quand on débute il faut faire simple. :wink:

Pour fail2ban, chkrootkit et rkhunter, vas-y c’est toujours bon à avoir même sans serveur.

#32

Tient pour chkrootkit : http://forum.cabane-libre.org/index.php?p=topic&p_id=3153#p3153

il te faudra un serveur mail pour pouvoir recevoir tes logs bizzare

Après il faut absolument et systématiquement ne pas utiliser les ports d’origine pour tes activités internet genre le ssh en port 22 c’est proscrit mais un autre chose voici un lien avec tout plein de port référencé pour éviter de mettre un autre déjà utilisé : http://fr.wikipedia.org/wiki/Liste_des_ports_logiciels

Pour fail2ban je me suis inspiré d’un sur un wiki mais je le retrouve pas désolé :stuck_out_tongue:

#33

Pour eviter les attaques en brute force sur les mots de passe, une autre methode, c’est de desactiver l’authentification par mot de passe:
Dans /etc/ssh/sshd_config

[quote]PasswordAuthentication no
[/quote]
J’ai changé ca depuis hier et plus rien dans les logs… ca en devient presque triste :slightly_smiling: Je vais pouvoir enlever fail2ban.

#34

Saluts,

[quote=“M3t4linux”]Bonsoir!!

En lisant ce post http://forum.debian-fr.org/search.php?search_id=active_topics, je me suis dis qu’il était peut être temps d’aller jeter un oeil du côté de mes logs.
J’ai monté un serveur sftp mysecureshell basé sur ssh.
Actuellement, je n’ai créé qu’un compte.

Un très grand merci à ceux qui prendront la peine de lire ce post… :smt002

[/quote]
C’est avec grand plaisir … :023

Étant toujours en quête de sécurité, sur debian-fr et la toile en général, voici donc ce fil remis au menu du jour.

Dans la mesure ou je prépares la futur installation de mysecureshell, une fois que la clé réceptionné.

Encore un fil très mais vraiment très instructif, comme je les aimes.

Un seul hic !

J’aimerai savoir comment fait tu M3t4linux pour remonter l’espace temps ? :033

En cliquant sur ton lien : forum.debian-fr.org/search.php?s … ive_topics je me retrouve dans l’espace temps Présent … 08 juillet 2011 … ???

Ton url aurait elle subit une attaque par une brute … :005 :005 :005

J’ai beau cliquer et re-cliquer, je me re-trouve encore et encore dans … active_topics

Dans la mesure ou tu as aiguisé ma curiosité d’entrée de post, j’aimerai bien savoir à quelle post tu faisait référence … S’il te plaît.

T’est-il possible de réparer cette url pirater ??? :005 :005 :005

Toi où l’un(e) des participants(e).

Merci d’avance.

Je vous en serre cinq … :wink:

ps: je suis à la quête de la clé E328F22B … merci.

#35

Une solution toute simple, est l’utilisation des clés ssh.
Ensuite, il suffit de verrouiller la connexion par mot de passe.

Voir pour cela ssh-keygen, et la directive ‘PasswordAuthentication no’ dans /etc/ssh/sshd_config.

Pour le reste, à première vue, ta machine ne semble pas compromise.
Une install et exécution de rkhunter et chkrootkit ne peut pas faire de mal.

[edit] Ouuups, j’avais pas vu le post quasi-semblable au dessus.

#36

il semblerait qu’il n’y ai pas que ce post … :mrgreen:… diagonale ! :mrgreen: