Serveur possiblement compromis. Besoin de conseils

Bonjour à tous.

Il y avait un long moment que je n’avais pas posté ici et c’est une bien triste affaire qui m’amène. J’heberge chez moi un petit serveur qui me rend bien des services. Il tourne sous Debian 8 bien entendu et je fais régulièrement les mises à jour proposées.

J’ai mis en place plusieurs sécurités pour éviter les ennuis de la part de malandrins mal intentionnés, en particulier un pare-feu très restrictif, fail2ban pour éviter les multiples essais de connexion, et un VPN pour accéder à la majorité des autres ressources.

J’ai un rapport hebdomadaire de suivi de mes logs envoyé par mail via gmail.

Hier matin, première chose bizarre, mon rapport hebdomaire n’est pas envoyé car google le considère comme du spam. Hier soir, j’essaye de me connecter en SSH depuis chez moi au serveur (dans la boucle locale donc) et je reçois le fameux message m’avertissant que le fingerprint du serveur à changé et que je risque d’être victime d’une attaque man-in-the-middle. Par sécurité j’ai préféré arrêter le serveur dans un premier temps afin d’identifier la faille et de la corriger si possible.

Étant donné que je me connectais depuis mon réseau local, j’ai pensé que mon routeur était peut-être compromis. Je l’ai restauré avec le dernier firmware du constructeur récupéré depuis un réseau sans-fil au cas où sans changement.

Du coup je ne comprends pas si c’est un faux positif, auquel cas, j’aimerai comprendre pourquoi le fingerprint a changé (il me semble que je n’ai pas mis openSSH à jour depuis ma dernière connexion). Et si il y a vraiment eu prise de contrôle de la machine, comment s’en assurer et éviter au maximum les dommages.

Et surtout, comment une attaque de type man-in-the-middle peut-elle être possible sur la boucle locale alors qu’il n’y a que le routeur entre moi et le serveur ?

Merci d’avance pour vos conseils éclairés.

Pour le message MIM c’est juste un message générique, si tu es certain de ta chaine de connexion ignore le. Mais ça veux bien dire que ton serveur a eu un soucis.
Si ta machine a vraiment été compromis avec changement de mot de passe je doute que tu puisse t’y connecter. Mais considère dès a présent qu’il faudra le réinstaller entièrement.
Il serais bien que tu arrive a identifier par ou s’est introduit la personne, tu as Wordpress ou un truc du genre sur le serveur ?

Le mot de passe n’a pas été changé j’ai testé en me connectant directement sur la machine. Et la seule chose que j’ai changé dans la chaîne de connexion depuis la dernière connexion c’est que j’ai mi à jour mon routeur (ASUS RT-AC68U).

J’ai fait un coup de nmap hier pour détecter d’éventuels échanges non prevus sans résultats.

Dessus j’ai effectivement un WordPress qui se met à jour tout seul en principe. Faudrait que je vérifie ce point. Il y a eu des failles importantes ces temps ci ?

Merci pour le coup de main en tout cas.

Oui il me semble qu’une dépendance de Wordpress a eu une faille critique dernièrement.
Sinon install RKhunter pour vérifier s’il ne t’a pas laisser une porte dérobé.

Rkhunter est déjà installé et rien de spécial de détecté. C’est vraiment étrange cette histoire. Je vais séparer ma frappe Raid et formater tout le système histoire d’être sûr. Par contre j’aimerai bien savoir qu’est ce qui techniquement peut modifier l’identifiant d’un serveur.