Tentative d'intrusion bizarre

Support Debian
#1

Voilà le mail que m’a envoyé fail2ban :

[code]Hi,

The IP 192.168.0.Y has just been banned by Fail2Ban after
3 attempts against ssh.

Regards,

Fail2Ban
[/code]
cette IP est celle de ma machine principale qui me sert habituellement à gérer mon serveur en SSH.
Bien sûr, je ne peux plus y accéder via cette machine mais via une autre du réseau, j’ai ces logs :

ricardo@serveur:~$ grep sshd /var/log/auth.log Dec 28 00:20:18 serveur sshd[24244]: Failed password for ricardo from 192.168.0.Yport 56659 ssh2 Dec 28 00:20:18 serveur sshd[24244]: Failed password for ricardo from 192.168.0.Yport 56659 ssh2 Dec 28 00:20:18 serveur sshd[24244]: Failed password for ricardo from 192.168.0.Y port 56659 ssh2 Dec 28 02:04:08 serveur sshd[30551]: Accepted password for ricardo from 192.168.0.Xport 50851 ssh2 Dec 28 02:04:08 serveur sshd[30551]: pam_unix(sshd:session): session opened for user ricardo by (uid=0) Dec 28 02:08:55 serveur sshd[30565]: Received disconnect from 192.168.0.X: 11: disconnected by user Dec 28 02:08:55 serveur sshd[30551]: pam_unix(sshd:session): session closed for user ricardo Dec 28 02:10:33 serveur sshd[30966]: Accepted password for ricardo from 192.168.0.Xport 45801 ssh2 Dec 28 02:10:33 serveur sshd[30966]: pam_unix(sshd:session): session opened for user ricardo by (uid=0) Dec 28 02:11:58 serveur sshd[30979]: Received disconnect from 192.168.0.6: 11: disconnected by user Dec 28 02:11:58 serveur sshd[30966]: pam_unix(sshd:session): session closed for user ricardo Dec 28 02:12:05 serveur sshd[24720]: Received signal 15; terminating. Dec 28 11:38:55 serveur sshd[1008]: Server listening on 0.0.0.0 port XXXXXX Dec 28 11:38:55 serveur sshd[1008]: Server listening on :: port XXXXXXX Dec 28 12:15:08 serveur sshd[3881]: Accepted password for ricardo from 192.168.0Xport 47307 ssh2 Dec 28 12:15:08 serveur sshd[3881]: pam_unix(sshd:session): session opened for user ricardo by (uid=0)
Comment fait un malintentionné pour tenter une intrusion par l’IP interne ?

#2

En premier lien je dirais “rootkit”, un épluchage des logs ( même si je doute que les traces existent ) un épluchage des md5 de la machine.

En deuxième lieu ( peut-être en premier lieu si je branche mon cervelet :005 ) vérification qu’un script perso ne cherche pas à se connecter via ssh :whistle:

#3

[quote=“Clochette”]En premier lien je dirais “rootkit”, un épluchage des logs ( même si je doute que les traces existent ) un épluchage des md5 de la machine.

En deuxième lieu ( peut-être en premier lieu si je branche mon cervelet :005 ) vérification qu’un script perso ne cherche pas à se connecter via ssh :whistle:[/quote]
rkhunter ne voit rien d’anormal
“surveillance” : aucune modification de md5

Qu’entends-tu par script perso : un des miens ?
Si c’était le cas, je ne me serais pas trompé 3 fois de pass.

#4

C’est du wifi chez toi ?

#5

Putainggggggggg, tu me fais penser à quelque chose : en ce moment, mon fils cadet est à la maison et je lui ai installé un relais DAP wifi/eth combiné.
Comme il est sous windows, il est possible qu’il ait des visiteurs indiscret ???
Sinon, moi je ne transite qu’en filaire, à par ce DAP.
Toutefois, pour répondre à ta question, oui, le wifi est branché mais je suis assez isolé et les possibilités les plus proches sont à 100 mètres environ.

#6

En tout cas, un wifi/wep se cracke en 10 mn, et 100m entre toi et tes voisins, c’est vraiment pas énorme (une bonne antenne style chicorée , pas d’obstacle et le tour est joué). Une fois ton wifi piraté, un script qui ping toutes les IP possibles de ton réseau local (les 192.168.0…) donnera au pirate les IP que tu utilises. Après, il attaque celle qu’il désire.
Je serais toi:
–> je regarderai les logs pour savoir l’heure des tentatives d’attaques, et voir si ton ordi qui est censé avoir cette IP (The IP 192.168.0.Y) était en marche. S’il ne l’était pas, …
–> j’enfermerai mon fils à la cave pdt une bonne journée. Si les attaques cessent, tu sais ce qu’il te reste à faire…
–> si ton fils semble innocent, je vérifierai son pc (il est peut-être infecté).

#7

Pour mon fils, no problem, il se tire demain dans son nouvel appart, bon débarras :laughing:
J’ai “durci” mes règles fail2ban.
Je vais suivre tes conseils et surveiller tout ça, merci.
Pas wep mais WPA
Par contre, FreeWifi ???
Demain, je vire tout ce qui est wifi pendant un certain temps, pour suivre.

#8

Si c’est du WPA (j’imagine que tu as un mot de passe long comme le bras), ça m’étonnerait que ça vienne de l’extérieur (j’imagine mal dans un coin paumé un voisin situé à 100m réussir après un temps infini à te pirater ton wifi/WPA).
Je chercherais plutôt du côté du PC de ton fils. Ah les gosses, j’te jure…on n’a jamais la paix alors, c’est ça ?

#9

Hacker de père en fils… :mrgreen: :005

Mais effectivement, c’est du côté du Wifi (et éventuellement du PC de ton fils) que je regarderais.
N’importe qui peut craquer un accès wifi.

Aller ensuite s’amuser à faire des ssh sur les machines du réseau craqué c’est plus vicieux.

Y’a pas des logs dans ton boitier wifi? Normalement si: dhcplease, horaires des connexions, adresses mac, etc…

#10

Oui mais c’est un “gamin” de 41 ans quand même :unamused:
Quant à essayer de cracker son père, je ne pense pas qu’il en soit capable, il ne connait rien en Linux et en informatique en général, juste utilisateur de windows.
Je vais encore fouiller les logs mais ce matin, rien de suspect.

Pas vu de logs dans ce machin :
http://www.ldlc.com/fiche/PB00057071.html