Bonjour a tous,
 
En lisant le log secure de SSH, je me suis rendu compte qu'un individu malveillant avait réussi a se connecter sur ma machine CentOs.
Ce qui est bizarre c'est qu'il a tenté plein de usernames, comme si il connaissait le mot de passe.
(le username est très faible : o, mais le mot de passe était assez fort)
 
Nov 21 23:18:34 raid0 sshd[1403]: input_userauth_request: invalid user nwsham
Nov 21 23:18:34 raid0 sshd[1400]: pam_unix(sshd:auth): check pass; user unknown
Nov 21 23:18:34 raid0 sshd[1400]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=host-62-24-184-241.as13285.net  
Nov 21 23:18:34 raid0 sshd[1400]: pam_succeed_if(sshd:auth): error retrieving information about user nwsham
Nov 21 23:18:35 raid0 sshd[1400]: Failed password for invalid user nwsham from 62.24.184.241 port 55197 ssh2
Nov 21 23:18:36 raid0 sshd[1403]: Received disconnect from 62.24.184.241: 11: Bye Bye
Nov 21 23:18:37 raid0 sshd[1404]: Invalid user nwworkshop from 62.24.184.241
Nov 21 23:18:37 raid0 sshd[1407]: input_userauth_request: invalid user nwworkshop
Nov 21 23:18:38 raid0 sshd[1404]: pam_unix(sshd:auth): check pass; user unknown
Nov 21 23:18:38 raid0 sshd[1404]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=host-62-24-184-241.as13285.net  
Nov 21 23:18:38 raid0 sshd[1404]: pam_succeed_if(sshd:auth): error retrieving information about user nwworkshop
Nov 21 23:18:40 raid0 sshd[1404]: Failed password for invalid user nwworkshop from 62.24.184.241 port 55276 ssh2
Nov 21 23:18:40 raid0 sshd[1407]: Received disconnect from 62.24.184.241: 11: Bye Bye
Nov 21 23:18:42 raid0 sshd[1408]: Invalid user nxuser from 62.24.184.241
Nov 21 23:18:42 raid0 sshd[1411]: input_userauth_request: invalid user nxuser
Nov 21 23:18:43 raid0 sshd[1408]: pam_unix(sshd:auth): check pass; user unknown
Nov 21 23:18:43 raid0 sshd[1408]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=host-62-24-184-241.as13285.net  
Nov 21 23:18:43 raid0 sshd[1408]: pam_succeed_if(sshd:auth): error retrieving information about user nxuser
Nov 21 23:18:44 raid0 sshd[1408]: Failed password for invalid user nxuser from 62.24.184.241 port 55359 ssh2
Nov 21 23:18:45 raid0 sshd[1411]: Received disconnect from 62.24.184.241: 11: Bye Bye
Nov 21 23:18:47 raid0 sshd[1412]: Accepted password for o from 62.24.184.241 port 55451 ssh2
]Nov 21 23:18:48 raid0 sshd[1412]: pam_unix(sshd:session): session opened for user o by (uid=0)
Nov 21 23:18:48 raid0 sshd[1416]: Received disconnect from 62.24.184.241: 11: Bye Bye
Nov 21 23:18:48 raid0 sshd[1412]: pam_unix(sshd:session): session closed for user o
 
Comme je suis un boulet en administration système, j'ai fermé la connexion distante ssh et changé le mot de passe en attendant de mettre a jour ma machine point de vue
sécurité (j'ai vu des tutos sur fail2ban etc..)
 
Si vous pouviez m'éclairer sur 2 questions :
* Comment l'attaquant peut il connaitre le mot de passe sans le username, d’habitude dans un brute-force c'est l'inverse non ?  
* Il s'est reconnecté quelques fois avant que je ferme le tunnel, comment puis je pister ses actions sur ma machine, le log bash étant largement périmé ?

qu'il parvienne à se connecter qu'une seule seconde O_o
je pense que c'est un bot..
 
au cas où,  j'aurais changé le port standard d'écoute du serveur ssh (22->?)
Je laisse ma place aux admins en sécurité

C'est plutôt un bot qui test les couples login / mot de passe courant par défaut.
 
Et effectivement fail2ban est un premier début pour limiter ce genre de désagrément.

Nous ce qu'on fait, au niveau de notre pare-feu, c'est qu'on active les règles d'accès distant au besoin. Quand on a terminé, on la désactive.
 
Après, j'avoue que c'est pas forcement jouable dans toutes les structures.

Je pense aussi que c'est un bot, mais il n'a fait qu'une tentative avec le bon username et s'est connecté tout de suite, signe qu'il avait le mot de passe, ce qui est étrange (mot de passe fort et unique, utilisé uniquement par moi pour SSH)
 
Il s'est reconnecté 3 fois 5 min le lendemain "a la main" et a tenté sudo, il a aussi changé le mot de passe. Pas moyen de savoir s'il a fait autre chose de néfaste ?

à mon avis il faut que tu sortes au plus vite ton serveur du réseau pour analyse, en tout cas.

 
+1

Ok, merci pour vos reponses

bon deja  ce que tu doit faire :  
 
tape sur google " liste des port" et tu prend  un port quin 'est pas désigné par  un service  ( 2222 par exemple )
 
ensuite edit ton fichier conf :
 
vim /etc/ssh/sshd_config
 
desactive l'autentification root et change le port par default (22)
 
ensuite tu elabore ta connexion ssh avec clé RSA  > 2048 bits minimum
 
Sur ce site tu a les procedure :  
 
http://tux-security.forums-actifs.com/f2-tutorial
 
le principe reste le meme que se soit du windows  ou linux car on utilise dans tous les cas openssh sur windows