Bonjour a tous,
En lisant le log secure de SSH, je me suis rendu compte qu'un individu malveillant avait réussi a se connecter sur ma machine CentOs.
Ce qui est bizarre c'est qu'il a tenté plein de usernames, comme si il connaissait le mot de passe.
(le username est très faible : o, mais le mot de passe était assez fort)
Nov 21 23:18:34 raid0 sshd[1403]: input_userauth_request: invalid user nwsham
Nov 21 23:18:34 raid0 sshd[1400]: pam_unix(sshd:auth): check pass; user unknown
Nov 21 23:18:34 raid0 sshd[1400]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=host-62-24-184-241.as13285.net
Nov 21 23:18:34 raid0 sshd[1400]: pam_succeed_if(sshd:auth): error retrieving information about user nwsham
Nov 21 23:18:35 raid0 sshd[1400]: Failed password for invalid user nwsham from 62.24.184.241 port 55197 ssh2
Nov 21 23:18:36 raid0 sshd[1403]: Received disconnect from 62.24.184.241: 11: Bye Bye
Nov 21 23:18:37 raid0 sshd[1404]: Invalid user nwworkshop from 62.24.184.241
Nov 21 23:18:37 raid0 sshd[1407]: input_userauth_request: invalid user nwworkshop
Nov 21 23:18:38 raid0 sshd[1404]: pam_unix(sshd:auth): check pass; user unknown
Nov 21 23:18:38 raid0 sshd[1404]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=host-62-24-184-241.as13285.net
Nov 21 23:18:38 raid0 sshd[1404]: pam_succeed_if(sshd:auth): error retrieving information about user nwworkshop
Nov 21 23:18:40 raid0 sshd[1404]: Failed password for invalid user nwworkshop from 62.24.184.241 port 55276 ssh2
Nov 21 23:18:40 raid0 sshd[1407]: Received disconnect from 62.24.184.241: 11: Bye Bye
Nov 21 23:18:42 raid0 sshd[1408]: Invalid user nxuser from 62.24.184.241
Nov 21 23:18:42 raid0 sshd[1411]: input_userauth_request: invalid user nxuser
Nov 21 23:18:43 raid0 sshd[1408]: pam_unix(sshd:auth): check pass; user unknown
Nov 21 23:18:43 raid0 sshd[1408]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=host-62-24-184-241.as13285.net
Nov 21 23:18:43 raid0 sshd[1408]: pam_succeed_if(sshd:auth): error retrieving information about user nxuser
Nov 21 23:18:44 raid0 sshd[1408]: Failed password for invalid user nxuser from 62.24.184.241 port 55359 ssh2
Nov 21 23:18:45 raid0 sshd[1411]: Received disconnect from 62.24.184.241: 11: Bye Bye
Nov 21 23:18:47 raid0 sshd[1412]: Accepted password for o from 62.24.184.241 port 55451 ssh2
]Nov 21 23:18:48 raid0 sshd[1412]: pam_unix(sshd:session): session opened for user o by (uid=0)
Nov 21 23:18:48 raid0 sshd[1416]: Received disconnect from 62.24.184.241: 11: Bye Bye
Nov 21 23:18:48 raid0 sshd[1412]: pam_unix(sshd:session): session closed for user o
Comme je suis un boulet en administration système, j'ai fermé la connexion distante ssh et changé le mot de passe en attendant de mettre a jour ma machine point de vue
sécurité (j'ai vu des tutos sur fail2ban etc..)
Si vous pouviez m'éclairer sur 2 questions :
* Comment l'attaquant peut il connaitre le mot de passe sans le username, d’habitude dans un brute-force c'est l'inverse non ?
* Il s'est reconnecté quelques fois avant que je ferme le tunnel, comment puis je pister ses actions sur ma machine, le log bash étant largement périmé ?
Message édité par pipotronic le 27-11-2012 à 22:58:51