Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1979 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Intrusion sur mon serveur par SSH

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Intrusion sur mon serveur par SSH

n°103731
pipotronic
Posté le 27-11-2012 à 22:53:42  profilanswer
 

Bonjour a tous,
 
En lisant le log secure de SSH, je me suis rendu compte qu'un individu malveillant avait réussi a se connecter sur ma machine CentOs.
Ce qui est bizarre c'est qu'il a tenté plein de usernames, comme si il connaissait le mot de passe.
(le username est très faible : o, mais le mot de passe était assez fort)
 
Nov 21 23:18:34 raid0 sshd[1403]: input_userauth_request: invalid user nwsham
Nov 21 23:18:34 raid0 sshd[1400]: pam_unix(sshd:auth): check pass; user unknown
Nov 21 23:18:34 raid0 sshd[1400]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=host-62-24-184-241.as13285.net  
Nov 21 23:18:34 raid0 sshd[1400]: pam_succeed_if(sshd:auth): error retrieving information about user nwsham
Nov 21 23:18:35 raid0 sshd[1400]: Failed password for invalid user nwsham from 62.24.184.241 port 55197 ssh2
Nov 21 23:18:36 raid0 sshd[1403]: Received disconnect from 62.24.184.241: 11: Bye Bye
Nov 21 23:18:37 raid0 sshd[1404]: Invalid user nwworkshop from 62.24.184.241
Nov 21 23:18:37 raid0 sshd[1407]: input_userauth_request: invalid user nwworkshop
Nov 21 23:18:38 raid0 sshd[1404]: pam_unix(sshd:auth): check pass; user unknown
Nov 21 23:18:38 raid0 sshd[1404]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=host-62-24-184-241.as13285.net  
Nov 21 23:18:38 raid0 sshd[1404]: pam_succeed_if(sshd:auth): error retrieving information about user nwworkshop
Nov 21 23:18:40 raid0 sshd[1404]: Failed password for invalid user nwworkshop from 62.24.184.241 port 55276 ssh2
Nov 21 23:18:40 raid0 sshd[1407]: Received disconnect from 62.24.184.241: 11: Bye Bye
Nov 21 23:18:42 raid0 sshd[1408]: Invalid user nxuser from 62.24.184.241
Nov 21 23:18:42 raid0 sshd[1411]: input_userauth_request: invalid user nxuser
Nov 21 23:18:43 raid0 sshd[1408]: pam_unix(sshd:auth): check pass; user unknown
Nov 21 23:18:43 raid0 sshd[1408]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=host-62-24-184-241.as13285.net  
Nov 21 23:18:43 raid0 sshd[1408]: pam_succeed_if(sshd:auth): error retrieving information about user nxuser
Nov 21 23:18:44 raid0 sshd[1408]: Failed password for invalid user nxuser from 62.24.184.241 port 55359 ssh2
Nov 21 23:18:45 raid0 sshd[1411]: Received disconnect from 62.24.184.241: 11: Bye Bye
Nov 21 23:18:47 raid0 sshd[1412]: Accepted password for o from 62.24.184.241 port 55451 ssh2
]Nov 21 23:18:48 raid0 sshd[1412]: pam_unix(sshd:session): session opened for user o by (uid=0)
Nov 21 23:18:48 raid0 sshd[1416]: Received disconnect from 62.24.184.241: 11: Bye Bye
Nov 21 23:18:48 raid0 sshd[1412]: pam_unix(sshd:session): session closed for user o

 
Comme je suis un boulet en administration système, j'ai fermé la connexion distante ssh et changé le mot de passe en attendant de mettre a jour ma machine point de vue
sécurité (j'ai vu des tutos sur fail2ban etc..)
 
Si vous pouviez m'éclairer sur 2 questions :
* Comment l'attaquant peut il connaitre le mot de passe sans le username, d’habitude dans un brute-force c'est l'inverse non ?  
* Il s'est reconnecté quelques fois avant que je ferme le tunnel, comment puis je pister ses actions sur ma machine, le log bash étant largement périmé ?


Message édité par pipotronic le 27-11-2012 à 22:58:51
mood
Publicité
Posté le 27-11-2012 à 22:53:42  profilanswer
 

n°103732
trekker92
-où sont ils? -..tout près....
Posté le 28-11-2012 à 00:20:31  profilanswer
 

qu'il parvienne à se connecter qu'une seule seconde O_o
je pense que c'est un bot..
 
au cas où,  j'aurais changé le port standard d'écoute du serveur ssh (22->?)
Je laisse ma place aux admins en sécurité ;)

n°103734
com21
Modérateur
real men don't click
Posté le 28-11-2012 à 08:36:00  profilanswer
 

C'est plutôt un bot qui test les couples login / mot de passe courant par défaut.
 
Et effectivement fail2ban est un premier début pour limiter ce genre de désagrément.


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
n°103741
still_at_w​ork
Posté le 28-11-2012 à 13:25:16  profilanswer
 

Nous ce qu'on fait, au niveau de notre pare-feu, c'est qu'on active les règles d'accès distant au besoin. Quand on a terminé, on la désactive.
 
Après, j'avoue que c'est pas forcement jouable dans toutes les structures.


---------------
In my bed, but still_at_work.
n°103743
pipotronic
Posté le 28-11-2012 à 14:27:08  profilanswer
 

Je pense aussi que c'est un bot, mais il n'a fait qu'une tentative avec le bon username et s'est connecté tout de suite, signe qu'il avait le mot de passe, ce qui est étrange (mot de passe fort et unique, utilisé uniquement par moi pour SSH)
 
Il s'est reconnecté 3 fois 5 min le lendemain "a la main" et a tenté sudo, il a aussi changé le mot de passe. Pas moyen de savoir s'il a fait autre chose de néfaste ?

n°103759
Misssardon​ik
prévisible a posteriori
Posté le 28-11-2012 à 16:57:19  profilanswer
 

à mon avis il faut que tu sortes au plus vite ton serveur du réseau pour analyse, en tout cas.

Message cité 1 fois
Message édité par Misssardonik le 28-11-2012 à 16:57:26

---------------
Que va-t-il se passer cette gelgamar ? vous le découvrirez janamont à 20h
n°103760
com21
Modérateur
real men don't click
Posté le 28-11-2012 à 16:58:13  profilanswer
 

Misssardonik a écrit :

à mon avis il faut que tu sortes au plus vite ton serveur du réseau pour analyse, en tout cas.


 
+1


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
n°103778
pipotronic
Posté le 28-11-2012 à 22:35:43  profilanswer
 

Ok, merci pour vos reponses

n°104148
cyrus16
Posté le 12-12-2012 à 17:59:22  profilanswer
 

bon deja  ce que tu doit faire :  
 
tape sur google " liste des port" et tu prend  un port quin 'est pas désigné par  un service  ( 2222 par exemple )
 
ensuite edit ton fichier conf :
 
vim /etc/ssh/sshd_config
 
desactive l'autentification root et change le port par default (22)
 
ensuite tu elabore ta connexion ssh avec clé RSA  > 2048 bits minimum
 
Sur ce site tu a les procedure :  
 
http://tux-security.forums-actifs.com/f2-tutorial
 
le principe reste le meme que se soit du windows  ou linux car on utilise dans tous les cas openssh sur windows ;)


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Intrusion sur mon serveur par SSH

 

Sujets relatifs
[RECH] Commande SSH asa 5510Bien choisir une salle serveur
Verrouiller l'accès distant à un serveur ?Serveur de virtualisation d'application
déploiement d'un serveur 2003SSD à utiliser pour un serveur
[lag réseau] Ancien serveur AD remonte dans ipconfig /displaydns 
Plus de sujets relatifs à : Intrusion sur mon serveur par SSH


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR