# [Sécurité Réseau] Accès illégal au SSH! (Résolu)

## digimag

Bonjour,

Je suis tout simplement stupefait:

```
Jan  7 09:47:44 [sshd]

[...]

 Invalid user rpcuser from 219.117.232.218

Jan  7 09:47:46 [sshd] Invalid user rpc from 219.117.232.218

Jan  7 09:47:48 [sshd] Invalid user gopher from 219.117.232.218

Jan  7 10:53:01 [sshd] Accepted keyboard-interactive/pam for root from 194.199.224.99 port 14354 ssh2
```

  :Shocked:  Ce n'est pas l'IP qui scannait, la 219.117.232.218, je m'en fiche mais 194.199.224.99... Là, je ne comprends plus rien!!! La seule personne qui a le mot de passe est moi. Moi, j'ai un FAI sous le nom d'Alice et mon IP commence toujours par 83 (ou défois 82 je crois)! Jamais je n'aurai pu avoir ceci comme IP. De plus, juste après il y a ma connection:

```
Jan  7 10:53:01 [sshd] Accepted keyboard-interactive/pam for root from 194.199.224.99 port 14354 ssh2

Jan  7 13:27:08 [sshd] Accepted publickey for root from 83.157.23.27 port 57043 ssh2
```

Alors, c'est un mistère pour moi. Que dois-je faire maintenant? Et puis, suis-je tellement vulnérable?  :Rolling Eyes:  Je ne comprends pas comment cela est-ce possible...

Regardez d'où vient l'IP en question...

Personnellement, j'habite à Marseille. Mais l'adresse IP en question est là et bien là, vous pouvez faire un ping dessus, alors qu'actuellement mon IP a déjà changé!  :Crying or Very sad:  Ce n'est pas moi dans tous les cas, derrière cette IP...

----------

## coco-loco

A ta place, je changerai tout de suite de mot de passe. Mets quelque chose de compliqué, avec des majuscules, miniscules et des chiffres et lettres mélangés. C'est peut être quelqu'un qui fait tourner un programme pour craquer les mots de passe - si c'est trop simple, ça se déchiffre ne moins de deux.

----------

## kernelsensei

Mhh, juste par curiosité, ton ancien mot de passe root (car tu l'as changé je pense) avait combien de caracteres ? Et quoi comme ? Tu alternais alpha et num ? Majuscules / Minuscules et caracteres speciaux ?

N'empeche si il a reussi du premier coup, le mot de passe a du etre intercepté d'une maniere ou d'une autre, car sinon on aurait constaté une attaque bruteforce ... (a moins qu'il ait eu du pot et que ton mdp etait le premier de sa liste !)

----------

## dapsaille

 *coco-loco wrote:*   

> A ta place, je changerai tout de suite de mot de passe. Mets quelque chose de compliqué, avec des majuscules, miniscules et des chiffres et lettres mélangés. C'est peut être quelqu'un qui fait tourner un programme pour craquer les mots de passe - si c'est trop simple, ça se déchiffre ne moins de deux.

 

 Je ne suis pas d'accord ... si le système a été pénétré en plus sans brute force , le mec doit savoir ce qu'il fait donc dès qu'il est rentré tu peux etre sur a 90% que le système est plombé ...

----------

## kernelsensei

 *dapsaille wrote:*   

>  *coco-loco wrote:*   A ta place, je changerai tout de suite de mot de passe. Mets quelque chose de compliqué, avec des majuscules, miniscules et des chiffres et lettres mélangés. C'est peut être quelqu'un qui fait tourner un programme pour craquer les mots de passe - si c'est trop simple, ça se déchiffre ne moins de deux. 
> 
>  Je ne suis pas d'accord ... si le système a été pénétré en plus sans brute force , le mec doit savoir ce qu'il fait donc dès qu'il est rentré tu peux etre sur a 90% que le système est plombé ...

 

+1

Reinstall complete et si necessaire, recuperation des data utilisées en les passant a la loupe !  :Wink: 

----------

## coco-loco

Après réfléction, je suis d'accord, pas de trace de brute force.

Mais si c'est intercepté... serait-il assez bête pour utiliser le même mot de passe pour différents accès (peut-être même le internet-banking?), dans ce cas, il faut réagir vite, sinon...

----------

## Talosectos

C'est bizzarre, tu nous dit que tu es de marseille est l'ip est à peu près au même endroit. Ne serait-ce pas une personne que tu connais? Voila ce que donne whois.

----------

## kernelsensei

en effet ... renater c'est pas un reseau de fac en france ? Tu te serais pas connecté de ta fac / ecole / ... ?

----------

## Adrien

 *kernel_sensei wrote:*   

> en effet ... renater c'est pas un reseau de fac en france

 

Renater c'est un groupe qui s'occupe (entre autres peut-être) de surveiller le traffic qu'il y a sur la totalité du réseau auquel sont connectées toutes les facs de France.

edit: C'est aussi le nom du réseau apparemment...  :Smile: 

----------

## Talosectos

 *Adrien wrote:*   

>  *kernel_sensei wrote:*   en effet ... renater c'est pas un reseau de fac en france 
> 
> Renater c'est un groupe qui s'occupe (entre autres peut-être) de surveiller le traffic qu'il y a sur la totalité du réseau auquel sont connectées toutes les facs de France.
> 
> edit: C'est aussi le nom du réseau apparemment... 

 

tout à fait : Lien

Le groupe, ce serait pas plutôt le CERT-Renater

----------

## Adrien

 *Talosectos wrote:*   

> Le groupe, ce serait pas plutôt le CERT-Renater

 

Oui c'est ça, mais les informaticiens du coin disent juste "renater"   :Wink: 

----------

## -KuRGaN-

Mais pourquoi encore utilisé des mots de passe pour SSH, je comprend pas. Le système par echange de clès est quand même beaucoup plus sécurisé non?

----------

## _droop_

Sinon,

Bon, je vais pas repondre spécifiquement à ce threads, je vais essayer de donner quelques conseils pour un ssh accessible par internet :

- désactiver l'accès root (et s'assurer que les mot de passes utilisateurs sont assez compliqués, avec cracklib par exemple : http://www.gentoo.org/doc/fr/security/security-handbook.xml?part=1&chap=7).

- désactiver le protocole 1 (il me semble qu'il y a des problèmes dans son design).

- si possible modifier le port d'ecoute (ça évites nombre de bots).

- option : utiliser un script de détection de force brute (style fail2ban).

Voilà, çà me parait un bon début (si vous en avez d'autres, n'hésitez pas)...

Bonne journée.

----------

## digimag

 :Evil or Very Mad:  Un long soupir.

C'est pour la première fois que j'ai un truc pareil. Les faits:Mon mot de passe était sous la forme de xxxxXXXX (xxxx sont des lettres minuscules différentes et XXXX sont des chiffres différents). De toute façon, je viens de le changer par un autre beaucoup plus difficile: plus de dix caractères (je dis pas combien  :Wink:  ), chiffres, minuscules,majuscules,caractères spéciaux...

Ce même mot de passe était présent sur mon ordinateur personnel (lui aussi déjà changé) auquel je me suis connecté une fois depuis le collège via Putty; à l'époque, je n'avais même pas le serveur dédié en question

Ce mot de pas n'a jamais été communiqué à qui que ce soit

Je me suis connecté avec le mot de passe assez souvent au serveur dédié, depuis pas longtemps j'utilise une clef publique. Cependant, et ça c'est tout un autre problème, le fichier de configuration SSH précise qu'une connection par mot de passe n'est pas permise, or, SSH ignore cela! Je m'en suis aperçu dès que j'ai modifié la configuration, mais je n'ai pas creusé pour savoir pourquoi mes paramètres n'étaient pas pris en compte, je me suis dit que ça sera paranoïque.

Le serveur est mis à jour manuellement chaques 24 heures.

Rien n'a été changé sur le serveur. En tout cas, rien d'éffacé, rien de modifié apparament. J'ai remarqué juste un accès aux fichiers de portage.

Coup de guele

Non...

Ah enfin!!! Je me suis rappellé... Je suis un âne

Roooh... Autant de stress pour rien.

Mais oui, j'étais au collège, je me suis connecté au serveur pour mettre à jour portage... Mais oui...

Et moi qui part à la recherche du pirate qui s'appelle Digimag...

Ah, toutes mes excuses! Et moi je m'imaginais déjà des services secrets frannçais éspionner je ne sais qui et je ne sais pourquoi! Et moi qui allait porter plainte contre X se trouvant derrière 194.199.224.99... Et moi qui allait mettre un mot de passe dans Grub du serveur à distance et crypter le contenu des disques durs, ayant perdu toute confiance en soi et en tout autre humain...

Bon, je m'en arrête là. Juste avant de mettre (Résolu), que conseilerez-vous pour plus de sécurité? J'ai lu pas mal des guides sur le SSH mais cela était, franchement, assez compliqué... Clef publique, clef privée, tunnel, et toutes ces choses là que je n'ai pas compris. Je vais y revenir, je comprendrai, il faut juste que je réflechisse, mais en attendant, suis-je assez protégé? Je vous en prie, faites tous vos tests imaginables sur 213.251.165.178, je pense que le serveur tiendra bon. En tout cas j'étais fier d'avoir réussi à mettre un par-feu (iptables) avec des régles qui empêchent le DOS.

Bref, merci! Au moins, j'ai appris à quel réseau mon collège appartenait!

----------

## _droop_

Ouf   :Smile: 

Comme je le disais au dessus, ne te connectes jamais directement en root sur une machine, après on met du temps à trouver qui l'a fait (surtout qand il y a plusieurs administrateurs).

Sinon, regarde un peu ce que j'ai mis au dessus, je suis sûr que des âmes charitables vont venir completer celà...

----------

## digimag

 *_droop_ wrote:*   

> Ouf  
> 
> Comme je le disais au dessus, ne te connectes jamais directement en root sur une machine, après on met du temps à trouver qui l'a fait (surtout qand il y a plusieurs administrateurs).
> 
> Sinon, regarde un peu ce que j'ai mis au dessus, je suis sûr que des âmes charitables vont venir completer celà...

 Merci à toi, ce message était surement arrivé pendant que je saisissais  :Wink: 

----------

## -KuRGaN-

Pub=on

 J'ai fait un petit tuto pour SSH avec les deux types de configurations (clefs et mot de passe), si ça interresse quelq'un !!

Pub=off

 :Laughing:   :Laughing: 

----------

## Enlight

 *Quote:*   

> Jan  7 09:47:46 [sshd] Invalid user rpc from 219.117.232.218
> 
> Jan  7 09:47:48 [sshd] Invalid user gopher from 219.117.232.218 

 

Par contre celui-là, ça sent le script-kiddie qui essaye les bonnes vieilles bacdors d'une autre époque. Qui fait un how-to "comment défoncer la gu... au batard qui a essayé de me bruteforcer?"  :Mr. Green: 

----------

## boozo

 *k_s wrote:*   

> N'empeche si il a reussi du premier coup, le mot de passe a du etre intercepté d'une maniere ou d'une autre, car sinon on aurait constaté une attaque bruteforce ... (a moins qu'il ait eu du pot et que ton mdp etait le premier de sa liste !)

 

c'est criant de vérité   :Wink:   celà dit à moins de mettre un pwd du type "toto1972", c'est vraiment délirant de se faire hacker en oneshot... m^ si la probabilité statistique de trouver en un seul tirage un passwd de +/- 8 caractères +chiffres existe je vous le confère.

sinon avec qqch du genre :

passroot >10 chiffres + lettres sans signifiaction déductible

interdire la connection root directe

autoriser le protocole 2 uniquement

mettre fail2ban en background

on risque plus grand chose... m^ si tout est possible, celui qui entre sera gaillard qd m^  :Twisted Evil: 

BTW :

 *Enlight wrote:*   

>  *Quote:*   Jan  7 09:47:46 [sshd] Invalid user rpc from 219.117.232.218
> 
> Jan  7 09:47:48 [sshd] Invalid user gopher from 219.117.232.218  
> 
> Par contre celui-là, ça sent le script-kiddie qui essaye les bonnes vieilles bacdors d'une autre époque. Qui fait un how-to "comment défoncer la gu... au batard qui a essayé de me bruteforcer?" 

 

en voilà une idée sympatique...   :Very Happy:    qui de surcroit permettrait d'apprendre plein de choses à n'en pas douter   :Wink: 

bon les geeks là... oui oui les vrais... au fond du forum qui grommèlent tout le temps... va falloir arrêter d'en promettre hein ?!  va falloir en donner !   :Mr. Green: 

ps: je parse mes logs... si y'en a qui se sentent l'humeur badine sur le pwd... oui oui je sais qu'y'en a qui vont y penser   :Razz:  

----------

## bulki

Je vois une ou l'autre solution à ça:

- en tout cas pas du brute force  :Wink:  (pas besoin d'être ingénieur pour dire ça)

- Open-ssh avec trojan ? 

- Tu as subit une attaque par man in the middle ? (par downgrade par exemple, si le serveur accepte aussi le sshv1,5)

- Tu avais un soft qui présentait une faille de sécurité ? (Comme Squid, ou autre) et le type aurait modifié ton login.sh dans le but d'avoir ton pass à postériori.

- Tu t'es connecté sur ta machine en faisant du tunneling et tu t'en rappelles plus ?

Bon, dans le cas où tu as un soft qui donne un des privilèges root, il va peut-être falloir remettre ton système à jour, changer le mdp ne servirai à rien :S... essaie d'utiliser des chrootkits (qui recherches des rootkits éventuels sur ta bécane). Si tu en trouves un, tu peux tout réinstaller le système, parce que c'est quasiment impossible de l'irradier totalement...

bonne chance

+

----------

## kernelsensei

@bulki : Il s'est connecté de l'école pour mettre sa gentoo a jour, il s'en est souvenu ! (voir quelques posts au dessus !)

----------

## bulki

 *kernel_sensei wrote:*   

> @bulki : Il s'est connecté de l'école pour mettre sa gentoo a jour, il s'en est souvenu ! (voir quelques posts au dessus !)

 

LOL, j'avais pas lu le pavé  :Razz: ... ça y est, mon identité aux yeux du forum est fouttue  :Sad: ...  :Embarassed: 

----------

## nuts

c'est pas prudent de laisser ssh avec un acces root direct. malgré que ssh soit secure, on sait jamais.

----------

## digimag

Ça y est, tout parametré, ça roule! Il me semble que j'ai tout bien configuré... contre les ataques (DOS nottament). Si ça vous tente, vous pouvez me tester à ce numéro de téléphone: 213.251.165.178  :Laughing: 

P.S. Juste un truc... SSH ne veut pas m'écouter quand je lui dis de ne pas accepter les conenctions par mot de passe (par contre pour le reste de la config, ça marche parfaitement)...

```
PasswordAuthentication no
```

Je peux toujours me connecter avec le mot de passe, sans clef publique.

----------

## kernelsensei

Tu aurais pas UsePAM yes par hasard ?

----------

## -KuRGaN-

 *kernel sensei wrote:*   

> Tu aurais pas UsePAM yes par hasard ?

 

Ben j'ai testé en l'activant et il me connecte bien par échange de clés !! Donc je ne pense pas que ce soit ça !!

----------

## kernelsensei

oui, mais si tu te connectes sans clef (avec password), il accepte ?

----------

## El_Goretto

Extrait de mon fichier:

```
# Set this to 'yes' to enable PAM authentication, account processing,

# and session processing. If this is enabled, PAM authentication will

# be allowed through the ChallengeResponseAuthentication mechanism.

# Depending on your PAM configuration, this may bypass the setting of

# PasswordAuthentication, PermitEmptyPasswords, and

# "PermitRootLogin without-password". If you just want the PAM account and

# session checks to run without PAM authentication, then enable this but set

# ChallengeResponseAuthentication=no

UsePAM yes

```

Moralité: ChallengeResponseAuthentication=no && UsePAM yes = yabon les clés sans les passwords  :Smile: 

----------

## digimag

Si. J'ai UsePAM yes.

----------

## Talosectos

 *digimag wrote:*   

> Si. J'ai UsePAM yes.

 

Donc tu peux te connecter sans clé.

Si ce n'est pas ce que tu veux, enlève UsePAM yes

----------

## El_Goretto

Euh, j'ai l'impression de causer dans le vent...   :Confused: 

J'ai dit une énormité?

----------

## Talosectos

 *El_Goretto wrote:*   

> Euh, j'ai l'impression de causer dans le vent...  
> 
> J'ai dit une énormité?

 

Je ne sais pas si j'ai bien compris ce que tu as dit. Avec UsePam yes, on peut toujours s'authentifier avec le mot de passe. Donc pour n'utiliser que les clés, il faut enlever cette option.

----------

## El_Goretto

Nan, pas si tu mets aussi ChallengeResponseAuthentication=no.

----------

## Talosectos

 *El_Goretto wrote:*   

> Nan, pas si tu mets aussi ChallengeResponseAuthentication=no.

 

Je ne comprends pas l'utilité de laisser UsePAM yes alors?

J'ai manqué quelque chose?   :Confused: 

----------

## guilc

 *Talosectos wrote:*   

>  *El_Goretto wrote:*   Nan, pas si tu mets aussi ChallengeResponseAuthentication=no. 
> 
> Je ne comprends pas l'utilité de laisser UsePAM yes alors?
> 
> J'ai manqué quelque chose?  

 

L'utilité est une configuration "propre" de l'environnement du shell distant : voir par exemple le travail fait par PAM au niveau des exports de variables pour l'export X, le setting des limites (/etc/security/limits.conf), etc...

----------

## Talosectos

 *guilc wrote:*   

> L'utilité est une configuration "propre" de l'environnement du shell distant : voir par exemple le travail fait par PAM au niveau des exports de variables pour l'export X, le setting des limites (/etc/security/limits.conf), etc...

 

Merci pour cette explication   :Smile:  . C'est beaucoup plus clair comme çà.

----------

## digimag

 *Talosectos wrote:*   

>  *guilc wrote:*   L'utilité est une configuration "propre" de l'environnement du shell distant : voir par exemple le travail fait par PAM au niveau des exports de variables pour l'export X, le setting des limites (/etc/security/limits.conf), etc... 
> 
> Merci pour cette explication   . C'est beaucoup plus clair comme çà.

 +1  :Wink: 

Merci!

----------

