Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1480 connectés 

  FORUM HardWare.fr
  Réseaux grand public / SoHo
  Sécurité

  piratage de mon reseau

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

piratage de mon reseau

n°377289
Krary
Posté le 03-09-2008 à 18:58:24  profilanswer
 

Bonjour a tous,
 
Voila je m'adresse a vous car j'ai un problème de taille! se matin j'ai reçu un email de free indiquant qu'une plainte avait été déposée contre moi pour tentative d'infiltration sur un serveur distant. il y a eu au total 9 tentatives (provenant de mon adresse ip public) par ssh bloquées par ce fameux serveur distant. free ma donc ordonné de régler le problème au plus vite sous peine de me couper ma ligne. le soucis c'est que ces tentatives se sont toute produites dans la nuit de dimanche a lundi. or je n'était pas cher moi se week (week-end en famille ...). j'ai également sur mon réseau un serveur linux hébergent mes sites web. j'ai donc essayer de m'y connecter en root via ssh et l'authentification ma été refusé ... j'en conclu donc que la personne s'étant infiltrée sur mon réseau a réussi a casser le mot de passe root du serveur. j'ai pu également constater que ce dernier avait créer un compte sur mon serveur au nom de "gaby". j'ai également l'adresse mac de ce fameux gaby (dans l'extrait de log fourni par free il est mentionné l'adresse mac provenant de la requête).  
 
tout ceci n'a rien d'un canular, étant moi même informaticien j'avoue être impressionné par le travail de cette personne. je précise que mon réseau wifi est protéger par une clé wpa (TKIP + AES ).  
 
a l'heure actuel étant en déplacement, je ne sais pas si cette personne a infiltré mon réseau via ma connexion wifi ou via mon serveur web.
 
Je me join donc a vous avec l'espoir que quelqu'un pourra m'aider dans ce grave problème. en effet, plusieurs site web professionnel sont hébergé cher moi (ne contenant pas de données très importante mais bon ... ), il serait dommage de devoir formater mon serveur et tout devoir reconfigurer sachant que s'il a réussi a rentrer une fois, il pourra recommencer a l'infinie.  
 
Je sais que je peut le bloquer au niveau de mon routeur étant donné que je dispose de son adresse mac je peut indiquer au routeur de bloquer toute les requête provenant de cette adresse mais par fierté et par curiosité je n'ai pas envie de le laisser s'en sortir aussi simplement.
 
Dans l'attente de réponse qui je l'espère pourront m'éclaircir sur les différente question que je me pose a savoir par les biais est-il rentré sur mon réseau, etc ...  
 
cordialement
 
Sébastien
 

mood
Publicité
Posté le 03-09-2008 à 18:58:24  profilanswer
 

n°377292
Misssardon​ik
prévisible a posteriori
Posté le 03-09-2008 à 19:03:51  profilanswer
 

A mon avis dans tous les cas tu devras formater ton disque dur et refaire ton système. Ensuite pour savoir d'où ça vient, en général on commence par regarder dans les logs pour voir ce qui a été fait.


---------------
Que va-t-il se passer cette gelgamar ? vous le découvrirez janamont à 20h
n°377293
Krary
Posté le 03-09-2008 à 19:07:10  profilanswer
 

merci pour ta réponse . j'ai déjà essayer de visionner les log d'authentification etc de mon serveur mais je ne dispose pas des droit suffisant pour visionner tout sa. heureusement que j'avais un compte de secours qui n'a pas (encore) été supprimer mais ce compte ne me permet malheureusement pas de visionner tout ce qui a été fait et modifier sur mon serveur ..

n°377303
laxou
bof bof ...
Posté le 03-09-2008 à 19:35:04  profilanswer
 

en attendant mets ton serveur offline tout de suite si ce n'est pas déjà fait, ça pourrait empêcher gaby de revenir fouttre le boxzon


Message édité par laxou le 03-09-2008 à 19:35:45

---------------
Keep cool, have fun. Always.
n°377332
Krary
Posté le 03-09-2008 à 22:12:50  profilanswer
 

impossible! je ne dispose pas des droits nécessaires pour le couper a distance via ssh! je rentre a mon domicile demain donc d'ici la, est-ce que certain on des suggestion a me faire sur les possibilité de le retrouver?

n°377351
fun_key
Posté le 03-09-2008 à 23:25:10  profilanswer
 

Le formatage, tu n'y coupera pas; ainsi qu'une révision complète de ton réseau.
 
Après, au niveau du piratage, je pense que ca vient plus du web que du wifi; moins d'étapes sont necesaires via le web:
 
Par le web:  
- Exploit d'une faille, sql injection, ...
 
Par le wifi:
- Crackage du wifi pour accéder à la machine
- Exploit d'une faille, sql injection, ...
 
De plus, comme te l'a dit free, ton server a effectué des attaques SSH sur d'autres server. Il y a de grande chance que la même chose te soit arrivé et que ton server y ai succombé (faille, mdp faible, ...).
 
Après, il ne faut pas exclure d'eventuels troyans, keylogers, .. sur d'autres postes.
 
Cette histoire d'adresse MAC ne me parait pas clair, je doute que ce soit l'adresse réellement celle de gaby, car premièrement la MAC ne traverse pas les routers (je pense que ca doit être celle du router le plus proche), et deuxièmement il est très facile de spoofer sa MAC

n°377370
T3K
Berserk Overkill Certified
Posté le 04-09-2008 à 02:00:13  profilanswer
 

fun_key a écrit :


Cette histoire d'adresse MAC ne me parait pas clair, je doute que ce soit l'adresse réellement celle de gaby, car premièrement la MAC ne traverse pas les routers (je pense que ca doit être celle du router le plus proche), et deuxièmement il est très facile de spoofer sa MAC


 
+1 ;)
 
elles ne sont valables que pour le même domaine de diffusion
dès qu'on passe un routeur, les paquets ip sont encapsulés dans une nouvelle série de trame ethernet avec des MAC différentes.
 
 
ça fout bien les boules en tous cas. Le routeur n'as pas de firewall pour bloquer en sortie ? parceque ça éviterais bien des soucils  :lol: (règle par défault : bloquer, et au dessus, juste DNS/HTTP/HTTPS d'autorisé en sortie)


Message édité par T3K le 04-09-2008 à 02:04:08
n°377402
zeblods
Posté le 04-09-2008 à 11:02:16  profilanswer
 

Krary a écrit :

Bonjour a tous,
 
Voila je m'adresse a vous car j'ai un problème de taille! se matin j'ai reçu un email de free indiquant qu'une plainte avait été déposée contre moi pour tentative d'infiltration sur un serveur distant. il y a eu au total 9 tentatives (provenant de mon adresse ip public) par ssh bloquées par ce fameux serveur distant. free ma donc ordonné de régler le problème au plus vite sous peine de me couper ma ligne. le soucis c'est que ces tentatives se sont toute produites dans la nuit de dimanche a lundi. or je n'était pas cher moi se week (week-end en famille ...). j'ai également sur mon réseau un serveur linux hébergent mes sites web. j'ai donc essayer de m'y connecter en root via ssh et l'authentification ma été refusé ... j'en conclu donc que la personne s'étant infiltrée sur mon réseau a réussi a casser le mot de passe root du serveur. j'ai pu également constater que ce dernier avait créer un compte sur mon serveur au nom de "gaby". j'ai également l'adresse mac de ce fameux gaby (dans l'extrait de log fourni par free il est mentionné l'adresse mac provenant de la requête).  
 
tout ceci n'a rien d'un canular, étant moi même informaticien j'avoue être impressionné par le travail de cette personne. je précise que mon réseau wifi est protéger par une clé wpa (TKIP + AES ).  
 
a l'heure actuel étant en déplacement, je ne sais pas si cette personne a infiltré mon réseau via ma connexion wifi ou via mon serveur web.
 
Je me join donc a vous avec l'espoir que quelqu'un pourra m'aider dans ce grave problème. en effet, plusieurs site web professionnel sont hébergé cher moi (ne contenant pas de données très importante mais bon ... ), il serait dommage de devoir formater mon serveur et tout devoir reconfigurer sachant que s'il a réussi a rentrer une fois, il pourra recommencer a l'infinie.  
 
Je sais que je peut le bloquer au niveau de mon routeur étant donné que je dispose de son adresse mac je peut indiquer au routeur de bloquer toute les requête provenant de cette adresse mais par fierté et par curiosité je n'ai pas envie de le laisser s'en sortir aussi simplement.
 
Dans l'attente de réponse qui je l'espère pourront m'éclaircir sur les différente question que je me pose a savoir par les biais est-il rentré sur mon réseau, etc ...  
 
cordialement
 
Sébastien
 


Pour ce qui est du Wifi, utiliser le WPA2 AES avec un mot de passe d'au moins 20 caractères aléatoires (au pire les inscrires sur la borne wifi pour les "stocker" )

n°377405
Krary
Posté le 04-09-2008 à 11:35:09  profilanswer
 

merci a tous pour vos réponses.  donc hormis formater mon serveur y a t-il d'autre solution? même pour la suite, s'il a réussi une fois, il peut recommencer indéfiniment donc quelle mesure me conseiller vous? enfin quelqu'un connaitrait-il une solution afin de remontrer a la source?

n°377411
slywalker
Posté le 04-09-2008 à 12:15:27  profilanswer
 

ton accès ssh à ton serveur, il est configuré comment ?
 
tu autorises les connexions en "root" ? utilises-tu des certificats ?
 
voici quelques pistes à exploiter pour sécuriser l'accès ssh :

  • interdire l'accès au compte root
  • utiliser des certificats utilisateurs et couper les accès login/mdp
  • éventuellement changer le port d'écoute du serveur ssh


Message édité par slywalker le 04-09-2008 à 14:25:17
mood
Publicité
Posté le 04-09-2008 à 12:15:27  profilanswer
 

n°377414
armagad
Posté le 04-09-2008 à 12:41:27  profilanswer
 

je pense qu avant le formatage tu a surement d autre possibilite.
Deja a tu ton serveur a jour noyau linux ...... Je pense que la personne a du utilise la "faille" du SSH qui a ete corrige.
Ensuite change ta clef wifi
Comme tu la dit bloque son adresse mac avec ton routeur.
Supprime tous les comptes qui la pu creer ainsi que tous les softs qui la pu installer. (d ailleur c'est la premiere des choses a faire)
Tu tourne avec quel sereur linux ?
Ensuite j informerait Free en lui indiquant que tu a ete pirate en leur envoyant egalement l'adresse mac de la personne (voir meme j irai porte plainte egalement car on ne sait pas ce qui la pu faire a partir de ton serveur). Sauvegarde autre part que dans ton serveur le fichier log qui pourra te servir de preuve en cas de besoin.
 
bon courage

n°377453
Krary
Posté le 04-09-2008 à 15:56:51  profilanswer
 

bonjour a tous, je suis a nouveau chez moi. alors pour répondre a slywalker, oui j'autorise les connexion root et pour les certificat, j'ai laisser par défaut.
armagad : ma version linux est la 7.10 serveur donc effectivement elle n'est plus a jour. comment savoir si cette personne passe par mon réseau wifi? étude de trame?
 
j'ai peut être une solution mais je ne sais pas encore si elle va fonctionner : je pense qu'en récupèrent le disque dur je peut réussir a accéder o fichier de log depuis un autre poste, je vais donc essayer sa cette après midi.  
 
en tout cas merci pour votre aide, je vous tiendrai informer si je fait une découverte lol

n°377465
Krary
Posté le 04-09-2008 à 16:44:24  profilanswer
 

Bon j'ai réussi a ressortir le fichier de log pour l'authentification. il semblerait que cela soit un programme qui tourne en boucle et qui test la connexion ssh sur chaque port. je met a disposition le fichier si certain on quelques minutes a m'accorder afin de m'éclaircir sur toutes ces lignes de codes.  
 
Dans ce fichier j'ai constater plusieurs adresse ip ainsi que la création de ce fameux compte "gaby".
 
Quels fichier serait intéressent de récupérer maintenant que j'ai accès a tout le disque?
 
merci d'avance a ceux qui pourront m'éclaircir
 
fichier de log : http://krary.free.fr/auth.log


Message édité par Krary le 04-09-2008 à 16:47:00
n°377467
Nirzil
Posté le 04-09-2008 à 16:46:58  profilanswer
 

tu peux me l'envoyer en MP si tu veux, j'ai un peu de temps devant moi ;)

n°377468
Krary
Posté le 04-09-2008 à 16:47:39  profilanswer
 

dsl j'avais oublié de mettre le lien ^^
 
c'est édité

n°377508
mmc
Posté le 04-09-2008 à 19:24:22  profilanswer
 

L'IP de Gaby vient de Roumanie.
Je pense que c'est une attack par force brute.
On voit qu'il a fait plusieurs tentatives par connexion ssh qui ont échoués jusqu'à temps qu'il trouve ton mots de passe.
Connexion/déconnexion puis pafff connexion accepté ... il a trouvé ... ensuite il a changé ton mots passe root ...
Tu avais un compte kate auparavant ?


Message édité par mmc le 04-09-2008 à 19:44:56
n°377516
Krary
Posté le 04-09-2008 à 19:52:03  profilanswer
 

oui sur le serveur il y avait plusieurs compte (dont kate) rattachées a différents site web. il y a trois question au quelles je souhaiterai un eclaircicement si possible :  
 
La premiere c'est que aucun de mes site web n'est referencé pour le moment, c'est des site privé. comment est-il arrivé jusqu'à mon serveur?
 
La seconde c'est que j'ai maintenant a disposition tous les fichiers du serveur (logs, ...etc) les quelles seraient interessent de conserver?
 
Enfin la derniere question, sachant que cette personne est intracable, que me conseiller vous de faire?
 
merci a tous

n°377517
Krary
Posté le 04-09-2008 à 19:56:51  profilanswer
 

mmc peut tu me dire ce qui t'indique que son IP vient de roumanie? il est possible de le retracer?

n°377518
Nirzil
Posté le 04-09-2008 à 19:59:11  profilanswer
 

y'a un log qui montre une connexion root réussie aussi depuis la Chine (edit : et du Mexique aussi), il doit se balader de proxy en proxy, donc intraçable à priori, mais en tout cas rien à voir avec ton WiFi
 
tiens, un petit lien intéressant, à envisager par la suite :
 
http://wiki.generation-linux.yi.or [...] eforce_ssh
 
mais les conseils donnés plus haut sont judicieux, et surtout ne pas oublier les updates pour les failles ;)


Message édité par Nirzil le 04-09-2008 à 20:06:17
n°377519
Nirzil
Posté le 04-09-2008 à 20:05:42  profilanswer
 

Krary a écrit :

mmc peut tu me dire ce qui t'indique que son IP vient de roumanie? il est possible de le retracer?


 
en console :
 

whois 86.107.209.179
% This is the RIPE Whois query server #3.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html
 
% Note: This output has been filtered.
%       To receive output for a database update, use the "-B" flag.
 
% Information related to '86.107.208.0 - 86.107.215.255'
 
inetnum:        86.107.208.0 - 86.107.215.255
netname:        SC-PROSOFT-COMPUTERS-SRL
descr:          SC Prosoft Computers SRL
descr:          Sos. Bucuresti Bl. 202/5D, Sc. B, Et.4, Ap.30
descr:          Giurgiu Giurgiu 080302
country:        ro
admin-c:        BCC6-RIPE
tech-c:         BCC6-RIPE
status:         ASSIGNED PA
remarks:        Registered through http://www.jump.ro/ip.html
mnt-by:         RO-MNT
mnt-lower:      RO-MNT
mnt-routes:     PROSOFT-MNT
source:         RIPE # Filtered
 
person:         BOGDAN CATALIN COSTEL
address:        Prosoft Computers SRL
address:        Sos. Bucuresti Bl. 202/5D, Sc. B, Et.4, Ap.30
address:        Giurgiu Giurgiu 080302
phone:          +40-246-231082
fax-no:         +40-246-231082
e-mail:         abuse@pscomp.ro
nic-hdl:        BCC6-RIPE
mnt-by:         PROSOFT-MNT
source:         RIPE # Filtered
 
% Information related to '86.107.208.0/21AS35075'
 
route:          86.107.208.0/21
descr:          SC Prosoft Computers SRL
origin:         AS35075
mnt-by:         PROSOFT-MNT
source:         RIPE # Filtered
 
% Information related to '86.107.208.0/23AS35075'
 
route:          86.107.208.0/23
descr:          SC Prosoft Computers SRL
origin:         AS35075
mnt-by:         PROSOFT-MNT
source:         RIPE # Filtered


 

whois 79.114.235.237
% This is the RIPE Whois query server #3.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html
 
% Note: This output has been filtered.
%       To receive output for a database update, use the "-B" flag.
 
% Information related to '79.112.0.0 - 79.119.255.255'
 
inetnum:        79.112.0.0 - 79.119.255.255
netname:        RO-RDS-20070529
org:            ORG-RA18-RIPE
descr:          RCS & RDS SA
country:        RO
admin-c:        CN19-RIPE
tech-c:         RDS-RIPE
status:         ALLOCATED PA
mnt-by:         RIPE-NCC-HM-MNT
mnt-lower:      AS8708-MNT
mnt-routes:     AS8708-MNT
source:         RIPE # Filtered
 
organisation:   ORG-RA18-RIPE
org-name:       RCS & RDS SA
org-type:       LIR
address:        Romania Data Systems SA
                Ciprian Nica
                Forum 2000 Building
                71-75 Dr. Staicovici
                050557 Bucharest
                Romania
phone:          +40 21 301 0850
phone:          +40 31 400 4243
fax-no:         +40 31 400 4207
admin-c:        CN19-RIPE
mnt-ref:        AS8708-MNT
mnt-ref:        RIPE-NCC-HM-MNT
mnt-by:         RIPE-NCC-HM-MNT
source:         RIPE # Filtered
 
role:           Romania Data Systems NOC
address:        71-75 Dr. Staicovici
address:        Bucharest / ROMANIA
phone:          +40 21 30 10 888
fax-no:         +40 21 30 10 892
abuse-mailbox:  abuse@rcs-rds.ro
admin-c:        CN19-RIPE
admin-c:        GEPU1-RIPE
tech-c:         CN19-RIPE
tech-c:         GEPU1-RIPE
nic-hdl:        RDS-RIPE
mnt-by:         AS8708-MNT
remarks:        +--------------------------------------------------------------+
remarks:        |    ABUSE CONTACT: abuse@rcs-rds.ro IN CASE OF HACK ATTACKS,  |
remarks:        |    ILLEGAL ACTIVITY, VIOLATION, SCANS, PROBES, SPAM, ETC.    |
remarks:        | !! PLEASE DO NOT CONTACT OTHER PERSONS FOR THESE PROBLEMS !! |
remarks:        +--------------------------------------------------------------+
source:         RIPE # Filtered
 
person:         Ciprian Nica
remarks:        Senior IP Engineer
remarks:        Romania Data Systems
address:        Bucharest, Romania
phone:          + 40 31 400 42 43
abuse-mailbox:  abuse@rcs-rds.ro
remarks:        ------------------------------------------------
remarks:        | Please don't send me any abuse complaints.   |
remarks:        | Use abuse@rcs-rds.ro for that or contact     |
remarks:        | your service provider or local authorities   |
remarks:        | !! DO NOT CALL ME REGARDING ABUSE ISSUES !!  |
remarks:        ------------------------------------------------
nic-hdl:        CN19-RIPE
mnt-by:         NIMACI-MNT
source:         RIPE # Filtered
 
% Information related to '79.112.0.0/13AS8708'
 
route:          79.112.0.0/13
descr:          RDSNET
origin:         AS8708
mnt-by:         AS8708-MNT
source:         RIPE # Filtered


 

whois 200.36.183.18
 
% Joint Whois - whois.lacnic.net
%  This server accepts single ASN, IPv4 or IPv6 queries
 
% LACNIC resource: whois.lacnic.net
 
 
% Copyright LACNIC lacnic.net
%  The data below is provided for information purposes
%  and to assist persons in obtaining information about or
%  related to AS and IP numbers registrations
%  By submitting a whois query, you agree to use this data
%  only for lawful purposes.
%  2008-09-04 15:04:45 (BRT -03:00)
 
inetnum:     200.36.183.16/28
status:      reassigned
owner:       Optel Telecomunicaciones S.A. de C.V.
ownerid:     MX-OTSC1-LACNIC
responsible: Ing. Guadalupe Estrada Vazquez
address:     Prol Paseo de la Reforma, 1200, Piso 6
address:     05349 - Mexico - DF
country:     MX
phone:       +52 55 16168300 []
owner-c:     GRY
tech-c:      GRY
abuse-c:     GRY
created:     19980311
changed:     20030624
inetnum-up:  200.36.160/19
inetnum-up:  200.36/16
 
nic-hdl:     GRY
person:      Hostmaster Telefonica Empresas Mexico
e-mail:      gestrada@TELEFONICAMOVILES.COM.MX
address:     Prol Paseo de la Reforma, 1200,  
address:     05349 - Mexico - DF
country:     MX
phone:       +52 55 16168300 []
created:     20030108
changed:     20070130


 
etc, etc...
 
Il est surement arrivé jusqu'à ton serveur avec un petit script nmap qui scanne des plages d'IP les unes après les autres jusqu'à ce qu'il en rencontre une qui lui répond et hop, tentative d'intrusion directe derrière


Message édité par Nirzil le 04-09-2008 à 20:17:27
n°377526
mmc
Posté le 04-09-2008 à 20:23:29  profilanswer
 

Oui, j'avais pas tous lu le log, il change d'IP proxy ou de PC zombie ... et se sert d'un logiciel qui tente plusieurs mots de passe à partir d'une base de donnés les plus susceptibles d'être choisie par un admin.
Donc pour le retracer, va pas être facile tous seul mais possible avec les autorités compétentes en portant plainte ...
 
 
Il a trouvé parce que ton mots de passe n'est pas assez fort, n'est-ce pas ? Ton mots de passe était simple ?
- Change ton mots passe avec des %?*^# avec au moins 12 caractères ... (mots de pass fort).
- Configure ton PC pour 3 tentatives de connexion sinon blocage pendant 1 à 5 min avant de ressayer à nouveau.  
- Connexion par ssh que les IP distant que tu connais ...
 
...


Message édité par mmc le 04-09-2008 à 20:24:21
n°377527
Krary
Posté le 04-09-2008 à 20:23:31  profilanswer
 

ok et bien merci a tous pour toutes ces informations !
 
on est vraiment pas a l'abri de ce genre de problème! moi qui pensait qu'avec mes quelques site même pas référencé jetait a l'abri de tout sa!
 
le sujet peut donc maintenant être clos!
 
bonne soirée tout le monde

n°377528
mmc
Posté le 04-09-2008 à 20:25:36  profilanswer
 

C'est peut-être un bots qui scan le réseau automatiquement à la recherche d'une proie facile ...

n°377530
Nirzil
Posté le 04-09-2008 à 20:30:47  profilanswer
 

bah oui, un petit script dans lequel on inclue des commandes nmap bien définies (scans de plages IP, puis si réponse d'une IP, scan des ports pour en trouver un ouvert, puis attaque ensuite si un est découvert), c'est pas nouveau :D
 
Une grande majorité des IP publiques dont des ports non stealthed (pas closed hein), ont été trouvés ont subi des tentatives d'intrusion de ce genre


Message édité par Nirzil le 04-09-2008 à 20:31:11
n°377531
Krary
Posté le 04-09-2008 à 20:31:59  profilanswer
 

mon mot de passe était "root*linux" ... je pense pas que cela soit un mot de passe simple!
 
Sinon je pense que c'est effectivement un problème de mise a jour comme il a été dit plus haut plutôt qu'un problème de "proie facile". lors de l'installation de paquets de type ssh les sécurité sont déjà toute principalement configuré par défaut donc même si je ne suis pas un experts en sécurité informatique, il me semble bizarre que cela soit si facile que sa de pirater un serveur !

n°377532
mmc
Posté le 04-09-2008 à 20:36:54  profilanswer
 

Pour moi ton mots passe est simple désolé.
Un logiciel par force brute te le trouve très rapidement et y a pas besoin de 5 ans pour le trouver ...


Message édité par mmc le 04-09-2008 à 20:38:40
n°377533
Nirzil
Posté le 04-09-2008 à 20:38:10  profilanswer
 

pas simple ?? tu rigoles :D un mot de passe fort contient des majuscules, minuscules, ponctuations, chiffres, le tout mélangé, du type : A%z75f?W*$q
 
et surtout jamais aucun mot du dictionnaire ou du jargon informatique, c'est trop facile sinon :D
 
quant à la facilité, ben détrompe-toi, c'est un jeu d'enfant si celui qui a mis en place n'a pas fait le nécessaire ;)

n°377535
mmc
Posté le 04-09-2008 à 20:41:18  profilanswer
 

Je rejoins le commentaire de Nirzil
 
Ton serveur était trop facile ... et en plus tu mets pas à jour on dirait ... lol


Message édité par mmc le 04-09-2008 à 20:41:43
n°377537
Krary
Posté le 04-09-2008 à 20:46:41  profilanswer
 

ouai mais bon comme dis plus haut on ne peut pas être fort dans tous les domaines et c'est bien pour sa que ce genre de site existe ,  pour partager ces connaissances ;-)
 
en tout cas c'est sympa d'avoir pris le temps de répondre a mes question.
 
++

n°377538
mmc
Posté le 04-09-2008 à 20:50:42  profilanswer
 

ok, pas de problème.  
 
Efface ton lien avec le log, il y a ton adresse IP de serveur dessus ... on ne sait jamais ...
 

n°377539
Krary
Posté le 04-09-2008 à 20:51:33  profilanswer
 

merci ^^

n°378131
armagad
Posté le 08-09-2008 à 12:35:52  profilanswer
 

donc met a jour ton serveur
ensuite met un mot de passe fort (beaucoup trop simple le tien) en general evite de mettre des mots du dictionnaire ;) et met des lettre/chiffre/majuscule/minuscule et caractere speciaux;)
 
Pour info apres ton message je suis allez verifier mes log du serveur ;) et j ai egalement des attaques enorme pour un exemple 900 en 45 minutes ;) mais rien n est passe avec SME 7 et surtout un mot de passe fort :)

n°378142
zeblods
Posté le 08-09-2008 à 12:55:52  profilanswer
 

Personellement pour ma session utilisateur, j'ai mis le même pass que celui de mon wifi : 28 caractère généré totalement aléatoirement, que j'ai inscrit sur mon routeur pour pas l'oublier.

 

Ensuite j'ai désactivé la possibilité de login du ROOT via SSH, seul les users sont autorisés.

 

Et j'ai mis en place un système de clef public/privée pour le loguer (le mot de passe étant trop compliqué pour le retenir et le taper à chaque fois...)

 

Est-ce que désactiver le login de ROOT est une bonne solution ? Est-ce que le système clef public/privée est fiable ?


Message édité par zeblods le 08-09-2008 à 12:56:15
n°378145
Nirzil
Posté le 08-09-2008 à 13:02:23  profilanswer
 

1) oui
2) pas forcément, d'où l'intérêt des updates, une faille étant toujours possible les concernant (les voleurs ont toujours une longueur d'avance, si ça n'était pas le cas, il n'y aurait plus de voleurs :D), c'est pas pour rien que les développeurs ont autant de boulot ;)
 
et changer le port 22 par un autre aussi, même si ça n'est pas efficace dans le cas d'un scan malicieux des ports ouverts sur l'IP de la machine découverte ;)  

n°378147
zeblods
Posté le 08-09-2008 à 13:05:47  profilanswer
 

Nirzil a écrit :

1) oui
2) pas forcément, d'où l'intérêt des updates, une faille étant toujours possible les concernant (les voleurs ont toujours une longueur d'avance, si ça n'était pas le cas, il n'y aurait plus de voleurs :D), c'est pas pour rien que les développeurs ont autant de boulot ;)
 
et changer le port 22 par un autre aussi, même si ça n'est pas efficace dans le cas d'un scan malicieux des ports ouverts sur l'IP de la machine découverte ;)


Oui je l'ai fait ça aussi ^^ (j'ai les log beaucoup moins chargé depuis d'ailleurs, car avant le nombre de tentatives d'attaques ça faisait peur !)
 
Merci pour tes réponses.
 
Est-ce qu'une solution pourrait être le chrooter tous le système pour les connexions SSH ?

n°378152
Nirzil
Posté le 08-09-2008 à 13:25:21  profilanswer
 

va demander à n'importe quel admin si dans ses logs il n'a pas subit d'attaques ou de scans heu... louches :D c'est le lot de toute IP, qu'on parle d'un simple PC ou d'un serveur (d'où l'intérêt de se pencher sur la question, comme tu dis, tes logs ont dégraissé dès que tu es passé du 22 à un autre)
 
le chroot induit des privilèges locaux, donc dangereux... en exagérant, une clé 1024 est relativement incassable, donc avant de penser à un chroot (pas facile à administrer en plus), effectivement une clé bien sentie niveau client-serveur et serveur-client est la meilleure chose à mettre dans un 1er temps en place
 
Edit : concernant la même clé que tu utilises 2 fois pour ton WiFi également, c'est pas top secure ;) mieux vaut en générer 2 différentes, et de ta propre initiative, sans passer par un générateur vulnérable sur le principe :D
 
/mode parano
 
;)


Message édité par Nirzil le 08-09-2008 à 13:32:38
n°378153
zeblods
Posté le 08-09-2008 à 13:36:39  profilanswer
 

Merci encore pour tes réponses !
 
C'est vraie que le chroot pour administrer un serveur c'est pas super... Ma clef est effectivement en 1024 donc ça devrais le faire.
 
Pour le pass différents, j'y avais pensé, mais ça fait 2 clef relativement longue et compliquer a stocker, donc j'ai fait au plus simple. Et puis les attaques SSH et WIFI ont très peu de chance de venir du même endroit. (WIFI étant plutot le fait d'un voisin sur le réseau local, SSH plutot en passant par le net donc quelqu'un de plus distant)
 
Mon pass à été fait aléatoirement par un "ancien" scripts en C de mon cru... (une simple génération aléatoire de nombre ensuite transformé en ASCII...)

n°378156
Nirzil
Posté le 08-09-2008 à 13:47:05  profilanswer
 

zeblods a écrit :

Et puis les attaques SSH et WIFI ont très peu de chance de venir du même endroit. (WIFI étant plutot le fait d'un voisin sur le réseau local, SSH plutot en passant par le net donc quelqu'un de plus distant)


 
absolument :jap: mais il existe des utilitaires tout faits capables d'aller chercher l'endroit où sont stockées les clés, et avant même de les trouver "en clair", qui sont capables de simplement voir qu'il y en a 2 identiques, et de creuser à ce niveau ;) mais en 1024 t'es à l'abri je pense (même les données CB des banques ou des administrations ne l'utilisent pas encore... gnarf :whistle: procédure quand tu me tient... j'ai assez hurlé après les admins du genre pour pouvoir en parler, où on m'a répondu, "ha mais nan, c'est pas dans la procédure" :whistle: ok va donc laisser ton machin ouvert à n'importe quel bisounours foutu de rédiger un script pas trop con, et viens surtout pas te plaindre si soucis il y a :o)
 
Edit : je reposte ça : http://wiki.generation-linux.yi.or [...] eforce_ssh
 
efficace s'il en est :D


Message édité par Nirzil le 08-09-2008 à 14:07:56
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Réseaux grand public / SoHo
  Sécurité

  piratage de mon reseau

 

Sujets relatifs
Problème avec mon réseau ad hoccomment faire disparaitre ce reseau de la liste wifi
Limiter la bande passante d'un PC sur le reseau.Acces ressource reseau sur serveur 2003 via wifi (WAP4400N)
reseau creer xp vista mais ...[VoWlan] Faire un réseau Voix et un Data
Envoi de message aux PC du réseau, dés leur ouvertureDisque dur reseau (NAS) acces simultané au RJ45 & USB
Connection PC non admin dans reseau filaire freeboxrouteur wifi capricieux?piratage reseau?parano?
Plus de sujets relatifs à : piratage de mon reseau


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR