Bonjour a tous,
 
Voila je m'adresse a vous car j'ai un problème de taille! se matin j'ai reçu un email de free indiquant qu'une plainte avait été déposée contre moi pour tentative d'infiltration sur un serveur distant. il y a eu au total 9 tentatives (provenant de mon adresse ip public) par ssh bloquées par ce fameux serveur distant. free ma donc ordonné de régler le problème au plus vite sous peine de me couper ma ligne. le soucis c'est que ces tentatives se sont toute produites dans la nuit de dimanche a lundi. or je n'était pas cher moi se week (week-end en famille ...). j'ai également sur mon réseau un serveur linux hébergent mes sites web. j'ai donc essayer de m'y connecter en root via ssh et l'authentification ma été refusé ... j'en conclu donc que la personne s'étant infiltrée sur mon réseau a réussi a casser le mot de passe root du serveur. j'ai pu également constater que ce dernier avait créer un compte sur mon serveur au nom de "gaby". j'ai également l'adresse mac de ce fameux gaby (dans l'extrait de log fourni par free il est mentionné l'adresse mac provenant de la requête).  
 
tout ceci n'a rien d'un canular, étant moi même informaticien j'avoue être impressionné par le travail de cette personne. je précise que mon réseau wifi est protéger par une clé wpa (TKIP + AES ).  
 
a l'heure actuel étant en déplacement, je ne sais pas si cette personne a infiltré mon réseau via ma connexion wifi ou via mon serveur web.
 
Je me join donc a vous avec l'espoir que quelqu'un pourra m'aider dans ce grave problème. en effet, plusieurs site web professionnel sont hébergé cher moi (ne contenant pas de données très importante mais bon ... ), il serait dommage de devoir formater mon serveur et tout devoir reconfigurer sachant que s'il a réussi a rentrer une fois, il pourra recommencer a l'infinie.  
 
Je sais que je peut le bloquer au niveau de mon routeur étant donné que je dispose de son adresse mac je peut indiquer au routeur de bloquer toute les requête provenant de cette adresse mais par fierté et par curiosité je n'ai pas envie de le laisser s'en sortir aussi simplement.
 
Dans l'attente de réponse qui je l'espère pourront m'éclaircir sur les différente question que je me pose a savoir par les biais est-il rentré sur mon réseau, etc ...  
 
cordialement
 
Sébastien
 

A mon avis dans tous les cas tu devras formater ton disque dur et refaire ton système. Ensuite pour savoir d'où ça vient, en général on commence par regarder dans les logs pour voir ce qui a été fait.

merci pour ta réponse . j'ai déjà essayer de visionner les log d'authentification etc de mon serveur mais je ne dispose pas des droit suffisant pour visionner tout sa. heureusement que j'avais un compte de secours qui n'a pas (encore) été supprimer mais ce compte ne me permet malheureusement pas de visionner tout ce qui a été fait et modifier sur mon serveur ..

en attendant mets ton serveur offline tout de suite si ce n'est pas déjà fait, ça pourrait empêcher gaby de revenir fouttre le boxzon

impossible! je ne dispose pas des droits nécessaires pour le couper a distance via ssh! je rentre a mon domicile demain donc d'ici la, est-ce que certain on des suggestion a me faire sur les possibilité de le retrouver?

Le formatage, tu n'y coupera pas; ainsi qu'une révision complète de ton réseau.
 
Après, au niveau du piratage, je pense que ca vient plus du web que du wifi; moins d'étapes sont necesaires via le web:
 
Par le web:  
- Exploit d'une faille, sql injection, ...
 
Par le wifi:
- Crackage du wifi pour accéder à la machine
- Exploit d'une faille, sql injection, ...
 
De plus, comme te l'a dit free, ton server a effectué des attaques SSH sur d'autres server. Il y a de grande chance que la même chose te soit arrivé et que ton server y ai succombé (faille, mdp faible, ...).
 
Après, il ne faut pas exclure d'eventuels troyans, keylogers, .. sur d'autres postes.
 
Cette histoire d'adresse MAC ne me parait pas clair, je doute que ce soit l'adresse réellement celle de gaby, car premièrement la MAC ne traverse pas les routers (je pense que ca doit être celle du router le plus proche), et deuxièmement il est très facile de spoofer sa MAC

 
+1
 
elles ne sont valables que pour le même domaine de diffusion
dès qu'on passe un routeur, les paquets ip sont encapsulés dans une nouvelle série de trame ethernet avec des MAC différentes.
 
 
ça fout bien les boules en tous cas. Le routeur n'as pas de firewall pour bloquer en sortie ? parceque ça éviterais bien des soucils   (règle par défault : bloquer, et au dessus, juste DNS/HTTP/HTTPS d'autorisé en sortie)

Pour ce qui est du Wifi, utiliser le WPA2 AES avec un mot de passe d'au moins 20 caractères aléatoires (au pire les inscrires sur la borne wifi pour les "stocker" )

merci a tous pour vos réponses.  donc hormis formater mon serveur y a t-il d'autre solution? même pour la suite, s'il a réussi une fois, il peut recommencer indéfiniment donc quelle mesure me conseiller vous? enfin quelqu'un connaitrait-il une solution afin de remontrer a la source?

ton accès ssh à ton serveur, il est configuré comment ?
 
tu autorises les connexions en "root" ? utilises-tu des certificats ?
 
voici quelques pistes à exploiter pour sécuriser l'accès ssh :

• interdire l'accès au compte root
• utiliser des certificats utilisateurs et couper les accès login/mdp
• éventuellement changer le port d'écoute du serveur ssh

je pense qu avant le formatage tu a surement d autre possibilite.
Deja a tu ton serveur a jour noyau linux ...... Je pense que la personne a du utilise la "faille" du SSH qui a ete corrige.
Ensuite change ta clef wifi
Comme tu la dit bloque son adresse mac avec ton routeur.
Supprime tous les comptes qui la pu creer ainsi que tous les softs qui la pu installer. (d ailleur c'est la premiere des choses a faire)
Tu tourne avec quel sereur linux ?
Ensuite j informerait Free en lui indiquant que tu a ete pirate en leur envoyant egalement l'adresse mac de la personne (voir meme j irai porte plainte egalement car on ne sait pas ce qui la pu faire a partir de ton serveur). Sauvegarde autre part que dans ton serveur le fichier log qui pourra te servir de preuve en cas de besoin.
 
bon courage

bonjour a tous, je suis a nouveau chez moi. alors pour répondre a slywalker, oui j'autorise les connexion root et pour les certificat, j'ai laisser par défaut.
armagad : ma version linux est la 7.10 serveur donc effectivement elle n'est plus a jour. comment savoir si cette personne passe par mon réseau wifi? étude de trame?
 
j'ai peut être une solution mais je ne sais pas encore si elle va fonctionner : je pense qu'en récupèrent le disque dur je peut réussir a accéder o fichier de log depuis un autre poste, je vais donc essayer sa cette après midi.  
 
en tout cas merci pour votre aide, je vous tiendrai informer si je fait une découverte lol

Bon j'ai réussi a ressortir le fichier de log pour l'authentification. il semblerait que cela soit un programme qui tourne en boucle et qui test la connexion ssh sur chaque port. je met a disposition le fichier si certain on quelques minutes a m'accorder afin de m'éclaircir sur toutes ces lignes de codes.  
 
Dans ce fichier j'ai constater plusieurs adresse ip ainsi que la création de ce fameux compte "gaby".
 
Quels fichier serait intéressent de récupérer maintenant que j'ai accès a tout le disque?
 
merci d'avance a ceux qui pourront m'éclaircir
 
fichier de log : http://krary.free.fr/auth.log

tu peux me l'envoyer en MP si tu veux, j'ai un peu de temps devant moi

dsl j'avais oublié de mettre le lien ^^
 
c'est édité

L'IP de Gaby vient de Roumanie.
Je pense que c'est une attack par force brute.
On voit qu'il a fait plusieurs tentatives par connexion ssh qui ont échoués jusqu'à temps qu'il trouve ton mots de passe.
Connexion/déconnexion puis pafff connexion accepté ... il a trouvé ... ensuite il a changé ton mots passe root ...
Tu avais un compte kate auparavant ?

oui sur le serveur il y avait plusieurs compte (dont kate) rattachées a différents site web. il y a trois question au quelles je souhaiterai un eclaircicement si possible :  
 
La premiere c'est que aucun de mes site web n'est referencé pour le moment, c'est des site privé. comment est-il arrivé jusqu'à mon serveur?
 
La seconde c'est que j'ai maintenant a disposition tous les fichiers du serveur (logs, ...etc) les quelles seraient interessent de conserver?
 
Enfin la derniere question, sachant que cette personne est intracable, que me conseiller vous de faire?
 
merci a tous

mmc peut tu me dire ce qui t'indique que son IP vient de roumanie? il est possible de le retracer?

y'a un log qui montre une connexion root réussie aussi depuis la Chine (edit : et du Mexique aussi), il doit se balader de proxy en proxy, donc intraçable à priori, mais en tout cas rien à voir avec ton WiFi
 
tiens, un petit lien intéressant, à envisager par la suite :
 
http://wiki.generation-linux.yi.or [...] eforce_ssh
 
mais les conseils donnés plus haut sont judicieux, et surtout ne pas oublier les updates pour les failles

 
en console :
 

 
etc, etc...
 
Il est surement arrivé jusqu'à ton serveur avec un petit script nmap qui scanne des plages d'IP les unes après les autres jusqu'à ce qu'il en rencontre une qui lui répond et hop, tentative d'intrusion directe derrière

Oui, j'avais pas tous lu le log, il change d'IP proxy ou de PC zombie ... et se sert d'un logiciel qui tente plusieurs mots de passe à partir d'une base de donnés les plus susceptibles d'être choisie par un admin.
Donc pour le retracer, va pas être facile tous seul mais possible avec les autorités compétentes en portant plainte ...
 
 
Il a trouvé parce que ton mots de passe n'est pas assez fort, n'est-ce pas ? Ton mots de passe était simple ?
- Change ton mots passe avec des %?*^# avec au moins 12 caractères ... (mots de pass fort).
- Configure ton PC pour 3 tentatives de connexion sinon blocage pendant 1 à 5 min avant de ressayer à nouveau.  
- Connexion par ssh que les IP distant que tu connais ...
 
...

ok et bien merci a tous pour toutes ces informations !
 
on est vraiment pas a l'abri de ce genre de problème! moi qui pensait qu'avec mes quelques site même pas référencé jetait a l'abri de tout sa!
 
le sujet peut donc maintenant être clos!
 
bonne soirée tout le monde

C'est peut-être un bots qui scan le réseau automatiquement à la recherche d'une proie facile ...

bah oui, un petit script dans lequel on inclue des commandes nmap bien définies (scans de plages IP, puis si réponse d'une IP, scan des ports pour en trouver un ouvert, puis attaque ensuite si un est découvert), c'est pas nouveau
 
Une grande majorité des IP publiques dont des ports non stealthed (pas closed hein), ont été trouvés ont subi des tentatives d'intrusion de ce genre

mon mot de passe était "root*linux" ... je pense pas que cela soit un mot de passe simple!
 
Sinon je pense que c'est effectivement un problème de mise a jour comme il a été dit plus haut plutôt qu'un problème de "proie facile". lors de l'installation de paquets de type ssh les sécurité sont déjà toute principalement configuré par défaut donc même si je ne suis pas un experts en sécurité informatique, il me semble bizarre que cela soit si facile que sa de pirater un serveur !

Pour moi ton mots passe est simple désolé.
Un logiciel par force brute te le trouve très rapidement et y a pas besoin de 5 ans pour le trouver ...

pas simple ?? tu rigoles un mot de passe fort contient des majuscules, minuscules, ponctuations, chiffres, le tout mélangé, du type : A%z75f?W*$q
 
et surtout jamais aucun mot du dictionnaire ou du jargon informatique, c'est trop facile sinon
 
quant à la facilité, ben détrompe-toi, c'est un jeu d'enfant si celui qui a mis en place n'a pas fait le nécessaire

Je rejoins le commentaire de Nirzil
 
Ton serveur était trop facile ... et en plus tu mets pas à jour on dirait ... lol

ouai mais bon comme dis plus haut on ne peut pas être fort dans tous les domaines et c'est bien pour sa que ce genre de site existe ,  pour partager ces connaissances ;-)
 
en tout cas c'est sympa d'avoir pris le temps de répondre a mes question.
 
++

ok, pas de problème.  
 
Efface ton lien avec le log, il y a ton adresse IP de serveur dessus ... on ne sait jamais ...
 

merci ^^

donc met a jour ton serveur
ensuite met un mot de passe fort (beaucoup trop simple le tien) en general evite de mettre des mots du dictionnaire et met des lettre/chiffre/majuscule/minuscule et caractere speciaux
 
Pour info apres ton message je suis allez verifier mes log du serveur et j ai egalement des attaques enorme pour un exemple 900 en 45 minutes mais rien n est passe avec SME 7 et surtout un mot de passe fort

Personellement pour ma session utilisateur, j'ai mis le même pass que celui de mon wifi : 28 caractère généré totalement aléatoirement, que j'ai inscrit sur mon routeur pour pas l'oublier.

Ensuite j'ai désactivé la possibilité de login du ROOT via SSH, seul les users sont autorisés.

Et j'ai mis en place un système de clef public/privée pour le loguer (le mot de passe étant trop compliqué pour le retenir et le taper à chaque fois...)

Est-ce que désactiver le login de ROOT est une bonne solution ? Est-ce que le système clef public/privée est fiable ?

1) oui
2) pas forcément, d'où l'intérêt des updates, une faille étant toujours possible les concernant (les voleurs ont toujours une longueur d'avance, si ça n'était pas le cas, il n'y aurait plus de voleurs ), c'est pas pour rien que les développeurs ont autant de boulot
 
et changer le port 22 par un autre aussi, même si ça n'est pas efficace dans le cas d'un scan malicieux des ports ouverts sur l'IP de la machine découverte  

Oui je l'ai fait ça aussi ^^ (j'ai les log beaucoup moins chargé depuis d'ailleurs, car avant le nombre de tentatives d'attaques ça faisait peur !)
 
Merci pour tes réponses.
 
Est-ce qu'une solution pourrait être le chrooter tous le système pour les connexions SSH ?

va demander à n'importe quel admin si dans ses logs il n'a pas subit d'attaques ou de scans heu... louches c'est le lot de toute IP, qu'on parle d'un simple PC ou d'un serveur (d'où l'intérêt de se pencher sur la question, comme tu dis, tes logs ont dégraissé dès que tu es passé du 22 à un autre)
 
le chroot induit des privilèges locaux, donc dangereux... en exagérant, une clé 1024 est relativement incassable, donc avant de penser à un chroot (pas facile à administrer en plus), effectivement une clé bien sentie niveau client-serveur et serveur-client est la meilleure chose à mettre dans un 1er temps en place
 
Edit : concernant la même clé que tu utilises 2 fois pour ton WiFi également, c'est pas top secure mieux vaut en générer 2 différentes, et de ta propre initiative, sans passer par un générateur vulnérable sur le principe
 
/mode parano
 

Merci encore pour tes réponses !
 
C'est vraie que le chroot pour administrer un serveur c'est pas super... Ma clef est effectivement en 1024 donc ça devrais le faire.
 
Pour le pass différents, j'y avais pensé, mais ça fait 2 clef relativement longue et compliquer a stocker, donc j'ai fait au plus simple. Et puis les attaques SSH et WIFI ont très peu de chance de venir du même endroit. (WIFI étant plutot le fait d'un voisin sur le réseau local, SSH plutot en passant par le net donc quelqu'un de plus distant)
 
Mon pass à été fait aléatoirement par un "ancien" scripts en C de mon cru... (une simple génération aléatoire de nombre ensuite transformé en ASCII...)

 
absolument mais il existe des utilitaires tout faits capables d'aller chercher l'endroit où sont stockées les clés, et avant même de les trouver "en clair", qui sont capables de simplement voir qu'il y en a 2 identiques, et de creuser à ce niveau mais en 1024 t'es à l'abri je pense (même les données CB des banques ou des administrations ne l'utilisent pas encore... gnarf procédure quand tu me tient... j'ai assez hurlé après les admins du genre pour pouvoir en parler, où on m'a répondu, "ha mais nan, c'est pas dans la procédure" ok va donc laisser ton machin ouvert à n'importe quel bisounours foutu de rédiger un script pas trop con, et viens surtout pas te plaindre si soucis il y a )
 
Edit : je reposte ça : http://wiki.generation-linux.yi.or [...] eforce_ssh
 
efficace s'il en est