IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Mon serveur en attaque d'autres


Sujet :

Sécurité

  1. #1
    Membre du Club
    Profil pro
    Inscrit en
    Janvier 2009
    Messages
    66
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Janvier 2009
    Messages : 66
    Points : 65
    Points
    65
    Par défaut Mon serveur en attaque d'autres
    Bonjour,

    J'ai un serveur dédier chez Online. Et depuis quelques jours je reçois des alerte "ABUSE" dans mon panel d'administration online.
    Apparemment mon serveur se serai fait hacker et attaquerai en Bruteforce d'autres serveurs.

    La première chose que j'ai faite c'est désactiver tous les comptes utilisateurs (sans pouvoir vérifier si effectivement TOUS les comptes était bien désactiver, si quelqu'un a une idée de comment je peu vérifier ça...) et j'ai changé le mot de passe (sans lésiner sur les caractères) de root.
    Le problème c'est que mon serveur continu d'attaqué...
    J'ai installé et lancé chkrootkit qui ne m'a détecté aucun problèmes.

    Je suis novice dans la gestion serveur et j’avoue avoir passé beaucoup de temps a paramétrer le serveur de mail. La solution proposé par Online serai de tout réinstallé. Cependant cette solution ne m’arrange pas (si je ne trouve pas de solution je le ferait quand même) car je craint de perdre encore des dizaines d'heures de paramétrages.

    Avez vous des idées sur les actions a effectuer pour tester la sécurité de mon serveur et en trouvé les failles et les cause de ce Bruteforce? Existe t'il des outils?

    Merci d'avance pour l'aide

  2. #2
    Membre émérite
    Inscrit en
    Avril 2010
    Messages
    1 495
    Détails du profil
    Informations forums :
    Inscription : Avril 2010
    Messages : 1 495
    Points : 2 274
    Points
    2 274
    Par défaut
    salut,

    Citation Envoyé par baton Voir le message
    mon serveur...attaquerai en Bruteforce d'autres serveurs.
    Citation Envoyé par baton Voir le message
    Avez vous des idées sur les actions a effectuer
    Oui, changer ton pseudo en


  3. #3
    Membre du Club
    Profil pro
    Inscrit en
    Janvier 2009
    Messages
    66
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Janvier 2009
    Messages : 66
    Points : 65
    Points
    65
    Par défaut
    J'ai pas saisi ta blague ^^
    Qu'est ce qui a de drôle dans ma situation?

  4. #4
    Membre émérite
    Inscrit en
    Avril 2010
    Messages
    1 495
    Détails du profil
    Informations forums :
    Inscription : Avril 2010
    Messages : 1 495
    Points : 2 274
    Points
    2 274
    Par défaut
    C’est juste un jeu de mots avec ton pseudo, peut être de mauvais gout étant donné la situation,
    m'en veux pas...


    Si j'avais une réponse, je te l'aurais effectivement donnée, mais je ne saurais trop te conseiller de donner plus de détails sur l'os (la distribution) et les serveurs logiciels et interpréteurs embarqués... y'a des classiques en hébergement, mais ça facilitera surement les réponses...

    Sinon t'as pas la possibilité de faire une sauvegarde et rapatrier tes paramétrages ?

    bon courage...

  5. #5
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    Mai 2004
    Messages
    10 148
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : Mai 2004
    Messages : 10 148
    Points : 28 113
    Points
    28 113
    Par défaut
    Bonjour,

    Est-ce que tu ne peux pas contacter OVH pour savoir s'ils ont des outils de monitoring qui permettraient d'en savoir un peu plus ?

    Tu dis que tu as desactive les utilisateurs, mais comment as-tu effectue cette manipulation ?
    Est-ce que ssh est installe ? Que disent les logs de connexion ?
    "La route est longue, mais le chemin est libre" -- https://framasoft.org/
    Les règles du forum

  6. #6
    Expert confirmé
    Avatar de Loceka
    Profil pro
    Inscrit en
    Mars 2004
    Messages
    2 276
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2004
    Messages : 2 276
    Points : 4 845
    Points
    4 845
    Par défaut
    Tu ne pourrais pas "tout simplement" récupérer les fichiers de conf que t'as modifié, tout réinstaller et restaurer les fichiers de conf ?

    Je ne suis pas du tout calé en sécurité mais je pense que si tu essayes de t'en débarrasser à la main t'en auras aussi pour des dizaines d'heures.

    En attendant d'avoir la solution à ton problème, tu peux toujours installer un firewall et bloquer tous les ports (sauf le 22 et potentiellement le 80) afin que ton serveur arrête d'attaquer.

  7. #7
    Membre du Club
    Profil pro
    Inscrit en
    Janvier 2009
    Messages
    66
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Janvier 2009
    Messages : 66
    Points : 65
    Points
    65
    Par défaut
    Merci pour tes conseils,

    Aprés une recherche j'ai suivis un tuto.

    J'ai mis la configuration de base proposé avec iptables, installé fail2ban et Rkhunter.
    Quand je fait :
    tail auth.log -f
    pour obtenir le flux du fichier log d'autentification j'obtient :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    Dec  6 00:50:41 sd-00000 CRON[13806]: pam_unix(cron:session): session closed for user root
    Dec  6 00:51:01 sd-00000 CRON[13835]: pam_unix(cron:session): session opened for user root by (uid=0)
    Dec  6 00:51:41 sd-00000 CRON[13835]: pam_unix(cron:session): session closed for user root
    Dec  6 00:52:01 sd-00000 CRON[13866]: pam_unix(cron:session): session opened for user root by (uid=0)
    Dec  6 00:52:41 sd-00000 CRON[13866]: pam_unix(cron:session): session closed for user root
    C'est normal qu'un cron fasse ça toute les 40sec? crontab est vide pourtant...

    Merci encore pour vos aides, j'ai encore reçu des email "ABUSE" de online :s

  8. #8
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    Mai 2004
    Messages
    10 148
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : Mai 2004
    Messages : 10 148
    Points : 28 113
    Points
    28 113
    Par défaut
    Bonjour,

    Nen, ce n'est pas normal.

    As-tu change le mot de passe root ?
    Est-ce que la connexion ssh est desactivee pour root ?
    Est-ce que tu as contacte ton fournisseur pour voir s'ils pouvaient t'aider ?
    Est-ce que tu as sauvegarde tes donnees ?
    Est-ce que tu peux reinstaller ta machine ?
    "La route est longue, mais le chemin est libre" -- https://framasoft.org/
    Les règles du forum

  9. #9
    Invité
    Invité(e)
    Par défaut
    Salut,

    Citation Envoyé par baton Voir le message
    Merci pour tes conseils,

    Aprés une recherche j'ai suivis un tuto.

    J'ai mis la configuration de base proposé avec iptables, installé fail2ban et Rkhunter.
    Quand je fait :
    tail auth.log -f
    pour obtenir le flux du fichier log d'autentification j'obtient :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    Dec  6 00:50:41 sd-00000 CRON[13806]: pam_unix(cron:session): session closed for user root
    Dec  6 00:51:01 sd-00000 CRON[13835]: pam_unix(cron:session): session opened for user root by (uid=0)
    Dec  6 00:51:41 sd-00000 CRON[13835]: pam_unix(cron:session): session closed for user root
    Dec  6 00:52:01 sd-00000 CRON[13866]: pam_unix(cron:session): session opened for user root by (uid=0)
    Dec  6 00:52:41 sd-00000 CRON[13866]: pam_unix(cron:session): session closed for user root
    C'est normal qu'un cron fasse ça toute les 40sec? crontab est vide pourtant...

    Merci encore pour vos aides, j'ai encore reçu des email "ABUSE" de online :s
    Peux-tu regarder dans /var/log/syslog quelle commande cron est executée toutes les 40 secondes?

  10. #10
    Membre du Club
    Profil pro
    Inscrit en
    Janvier 2009
    Messages
    66
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Janvier 2009
    Messages : 66
    Points : 65
    Points
    65
    Par défaut
    As-tu change le mot de passe root ?
    Oui

    Est-ce que la connexion ssh est desactivee pour root ?
    Non il reste uniquement cet utilisateur, je me sert de root pour me connecter

    Est-ce que tu as contacte ton fournisseur pour voir s'ils pouvaient t'aider ?
    Oui ils m'on dit de tout réinstaller

    Est-ce que tu as sauvegarde tes donnees ?
    Oui

    Est-ce que tu peux reinstaller ta machine ?
    Je ne sait pas comment reinstaller un serveur distant...


    Peux-tu regarder dans /var/log/syslog quelle commande cron est executée toutes les 40 secondes?
    J'ai vérifier, c'est un scripte a moi qui tourne, mais toute les minutes et non 40sec.
    Sinon j'ai ça :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    Dec  6 20:39:01 sd-00000CRON[3605]: (root) CMD (  [ -x /usr/lib/php5/maxlifetime ] && [ -d /var/lib/php5 ] && find /var/lib/php5/ -depth -mindepth 1 -maxdepth 1 -type f -cmin +$(/usr/lib/php5/maxlifetime) ! -execdir fuser -s {} 2>/dev/null \; -delete)
    Qui s’exécute de temps en temps...


    Au niveau de auth.log j'ai du nouveau :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    Dec  6 20:36:41 sd-00000 CRON[3483]: pam_unix(cron:session): session closed for user root
    Dec  6 20:37:01 sd-00000 CRON[3529]: pam_unix(cron:session): session opened for user root by (uid=0)
    Dec  6 20:37:41 sd-00000 CRON[3529]: pam_unix(cron:session): session closed for user root
    Dec  6 20:37:51 sd-00000 sshd[3564]: reverse mapping checking getaddrinfo for 240.178.144.198.host.nwnx.net [198.144.178.240] failed - POSSIBLE BREAK-IN ATTEMPT!
    Dec  6 20:37:51 sd-00000 sshd[3564]: Invalid user conny from 198.144.178.240
    Dec  6 20:37:51 sd-00000 sshd[3564]: input_userauth_request: invalid user conny [preauth]
    Dec  6 20:37:51 sd-00000 sshd[3564]: pam_unix(sshd:auth): check pass; user unknown
    Dec  6 20:37:51 sd-00000 sshd[3564]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=198.144.178.240
    Dec  6 20:37:53 sd-00000 sshd[3564]: Failed password for invalid user conny from 198.144.178.240 port 37499 ssh2
    Dec  6 20:37:53 sd-00000 sshd[3564]: Received disconnect from 198.144.178.240: 11: Bye Bye [preauth]
    Dec  6 20:37:56 sd-00000 sshd[3566]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=114.80.155.58  user=root
    Dec  6 20:37:58 sd-00000 sshd[3566]: Failed password for root from 114.80.155.58 port 53851 ssh2

  11. #11
    Membre à l'essai
    Inscrit en
    Mars 2011
    Messages
    25
    Détails du profil
    Informations forums :
    Inscription : Mars 2011
    Messages : 25
    Points : 23
    Points
    23
    Par défaut
    Bonjour,
    Quelle est ton OS et en quelle version est ton noyau ?

  12. #12
    Invité
    Invité(e)
    Par défaut
    Salut,

    On voit des tentatives d'attaques dans auth.log. C'est assez fréquent sur les systèmes exposés sur internet et ça ne démontre pas que ton système s'est fait hacké.

    A quoi ressemblent tes alertes ABUSE dans ton panel? Q'indiquent-elles exactement?

  13. #13
    Membre du Club
    Profil pro
    Inscrit en
    Janvier 2009
    Messages
    66
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Janvier 2009
    Messages : 66
    Points : 65
    Points
    65
    Par défaut
    Bonsoir,


    Après avoir installé rkhunter j'ai reçu quelque alerte par mail :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text
    Warning: The SSH and rkhunter configuration options should be the same:
             SSH configuration option 'PermitRootLogin': yes
             Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no
    Warning: Hidden directory found: /dev/.udev
    Warning: Hidden directory found: /usr/sbin/libzdb-2.10.2/.pc
    Warning: Hidden directory found: /usr/sbin/libsieve-2.2.9/.pc
    Warning: Hidden file found: /etc/.procmailrc: ASCII text
    Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'
    Warning: Hidden file found: /usr/sbin/libzdb-2.10.2/.pc/.version: ASCII text
    Warning: Hidden file found: /usr/sbin/libzdb-2.10.2/.pc/.quilt_patches: ASCII text
    Warning: Hidden file found: /usr/sbin/libzdb-2.10.2/.pc/.quilt_series: ASCII text
    Warning: Hidden file found: /usr/sbin/libsieve-2.2.9/.pc/.version: ASCII text
    Warning: Hidden file found: /usr/sbin/libsieve-2.2.9/.pc/.quilt_patches: ASCII text
    Warning: Hidden file found: /usr/sbin/libsieve-2.2.9/.pc/.quilt_series: ASCII text
    Je ne comprend pas. Je supprime /usr/bin/unhide.rb ?



    A quoi ressemblent tes alertes ABUSE dans ton panel? Q'indiquent-elles exactement?
    Tous les ABUSE sont de type brutforce
    Extrait des logs que m'ont envoyé les admin des autres serveurs.

    Extrait 1:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    2012-11-25T02:31:13+01:00 baobab sshd[19878]: SSH: Server;Ltype: Kex;Remote: xx.xxx.xxx.xx-36552;Enc: aes128-cbc;MAC: hmac-sha1;Comp: none [preauth]
    2012-11-25T02:31:13+01:00 baobab sshd[19878]: SSH: Server;Ltype: Authname;Remote: xx.xxx.xxx.xx-36552;Name: root [preauth]
    2012-11-25T02:31:13+01:00 baobab sshd[19878]: Received disconnect from xx.xxx.xxx.xx: 11: Bye Bye [preauth]
    2012-11-25T02:32:12+01:00 baobab sshd[19882]: SSH: Server;Ltype: Version;Remote: xx.xxx.xxx.xx-43987;Protocol: 2.0;Client: libssh-0.2
    2012-11-25T02:32:12+01:00 baobab sshd[19882]: SSH: Server;Ltype: Kex;Remote: xx.xxx.xxx.xx-43987;Enc: aes128-cbc;MAC: hmac-sha1;Comp: none [preauth]
    2012-11-25T02:32:12+01:00 baobab sshd[19882]: SSH: Server;Ltype: Authname;Remote: xx.xxx.xxx.xx-43987;Name: root [preauth]
    2012-11-25T02:32:12+01:00 baobab sshd[19882]: Received disconnect from xx.xxx.xxx.xx: 11: Bye Bye [preauth]
    2012-11-25T02:33:11+01:00 baobab sshd[19886]: SSH: Server;Ltype: Version;Remote: xx.xxx.xxx.xx-51399;Protocol: 2.0;Client: libssh-0.2
    2012-11-25T02:33:11+01:00 baobab sshd[19886]: SSH: Server;Ltype: Kex;Remote: xx.xxx.xxx.xx-51399;Enc: aes128-cbc;MAC: hmac-sha1;Comp: none [preauth]
    2012-11-25T02:33:11+01:00 baobab sshd[19886]: SSH: Server;Ltype: Authname;Remote: xx.xxx.xxx.xx-51399;Name: root [preauth]
    2012-11-25T02:33:11+01:00 baobab sshd[19886]: Received disconnect from xx.xxx.xxx.xx: 11: Bye Bye [preauth]
    2012-11-25T02:34:10+01:00 baobab sshd[19890]: SSH: Server;Ltype: Version;Remote: xx.xxx.xxx.xx-58808;Protocol: 2.0;Client: libssh-0.2

    Extrait 2:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
     
    Nov 25 16:05:43 sd-20507 sshd[21180]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=sd-00000.dedibox.fr 
    Nov 25 16:05:45 sd-20507 sshd[21180]: Failed password for invalid user admin from xx.xxx.xxx.xxx port 57207 ssh2
    Nov 25 16:06:52 sd-20507 sshd[21183]: Invalid user admin from xx.xxx.xxx.xxx
    Nov 25 16:06:52 sd-20507 sshd[21183]: pam_unix(sshd:auth): check pass; user unknown
    Nov 25 16:06:52 sd-20507 sshd[21183]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=sd-00000.dedibox.fr 
    Nov 25 16:06:54 sd-20507 sshd[21183]: Failed password for invalid user admin from xx.xxx.xxx.xxx port 36465 ssh2
    Nov 25 16:07:46 sd-20507 CRON[21120]: pam_unix(cron:session): session closed for user amavis
    Nov 25 16:08:00 sd-20507 sshd[21291]: Invalid user allan from xx.xxx.xxx.xxx
    Nov 25 16:08:00 sd-20507 sshd[21291]: pam_unix(sshd:auth): check pass; user unknown
    Nov 25 16:08:00 sd-20507 sshd[21291]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=sd-00000.dedibox.fr

    A noté que je n'ai pas reçu de nouveau ABUSE depuis l'installation du firewall.

  14. #14
    Membre éclairé Avatar de Beanux
    Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Octobre 2009
    Messages
    249
    Détails du profil
    Informations personnelles :
    Âge : 35
    Localisation : France

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux

    Informations forums :
    Inscription : Octobre 2009
    Messages : 249
    Points : 744
    Points
    744
    Par défaut
    Avant d'identifier la source des alertes, il faut à mon avis vérifier le degré de compromission de ton système.

    Quelques rapides choses à faire en cas d'intrusion. Faire la liste:
    • des processus lancé ("ps aux")
    • des connexions actuelle et en écoute de ton serveur ("netstat -laputen")
    • des utilisateurs du système ("cat /etc/passwd")
    • des commandes exécutées régulièrement ("ls -l /etc/cron*")
    • des services de ton système ("ls -l /etc/init.d/")

    Avant de nous indiquer tout ça, vérifie qu'il n'y a pas de choses compromettantes sur toi ou ton serveur dans les données que tu nous transmets

    Tout ça afin d'une part de nettoyer le système, mais aussi de vérifier qu'une fois le système nettoyé, il n'y a pas de backdoor pour permettre à l'attaquant de reprendre la main sur ton système.


    Une fois ceci fait, tu as plusieurs choses à faire pour rendre ton système plus sur:
    • changer à nouveau le mot de passe root
    • changer le port ssh
    • créer un utilisateur qui sera le seul autorisé en ssh puis te connecter en root à partir de cet utilisateur (l’attaquant ne connaissant pas l'utilisateur de base ton système sera beaucoup plus sur)
    • faire un scan de ton système avec de scanner de vulnérabilité (lynis par exemple)
    • empêcher l’authentification par mot de passe sur ssh, et passer au système de clef publique/privée, qui est beaucoup plus sure
    • mettre a jour ton système ("apt-get update && apt-get upgrade")




    Pour ce qui est du rapport de rkhunter, tout semble normal, mais il te conseil tout de même de ne pas autoriser l’authentification de l'utilisateur root par ssh. Le signalement de "/usr/bin/unhide.rb" indique juste que c’est un script en ruby et non un exécutable

Discussions similaires

  1. Réponses: 5
    Dernier message: 19/10/2011, 15h29
  2. Attaque de mon serveur ?
    Par Khleo dans le forum Sécurité
    Réponses: 0
    Dernier message: 14/05/2010, 16h32
  3. Mon serveur Spoof d'autres serveurs
    Par alcoon30 dans le forum Sécurité
    Réponses: 2
    Dernier message: 12/08/2009, 12h19
  4. [RMI] Impossible de lancer mon serveur
    Par Dahu dans le forum API standards et tierces
    Réponses: 11
    Dernier message: 11/06/2006, 10h17
  5. Paramétrer le nombre de connexion sur mon serveur Mysql
    Par Zerga dans le forum Installation
    Réponses: 2
    Dernier message: 12/12/2003, 20h21

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo