Bonjour.
Je ne suis pas informaticien mais je m'intéresse. J'ai créé un systeme de sauvegarde décentralisé sans passer par un cloud que je trouve trop permissif. J'ai donc installé un raspberry et un DD chez un particulier de confiance.
Je viens de tenter une sauvegarde en SSH de mes données sur un raspi délocalisé. Je reçois le message:
La connexion en SSH n'a pas fonctionné immédiatement. J'ai donc testé la connexion@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
[adresse mac]
Please contact your system administrator.
Add correct host key in /home/thierry/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in /home/thierry/.ssh/known_hosts:3
Password authentication is disabled to avoid man-in-the-middle attacks.
Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks.
X11 forwarding is disabled to avoid man-in-the-middle attacks.
The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.
Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Mon Jul 11 23:05:04 2016 from [ip].rev.sfr.net
ping: OK
Puis un wget sauvegarde:2222 qui m'a permis de savoir que le port fonctionne
puis au bout d'un moment, la connexion s'est faite. Je fais un tour dans mes données par un simple "ls" et je trouve un drôle de truc genre.
A tout hasard j'ai fait un cat thierry@192.168.1.30 mais je n'ai reçu aucune réponse.thierry@192.168.1.30
Cet espèce de fichier bizarre et non désiré, me fait penser à une intrusion.
L'adresse ne me correspond car sur le LAN ce n'est pas moi qui serait visé par cette adresse, mais j'ai retrouvé cette ligne dans mes données...( Ca c'est bizarre)
Je l'ai supprimé mais je ne m'explique pas la présence de ce fichier. Peut être un botnet ?
Ma question est de savoir par où ça a passé?
Voici ma conf:
Je n'ai que le port 22 d'ouvert sur le LAN. J'ai encore vérifié avec un nmap
Des clés ont été générées.
Ce raspi est placé chez un particulier donc sur un LAN peu protégé. Serait ce une possibilité d'intrusion? Il y a une règle NAT sur la box pour le changement de port.
Comment verrouiller nos données.
J'aimerais en connaître davantage en sécurité et si quelqu'un veut bien me conseiller il sera toujours le bienvenu.
Personnellement je pense que la meilleure des sécurités serait d'utiliser les blockschains en P2P mais nous n'y sommes pas encore.
Partager