Discussion :

[Freezer75]

Bonjour, je suis maintenant victime depuis plusieurs fois d'une personne qui se connecte sur mon VPS et supprime tous mes dossiers

J'ai donc pour sécuriser mon serveur changer le port par default ssh
J'ai installer fail2ban
Et j'ai autorisé seulement une ip a se connecter a mon vps ( en port 21 / 22 ) grace a iptables

Mais ce hackeur arrive encore a se connecter sur mon vps et je ne comprent pas comment il fait, auriez-vous des idées pour sécurisé a 100% mon serveur ? et t'il possible d'autorisé seulement certaine ip a avoir acces a mon serveur web apache héberger sur mon vps ?

Merci d'avance,

[Christophe]

Le prob ne viendrait pas d'une faille sur le site ?

regardes si il n'y a pas quelque chose dans le cron.

[A3gisS3c]

Es tu sûr que ce n'est pas une tâche Cron comme le dit Christophe et qu'il s'agit bien d'un utilisateur qui se connecte? Si oui sous quel Login?Y-a forcément des Logs.

C'est quoi ton OS?Il faudrait savoir si c'est une connexion SSH ou si la connexion se fait en direct sur le site, si tu autorise LDAP ou autre...

[Freezer75]

Dans Cron j'ai juste ma commande qui redémarre mon serveur a minuit

Je sais que c'est le hackeur car il ma envoyé un screen de mon dossier root avec mes dossiers dedans et un TOP -C connecté en root

[A3gisS3c]

D'accord regarde dans les dernières connexion les login anormaux (envoie le résultat de ta commande last).

Faudrait que tu sache s'il se connecte en SSH ou directement, et s'il se connecte en root directement ou pas.
Ton mot de passe était faible ou non?
Commence par changer tes mots de passes (commande passwd), à dégager md5 de ton fichier /etc/passwd ($1$ en début de ligne si md5).

Envoie aussi le résultat de : netstat -lptn

Comment a été installé l'OS? Via PXE?

Regarde les droits de ton dossier /root et tous les fichiers à l'intérieur (normalement root:root lecture écriture uniquement pour proprio).

Au pire des cas on configurera SE Linux pour que root ne puisse pas supprimer des fichiers de /root quand tu es en mode enforcing sous SE Linux, dans le cas ou ce serait un service qui 'approprierait les droits de root.

Idéalement regarder /var/log/secure ou /var/log/audit/audit.log ou tout autre type de log sécurité.

La connexion vers le site pour administrer ton VPS se fait en HTTPS ?Via Java?A travers un VPN?

[Freezer75]

Log last : https://pastebin.com/QQRvVXf9

Résultat : netstat -lptn https://pastebin.com/4vmK3hDs

J'avais un password de 250 caractères avec caractères spéciaux

J'ai eu plusieurs tentative de connexion mais Fail2ban gère ce genre de chose

Et pour mon site l’accès ce fais via HTTPS j'ai allow uniquement certaine IP via .htaccess et j'ai eu 4 tentative de connexion dessus ce soir

200.164.38.96 - - [09/Jul/2018:06:46:48 +0300] "HEAD / HTTP/1.0" 403 159 "-" "-"
188.64.179.199 - - [09/Jul/2018:07:07:44 +0300] "GET / HTTP/1.1" 403 449 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.27
103.252.253.178 - - [09/Jul/2018:10:54:41 +0300] "HEAD / HTTP/1.1" 403 140 "-" "-"
218.211.168.176 - - [09/Jul/2018:11:35:18 +0300] "GET / HTTP/1.1" 403 449 "-" "Mozilla/5.0"
115.29.223.75 - - [09/Jul/2018:11:53:58 +0300] "HEAD / HTTP/1.1" 403 140 "-" "-"

[A3gisS3c]

Tu le stocke ou ton mot de passe de 250 caractères ?(je suppose que tu ne le connais pas par coeur).

Concernant HTTPS je ne parlais pas de ton serveur apache mais du moyen de se connecter à ton VPS via une possible interface web d'administration.

Est ce possible de se connecter à ton VPS en HTTPS (via Java, un VPN ou ce que tu veux..), ou bien uniquement en SSH?

Il faudrait que tu nous dise les moyens que tu as de te connecter sur ta machine, sous quel login s'est connecté la personne (directement en root?ou d'abord un nom d'utilisateur puis root) et surtout comment (SSH, connexion directe...).