Bonjour a vous,

Je viens de detecter qu'un de mes comptes utilisateurs sur ma machine a ete utilise sans que je le sache a cause (j'imagine) d'un mot de passe faible par ssh. J'ai change le mot de passe et desactive le shell de l'utilisateur en /bin/false temporairement.

Ce compte utilisateur est celui qui sert a jouer des videos sur ma tele. Qu'est ce que je devrias faire ne plus pour m'assurer que cela ne se reproduise plus ? Que devrais-je faire pour verifier que la machine n'est pas verole ?

Si vous avez d'autres conseils/remarques, je suis prenneur.

Merci a vous,

Salut,

Tu devrais pouvoir utiliser des solutions comme snort ou snort-inline et chkrootkit pour détecter les intrusions.
J'ai jamais utilisé, juste entendu parler.

Après une intrusion la seule chose fiable à faire est de réinstaller.

Pour éviter que ça se reproduise et en supposant que ça vienne de SSH, désactiver les logins par mot de passe et utiliser des clés SSH. Éventuellement le chrooter dans son ~ avec ChrootDirectory.

Si utilisation d'un vrai système d'exploitation : augmentation du securelevel + utilisation du flag sappnd sur les fichiers de logs (append-only, non révocable sans reboot de la machine) histoire d'avoir des logs fiables. Possible sous Linux avec chattr, mais il me semble qu'on peut modifier les flags à chaud donc si l'intrus gagne root on perdra les logs.

+1 pour Dargor.

Après une intrusion, c'est trop tard pour installer chkrootkit.

Pour le append only, il ne faut pas oublier de :
1) prévoir un peu de place dans /var/log (1-2 Go au moins)
2) couper logrotate.

Une preuve de plus qu'il faut vraiment arrêter d'autoriser la connexion ssh par mot de passe.
Tu as mis en place une solution de bannissement des ip qui bourrinent ton port ssh ? Parce que tu laisses supposer que non : « a cause (j'imagine) d'un mot de passe faible par ssh ».

Sinon, rien à ajouter sur ce qui as été dit.

Il y a des chances pour que l'envahisseur n'ait pas eu de droits root (même s'il faut se méfier avec toutes ces failles qui traînent ces derniers temps). Du coup, les logs (auth.log surtout) peuvent donner des indications. À voir.

Dans tous les cas, il faut mieux couper définitivement le réseau jusqu'à réinstallation.

En verifiant /var/log/auth.log, j'ai vu que l'utilisateur est passe par ssh. fail2ban est installe sur ma machine. Il n'y a eu que quelques connexions (moins de 5 avec des IP differente dans la meme journee) rate sur ce compte utilisateur avant d'avoir une vrai connexion. C'est plutot ce qui m'inquiete. Je ne sais plus quel etait le MdP, il etait surement faible, mais non trivial.

l'attaque ressemble plus a un script kiddi qu'autre chose. Il y a quelques logiciels installe dans le compte utilisateur (je peux vous faire un tar gz de ce qui a ete installe si ca vous interesse); a priori, un faux serveur ssh, un bot pour exploiter une faille dans darwin et un relai smtp. Les cle ssh n'ont pas ete modifie, ni les script de login.

L'historique du shell n'a pas ete vide et presente un utilisateur qui ne sait pas utiliser ls proprement: http://wall.deblan.fr/x1c1
e/bash/1/

Du coup, je ne susi pas tres inquiet, mais je ferais une reinstallation complete avec la stabilisation de squeeze.

godrik : lance john sur ton passwd. Si le mot de passe est vraiment faible, il sera trouvé en quelques heures. Enfin, le plus crédible reste encore que l'attaquant connaissant à quelques détails prêts le mot de passe.

Sinon, fais gaffe… virer des éléments de l'historique, ça se fait assez bien.

J'ai degage le MdP des que j'ai vu qu'il y a eu une intrusion. J'aurais du sauver le hash peut etre. De toute facon le mec qui est rentre a chager le password. enfin, il a fait un appel a $ passwd.

En regardant de plus pres, il a essayer de toucher des machines voisines avec ssh par brute force. Puis a fait la meme chose avec smtp/pop/imap.

Ensuite il a installer un outils appele botdarwin et l'a lance.

Un virus au vrai sens du terme donc.