Après 15 années d’existence, le forum historique de Framasoft, ferme ses portes. Pour les nostalgiques et les curieux, il reste toujours possible de consulter les discussions mais c’est maintenant le forum Framacolibri qui prend la relève. Si vous avez des questions, on se retrouve là-bas… ;)

ForumsDiscussions

 » Les logiciels libres » GNU/Linux - J'y suis, j'y reste

Les logiciels libres
La philosophie du libre
Autour du réseau Framasoft

Nous sommes le Ven 05 Sep, 2025 00:39
Supprimer les cookies

sshd, adduser cvv, mandriva 2007

Au quotidien encore quelques soucis ?

Mer 02 Mai, 2007 15:30

Bonjour,
j'utilise (j'utilisais!) sshd.
Un matin, en me connectant, j'ai vu un utilisateur nommé "cvv" que je n'avais jamais créé dans la liste des utilisateurs du système.
En regardant les logs, j'ai constaté que quelqu'un (un robot visiblement) m'a attaqué de 4 h du matin jusqu'à 9 h en gros.
Et dans le log vers 9h, j'ai vu une commande "useradd cvv" avec son groupe etc...

Par contre, je ne retrouve pas qui est à l'origine de cette commande.
Je m'explique : je vois toutes les tentatives de connexion avec la réponse du système : utilisateur inexistant, wrong password given for user root etc...

Quelqu'un pourrait-il m'expliquer comment exécuter un "useradd" sans qu'il n'y ait de message de type "user local password accepted" ou "password authentication".
Peut-être un script préparamétré qu'on peut lancer via ssh???

Pour la petite histoire, je ne sais pas ce qu'a réussi à faire cette personne sur mon système. Les contrôles faits toutes les nuits par le système ne m'indique aucun virus, les mots de passe n'ont pas changé,...
J'étais en niveau de sécurité "élevé", je suis passé en niveau sécurité "très élevé".
Et je pense que j'ai beaucoup de choses à apprendre sur "ssh".
Cordialement,
alei69
alei69

Messages : 5

Sam 14 Juil, 2007 20:37

Salut alei69

Je ne voudrais pas être alarmiste mais la commande "adduser" est une commande ROOT. Si cette personne via ton SSH a réussi son brute-force sur ton pass ROOT je te conseil vivement d'en changer et d'en mettre un plus compliqué. Parce qu'un brute-force qui trouve un pass en 5h sur un SSH je trouve ca court. De plus dans ta config de ton SSHd tu devrais interdire les login ROOT, ce qui m'étonne c'est que ca devrait être le cas par défaut, as-tu changer cette option ?
De memoire ca doit être dans : /etc/ssh/sshd_config
Il y a d'ailleurs le manpage très pratique a ce sujet : http://www.delafond.org/traducmanfr/man ... shd.8.html
Sachant qu'un brute-force bien comme il faut a de forte chance de trouver un mot de passe "mémorisable" par l'homme, il faut le rendre le plus compliqué possible, en alternant les lettres et les chiffres.
MDP simple : les dates, les prenoms, etc ...
MDP compliqué : un exemple vaut mieux qu'une démonstration => m0Td3p@Ss3 ou 1-@utR3_Ex3mpLe
les caractères que tu peux utiliser sont : aA-zZ 0-9 et les caractères spéciaux ($^*@ ...)
le but étant d'alterner entre chaque caractère
Ensuite si tu connais le pare-feu linux tu peux resoudre le problème des connexions suspectes, des gens très bien ont fait des choses très bien :

http://wiki.bigvicente.com/Pare-feu.html
http://mysecureshell.sourceforge.net/fr ... l#iptables

Voila, en espérant avoir éclairé ta lanterne, et que tu trouveras une solution pour ton serveur.
Bon week-end :-)
karch

Messages : 4

Sam 14 Juil, 2007 20:47

Petite précision :

dans le sshd_config regarde si tu as bien :
PermitRootLogin no

Tu peux de plus rajouter les "users" que tu autorise seulement à se connecter, exemple :
allowusers alei69 pierre paul jacques

;-)
karch

Messages : 4
Publier une réponse

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Traduction réalisée par Maël Soucaze © 2010 phpBB.fr