Résolu-Quelqu’un s’est connecté en ssh sur mon ipcop

[zsunol]

Bonjour,

En me connectant sur mon ipcop par putty j'ai vu le last login:

Last login: Wed Nov 7 19:17:07 2007 from x93.253.1x9.1xx.abo.wanadoo.fr
root@ipco:~ #

Du coup je suis allé voir dans les logs

Users logging in through sshd:
root:
192.168.130.250: 2 times
1x93.253.1x9.1xx (LAubervilliers-x93.253.1x9.1xx2.abo.wanadoo.fr): 1 time

SFTP subsystem requests: 1 Time(s)

l'ip 192.168.130.250 c'est bien moi , par contre LAubervilliers.... ce n'est pas moi.
D'ailleur je suis chez Free.

Que pensez-vous? est-il possible de voir combien il est resté connecté et ce qu'il a fait?

Ma config:
ipcop 1.4.16
openzerina 0.9.5.a
update accelerator et advanced proxy (last)
ntp > ntp.unice.fr

Pensez-vous que je sois obligé de formater ?

Merci pour vos lumieres

[jdh]

C'est inquiétant, en effet. Comme quoi, regarder les différences a du bon !

A partir du moment où le port utilisé pour ssh est le port usuel d'ipcop (222 ?), et à partir du moment ou le mot de passe ne présente pas de difficulté (dictionnaire), il est inévitable que ce genre d'accès survienne.


La prophylaxie est nette : fermer le ports, désactiver l'accès à root (sudo), changer le mot de passe par quelque chose de sérieux, changer de nom dyndns (no-ip). (l'ip non fixe est mieux, non ?)

On peut, à bon droit, se poser la question de réinstaller le "bouzin". (Sauvegarde d'éléments de config à faire).



Quand à savoir ce qui a été fait et pendant combien de temps, cela est difficile. S'il y a seulement de la curiosité, il n'y a pas grand chose à cacher. Les malins sont capables de modifier les logs, alors ....


NB: pour ntp, il faut utiliser de préférence un serveur comme fr.pool.ntp.org.

[zsunol]

C'est inquiétant, en effet. Comme quoi, regarder les différences a du bon !

A partir du moment où le port utilisé pour ssh est le port usuel d'ipcop (222 ?), et à partir du moment ou le mot de passe ne présente pas de difficulté (dictionnaire), il est inévitable que ce genre d'accès survienne.


La prophylaxie est nette : fermer le ports, désactiver l'accès à root (sudo), changer le mot de passe par quelque chose de sérieux.

On peut, à bon droit, se poser la question de réinstaller le "bouzin". (Sauvegarde d'éléments de config à faire).


NB: pour ntp, il faut utiliser de préférence un serveur comme fr.pool.ntp.org.

Merci pour ta reponse,

Effectivement, comme je venais de le reinstaller il y a qq semaines... j'ai laissé le port par defaut...
Est-il possible (sous reserve que la personne n'ai pas supprimé des logs) de verifier combien de temps il a passé sur le serveur?

merci

[tomtom]

Si ca date du 7 novembre, c'est pas tout neuf...

Regarde les logs pour voir s'il n'y a pas eu force brute.....

t.

[zsunol]

Si ca date du 7 novembre, c'est pas tout neuf...

Regarde les logs pour voir s'il n'y a pas eu force brute.....

t.

Le last login en ssh est celui du 7 novembre, pour le force de brut je ne pense pas, etrange mais lorsque je regarde les logs ssh novembre il n'y a que mon ip public qui apparait plusieurs fois et une fois la sienne.


07/19:17:07 sshd[7556] Accepted password for root from x93.253.1x9.1xx port 5108 ssh2
07/19:53:23 sshd[890] Received signal 15; terminating.
07/19:53:23 sshd[7850] Server listening on 0.0.0.0 port 222.
07/20:55:43 sshd[489] Server listening on 0.0.0.0 port 222.
07/20:12:00 sshd[491] Server listening on 0.0.0.0 port 222.

D'apres les logs on dirait qu'il a quité à 19h53 c'est ca?

Merci bcp

[tomtom]

On dirait...


Essaye de chercher les fichiers modifiés à cette date par exemple....

Mais franchement ça ne ressemble pas à une attaque, es-tu sur de ne pas avoir effectué une connexion depuis chez quelqu'un d'autre, ou de chez un client, ce jour là ?


t.

[zsunol]

On dirait...


Essaye de chercher les fichiers modifiés à cette date par exemple....

Mais franchement ça ne ressemble pas à une attaque, es-tu sur de ne pas avoir effectué une connexion depuis chez quelqu'un d'autre, ou de chez un client, ce jour là ?


t.

J'ai verifié mon plannig et je n'etais pas en clientele... la piste des fichiers modifié ce jour la est une tres bonne idée! aurais-tu la commande qui me permetrait de trouver les fichiers modifié?

Encore merci à vous de me donner un coup de main.

[tomtom]

man find


t.

[zsunol]

man find


t.

Avec toutes mes excuses, je viens de comprendre.

Mon serveur n'etait pas à l'heure ( durant cette periode) et je viens de me souvenir que j'avais eu un probleme de connexion ssh.

J'ai du coup fait un test depuis un autre site distant, la fameuse connexion wanadoo.... (je viens de verifier son ip )

Un grand merci à vous deux, grâce a vous je vais de ce pas en tirer la leçon .

Changer le port ssh, augmenter la precision des logs, utiliser un password plus complexe.


Merci