sujet Re: plainte orange abuse brutefore ssh dans ma connexion

plainte orange abuse brutefore ssh

jonathan451 — Fri, 30 Dec 2022 17:26:14 GMT

bonjour , je viens ici en quete de solutions

je viens de recevoir des mails de orange abuse concernant des plaintes envers mon IP

objet de la plainte : This IP Address is currently being used to brute-force the login credentials of servers running SSH (Secure Shell)

il y a donc probablement un soucis en effet

maintenant où chercher ?

j'ai passé un antivirus , rien trouvé , un anti spyware , rien de probant .

que doit je faire , merci .

Re: plainte orange abuse brutefore ssh

black-ice — Fri, 30 Dec 2022 17:54:41 GMT

bonjour @jonathan451

@fredolerouge @PhilDur

si le mail ne vient pas de

abuse@orange.fr

ce n'est pas la bonne cellule

d'autre par le message dit

Cette adresse IP est actuellement utilisée pour forcer brutalement les identifiants de connexion des serveurs exécutant SSH (Secure Shell)

essaye de renouveler ton IP de livebox

https://livebox-news.com/tutoriel/changer-adresse-ip-orange#:~:text=L%27adresse%20IP%20de%20votre%20Livebox%20est%20automatiquement%20modifiée%20si,l%27application%20mobile%20Ma%20Livebox.

cdt

Re: plainte orange abuse brutefore ssh

jonathan451 — Fri, 30 Dec 2022 18:07:55 GMT

bonjour , merci de votre reponse

le mail viens bien de chez abuse@orange.fr

ils m'ont fait un premier signalement le 21 decembre par mail ( mail orange mais je ne me sert pas de cette boite )

et ils viennent de me recontacter aujourd'hui avec un nouveau signalement a mon encontre , par telephone ce coups ci c'est comme ca que j'ai été mit au courant , ils m'ont envoyé une copie sur une adresse mail que je me sert .

voila l'incident rencontré

https://incident.netcraft.com/c8c2947d8e58/

j'ai par securité fait un reboot pour changer l Ip , mais vu que la box fonctionne tellement bien c'est une galere à chaque fois

en fait a chaque reboot de la box ( que ca soit par moi ou par elle meme ) elle ne reboot plus systematiquement , elle reste figé sur le logo orange et ne fait plus rien , il faut alors faire un reset sur le bouton rouge (je sais meme pas si ca le fait vraiment ) , eteindre et rallumer et là enfin elle reboot. penible de se lever le matin et de devoir refaire toute la manip car elle a planté la nuit .

Re: plainte orange abuse brutefore ssh

black-ice — Fri, 30 Dec 2022 18:23:30 GMT

re bonjour @jonathan451

@Daniel35 @PhilDur @JuanLucas38 @fredolerouge @sic29 @Le_Novice

en effet ce n'est pas evident

d'autre part tu met

elle ne reboot plus systematiquement , elle reste figé sur le logo orange et ne fait plus rien

peut etre un changement de livebox s'imposerait il

dans tous les cas je vais voir ce que preconisent les confrères

cdt

Re: plainte orange abuse brutefore ssh

Daniel35 — Fri, 30 Dec 2022 18:50:40 GMT

Bonjour @jonathan451

@black-ice

Ça ne sent pas bon ton affaire.

Pour changer d'IP, le reboot marche/arrêt électrique ne suffit pas.

Au choix:

soit via l'administration de ta livebox et Redémarrer (l'arrêt/marche électrique ne suffit pas)
soit via ton Espace client/Service internet/Internet/Renouveler votre adresse IP
soit via l'appli Ma Livebox / Paramètres / Redémarrer

Mais si tu as un malware qui a transformé ton PC en PC zombie qui fait des acrobaties d'attaques SSH, la nouvelle IP sera blacklistée dans la foulée.

Passe un coup d'adwcleaner en mode sans échec.

Sans doute pas suffisant. Si pas mieux, regarde via le gestionnaire de tâches, si un process bizarre ne consomme pas du temps d'UC "au repos", en mode sans échec aussi, alors que le PC "ne fait rien". Onglet Processus. Clique en haut de la colonne Processeur une fois ou 2 pour avoir en tête les processus avec les % les plus élevés. Si oui, il faudra traquer la bête. Mais toutes les "véroles" n'apparaissent pas dans le gestionnaire de tâches hélas.

Fais-toi aider sur un forum spécialisé ou par un ami qui connait la musique. Ça dépasse mes compétences.

Cordialement
Daniel35
.

Re: plainte orange abuse brutefore ssh

jonathan451 — Fri, 30 Dec 2022 18:38:34 GMT

je comptais justement en effet contacter le service client pour faire changer la box. mais pas eu le temps .

pour l'analyse

j'ai passé un coups de ZHPcleaner , il n'a pas trouvé grand chose , est ce que c'est ce qu'il a trouvé je ne sais pas .

~ ZHPCleaner v2022.12.29.91 by Nicolas Coolman (2022/12/29)
~ Run by Jonathan (Administrator)  (30/12/2022 17:50:49)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Type : Nettoyer
~ Report : C:\Users\Jonathan\Desktop\ZHPCleaner (R).txt
~ Quarantine : C:\Users\Jonathan\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ System Restore Point : OK
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 10 Pro, 64-bit  (Build 22000)


---\\  ALTERNATE DATA STREAM (ADS). (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\  SERVICE. (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\  NAVIGATEUR INTERNET. (0)
~ Aucun élément malicieux ou superflu trouvé.


---\\  FICHIER HÔTE. (1)
~ Le fichier hôte est légitime. (23)


---\\  TÂCHE PLANIFIÉE. (1)
SUPPRIMÉ tâche: [Adobe Flash Player Updater] [C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe]  =>Riskware.FlashPlayer


---\\  EXPLORATEUR  ( Dossiers, Fichiers ). (3)
DEPLACÉ fichier: C:\Users\Jonathan\AppData\Local\Google\Chrome\User Data\Default\Preferences    =>Préférences Chromium
DEPLACÉ fichier: C:\Users\Jonathan\AppData\Local\Google\Chrome\User Data\Profile 1\Preferences    =>Préférences Chromium
DEPLACÉ fichier: C:\Users\Jonathan\AppData\Local\Microsoft\Edge\User Data\Default\Preferences    =>Préférences Chromium


---\\  BASE DE REGISTRES ( Clés, Valeurs, Données ). (4)
SUPPRIMÉ clé*: [X64] HKLM\SOFTWARE\459fc68c-eb53-59f8-8957-9913bc627af3 []  =>Adware.CrossRider
SUPPRIMÉ clé*: HKEY_USERS\S-1-5-21-904407761-4236605266-571989376-1001\SOFTWARE\Classes\AppXq0pwa73vfcn2qdexp8cexcc6qk87xh1r []  =>Adware.Navipromo
SUPPRIMÉ clé*: HKEY_USERS\S-1-5-21-904407761-4236605266-571989376-1001\SOFTWARE\Classes\discord-712465656758665259 [URL:Run game 712465656758665259 protocol]  =>.SUP.Discord
SUPPRIMÉ clé^: [X64] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Adobe Flash Player Updater []  =>Riskware.FlashPlayer


---\\  RÉCAPITULATIF DES ÉLÉMENTS TROUVÉS SUR VOTRE STATION. (5)
https://nicolascoolman.eu/forum/Topic/flashplayer-logiciel-a-risque-riskware/  =>Riskware.FlashPlayer
https://nicolascoolman.eu/forum/Topic/repaquetage-et-infection/  =>Préférences Chromium
https://nicolascoolman.eu/2017/03/11/pup-optional-crossrider/  =>Adware.CrossRider
https://nicolascoolman.eu/forum/Topic/repaquetage-et-infection/  =>Adware.Navipromo
https://nicolascoolman.eu/forum/Topic/Discord-logiciel-potentiellement-superflu-lps/  =>.SUP.Discord


---\\  NETTOYAGE ADDITIONNEL. (21)
~ Suppression des Clés de registre Tracing. (19)
~ Suppression des anciens rapports ZHPCleaner. (2)


---\\ BILAN DE LA REPARATION
~ Réparation réalisée avec succès.
~ Google Chrome OK
~ Internet Explorer OK
~ Le système a été redémarré.


---\\ STATISTIQUES
~ Items scannés : 1732
~ Items trouvés : 0
~ Items annulés : 0
~ Gain de place (Octets) : 0
~ Items options : 9/17


---\\ OPTIONS DESACTIVÉES
~ Analyse et suppression des fichiers temporaires
~ Analyse et suppression des répertoires temporaires
~ Recherche et suppression des répertoires CLSID vides
~ Recherche et suppression des autres répertoires vides
~ Recherche et suppression des répertoires vides de LocalLow
~ Recherche et suppression des répertoires vides de Local
~ Recherche et suppression des fichiers obsolètes
~ Initialiser les navigateurs avec suppression des extensions





~ End of clean in 00h00mn17s

---\\  LISTE DES RAPPORTS (2)
ZHPCleaner-[S]-30122022-17_48_02.txt
ZHPCleaner-[R]-30122022-17_51_06.txt

Re: plainte orange abuse brutefore ssh

matrixbx — Sat, 31 Dec 2022 07:54:16 GMT

Bonjour @jonathan451

Puisque l'alerte est légitime et ne fait plus de doute (mail + appel), il faut la traiter avec diligence au risque de subir des conséquences possiblement désagréables (suspension ou restriction d'accès prévues au contrat).

Pour commencer, changer d'IP ne présente aucun intérêt pratique ici, bien au contraire, chaque nouvelle adresse verra sa réputation dégradée tant que le problème perdurera, ce qui ne peut qu'augmenter la probabilité de mesures conservatoires venant d'Orange et d'autre part, j'aurais bien scanné ton IP pour voir si un truc inhabituel était en écoute, mais tu en as changé entre temps.

Ce que tu peux faire pour faire cesser la nuisance immédiatement c'est modifier le pare feu de la box et le passer en mode élevé en interdisant les connexions SSH sortantes au moins le temps d'isoler la source du problème et si tu n'en as pas l'utilité.

Ensuite, il faut investiguer TOUS les périphériques connectés à la box et pas seulement ton PC, il me semblerait assez surprenant qu'il n'y ait que ton PC et pas de téléphones, NAS, portables, consoles, etc.

Tu peux même faire des règles pare feu par équipement connecté et en suivre l’efficacité sur le site que tu as communiqué.

Une fois l'équipement source de ces attaques identifié, il faudra le nettoyer d'une manière ou d'une autre.

Bonne dernière journée de l'année.

Re: plainte orange abuse brutefore ssh

PhilDur — Sat, 31 Dec 2022 09:54:06 GMT

Bonjour @jonathan451

Effectivement c'est du sérieux.

Il y a dans ton ordi un processus résident qui travaille pour un pirate et qui pourrait se révéler dangereux.

@matrixbx a écrit :

Bonjour @jonathan451

Puisque l'alerte est légitime et ne fait plus de doute (mail + appel), il faut la traiter avec diligence au risque de subir des conséquences possiblement désagréables (suspension ou restriction d'accès prévues au contrat).

Pour commencer, changer d'IP ne présente aucun intérêt pratique ici, bien au contraire, chaque nouvelle adresse verra sa réputation dégradée tant que le problème perdurera, ce qui ne peut qu'augmenter la probabilité de mesures conservatoires venant d'Orange et d'autre part, j'aurais bien scanné ton IP pour voir si un truc inhabituel était en écoute, mais tu en as changé entre temps.

Ce que tu peux faire pour faire cesser la nuisance immédiatement c'est modifier le pare feu de la box et le passer en mode élevé en interdisant les connexions SSH sortantes au moins le temps d'isoler la source du problème et si tu n'en as pas l'utilité.

Ensuite, il faut investiguer TOUS les périphériques connectés à la box et pas seulement ton PC, il me semblerait assez surprenant qu'il n'y ait que ton PC et pas de téléphones, NAS, portables, consoles, etc.

Tu peux même faire des règles pare feu par équipement connecté et en suivre l’efficacité sur le site que tu as communiqué.

Une fois l'équipement source de ces attaques identifié, il faudra le nettoyer d'une manière ou d'une autre.

Bonne dernière journée de l'année.

Effectivement changer d'IP n'a aucun sens, le pirate est chez toi, et de plus, rien ne prouve qu'il soit dans ton ordi : tous les appareils connectés à internet par ta box sont vus comme possédant l'adresse de ta box.

Commence par désinstaller tout logiciel qui serait une "copie d'original" de tous tes appareils programmables : tel, tablette, console.

Perso j'aurais tendance à incriminer la ou les consoles de jeu, c'est là où on trouve le plus de téléchargements douteux.

Pour le PC il existe des sites avec des experts formés qui aident au diagnostique et à la désinfection comme celui de Nicolas Coolman.

Le changement de box n'est pas une option, tu récupérerais la même box avec les mêmes paramètres.

L'activité vient de chez toi, elle y a été introduite par un logiciel probablement "non officiel", il fut le localiser et le virer.

Ensuite il faut réinitialiser la machine qui l'hébergeait à son état sortie d'usine.

Cordialement

PhilDur

Re: plainte orange abuse brutefore ssh

juste — Sat, 31 Dec 2022 13:52:03 GMT

Bonjour @jonathan451 @juste

Avec l ' adresse ip :

Installe un autre programme plus performant que le gestionnaire des taches qui va regarder le traffic entrant et sortant de ta connexion ( ethernet ou autre )et tu dois pouvoir trouver le coupable .

https://www.malekal.com/alternative-au-gestionnaire-de-taches-de-windows/#Process_Hacker

Tu peux aussi utiliser la commande : msconfig dans executer et désactiver au fur et à mesure le programme qui tourne .

Avant de faire ces essais , fait une sauvegarde de ta machine ( restauration du système ).

Après si le problème persiste voir tous les autres appareils connectés sur ta Livebox et peut-être même commencer par cette opération afin de cibler la source de ton problème .

Cordialement

Re: plainte orange abuse brutefore ssh

PhilDur — Sat, 31 Dec 2022 13:57:22 GMT

Oui Juste

Sauf si ça vient d'une console de jeu avec un jeu "téléchargé"

Re: plainte orange abuse brutefore ssh

jonathan451 — Sun, 01 Jan 2023 01:45:50 GMT

bonjour , alors je vais esayer de répondre le plus precisement possible

chez moi il n'y as pas grand chose si on peut dire

2 pc portable

1telephone

1pc fixe (proxmox avec multiples VM linux dessus )

quelques modules ESPeasy(pour la domotique )

pas de consoles

pour le moment j'incrimine 1 des 2 pc portable ( le second étant éteint au moment des faits donc c'est pas lui)

pour ce qui est du pc avec Proxmox dessus , j'ai 4 linux qui tournent dessus ils sont normalement safe

1 linux dédié Jeedom ( domotique , iso fourni par jeedom)

1dietPi dédié à un serveur DLNA( instalation iso fourni par dietPi rien d'autre n'est installé dessus )

1 dietPi dédié à Pi-hole ( filtreur de pub par DNS , instalation iso fourni par dietPi rien d'autre n'est installé dessus)

1 dietPi dédié à MotionEye ( gestionnaire de camera IP , instalation iso fourni par dietPi rien d'autre n'est installé dessus)

solution Actuelle = ne trouvant rien malgré tout un tas de test malware etc ,je viens de le formater, réinstallation complete de w11 , si c'était lui qui est en tord alors ca devrais solutionner le probleme.

je songe à formater le telepone portable car il pourrais etre aussi incriminé

pour le moment je n'ai pas touché aux VM proxmox .

il se trouve que dernierement j'ai installé une camera IP chinoiserie, elle fonctionne mais serais elle capable , d'elle meme , de faire ce genre d'attaque SSH ?

reste plus qu'a voir si orange me retappe sur les doigts ou pas ....

ps= encore et toujours des soucis de redemarage de box fastidieux , j'ai eu une coupure internet tout a l'heure et encore une fois obligé de faire ON off des 10aines de fois pour qu'enfin elle boot

Re: plainte orange abuse brutefore ssh

matrixbx — Sun, 01 Jan 2023 06:23:32 GMT

Salut @jonathan451

Perso, je me concentrerai sur ceux qui sont joignables de l’extérieur ou l'ont été même brièvement, il a bien fallu que la vérole rentre.

Clairement les vm linux, j'y regarderais de près, surtout avec des confs par défaut ou des mots de passe faibles

# ps aux

# ss -tnp | grep ":22"

# zgrep sshd /var/log/auth.log* | grep -i accepted

Enfin la chinoiserie est aussi suspecte, d'elle même je ne crois pas (et encore), mais la sécu est y rarement une priorité.

Le comportement de la box que tu décris n'est clairement pas normal non plus.

Re: plainte orange abuse brutefore ssh

jonathan451 — Mon, 02 Jan 2023 12:26:19 GMT

bonjour

alors par securite j'ai debranche pour le moment la camera ip sais-t-on jamais...

pour les vm

je viens de rechanger les mots de passe sur chaque vm histoire d'etre securise

3 avaient la console qui n'a pas bouge

seulement une avec messages (DLNA)

et en tapant # ss -tnp | grep ":22"

ca sent pas bon en localisant quelques ip , y en a en chine canaries etats unis etc , ce qui semble concorder avec une attaque SSH

est il possible dans cette longue liste de pouvoir verifier si l 'ip 192.248.172.0 y est ce qui confirmerais le delit ?

et quand je tape la meme commande sur les autres vm je n obtiens aucune reponse

je pense que le coupable est trouvé, ce qui au final n'est pas si etonnant quelques jours avant les attaques il se trouve que j avais ouvert les port de la livebox pour avoir un acces a distance de mon dlna ( j avais besoin dy copier des fichiers a distance)

avec un mot de passe root evidement d origine ( vu que je ne comptais garder cette vm qu en interne )

j ai tout de suite arrete cette vm en attendant d avoir confirmation

Re: plainte orange abuse brutefore ssh

matrixbx — Mon, 02 Jan 2023 12:29:18 GMT

Salut @jonathan451

Aucun doute à avoir sur le coupable

Un process "ta9jdu0pa" me semble très suspect (euphémisme) et clairement il initie des connexions SSH en nombre.

Rajoute un "| grep 192.248.172.0" à la commande, mais ça ne donnera de résultat que si il y a une connexion active, pas si il y en a eu par le passé (et comme tu as stoppé la vm, ça me semble mort).

"mot de passe root evidement d origine" => Faute => sanction immédiate

Reste plus qu'à nettoyer :p

Re: plainte orange abuse brutefore ssh

jonathan451 — Mon, 02 Jan 2023 12:39:28 GMT

ayant eteint cette vm du coups je la rallume

et miracle plus aucune connection active illicite . comme par hasard.

quel c*n ,au final , je me suis fait avoir comme un bleu

je viens de lancer putty , avec mon ip externe :22

et miracle j accede directement a la console de cette vm , suffit d y rentrer le login root et le mot de passe d origine dietpi , et hop on avais acces a cette vm sans limite .....

etant convaincu qu elle ne serais pas ouverte un jour dans la livebox , j aurais absolument du modifier ce foutu mot de passe.

ils ont certainement des programme qui testent sans cesse nimporte quel ip :22 jusqu a ce qu il y en ai une comme moi d ouverte, et c est parti la cavalerie

Re: plainte orange abuse brutefore ssh

jonathan451 — Mon, 02 Jan 2023 12:47:29 GMT

pour le netoyage que me conseille tu ?

je pensais purement et simplement supprimer a vm concerne et a la reinstaller ( en conservant mes media evidement )

les autres vm n ayant pas eu d activite illicite je suppose qu elles sont saines et qu il ne s y est pas infiltre via mon reseau local.

Re: plainte orange abuse brutefore ssh

matrixbx — Mon, 02 Jan 2023 12:58:51 GMT

"ils ont certainement des programme qui testent sans cesse nimporte quel ip :22 jusqu a ce qu il y en ai une comme moi d ouverte"

C'est précisément ce que fait la vérole qui tourne sur ta vm

Supprimer et ré installer la vm sera parfaitement efficace (pense à changer les mots de passe par défaut )

Un nettoyage plus chirurgical et envisageable mais plus délicat.

Quand à l'éventuelle compromission de ton LAN, il FAUT vérifier.

Il serait intéressant de regarder le contenu de "/root/.bash_history" pour voir si il y a des traces de ce qui a été fait.

Le résultat de "# zgrep sshd /var/log/auth.log* | grep -i accepted" également.

Bonne journée et bon ménage.