internet & fixe ma connexion

Voir tous les sujets internet & fixe

bonjour 

alors par securite j'ai debranche pour le moment la camera ip sais-t-on jamais...

pour les vm 

je viens de rechanger les mots de passe sur chaque vm histoire d'etre securise

3 avaient la console qui n'a pas  bouge

seulement une avec messages (DLNA)

et en tapant # ss -tnp | grep ":22"

ca sent pas bon en localisant quelques ip , y en a en chine canaries etats unis etc , ce qui semble concorder avec une attaque SSH 

est il possible dans cette longue liste de pouvoir verifier si l 'ip 192.248.172.0 y est ce qui confirmerais le delit ?

et quand je tape la meme commande sur les autres vm je n obtiens aucune reponse 

je pense que le coupable est trouvé, ce qui au final n'est pas si etonnant quelques jours avant les attaques il se trouve que j avais ouvert les port de la livebox pour avoir un acces a distance de mon dlna ( j avais besoin dy copier des fichiers a distance)

avec un mot de passe root evidement d origine ( vu que je ne comptais garder cette vm qu en interne )

j ai tout de suite arrete cette vm en attendant d avoir confirmation

Salut @jonathan451 

Aucun doute à avoir sur le coupable

Un process "ta9jdu0pa" me semble très suspect (euphémisme) et clairement il initie des connexions SSH en nombre.

Rajoute un "| grep 192.248.172.0" à la commande, mais ça ne donnera de résultat que si il y a une connexion active, pas si il y en a eu par le passé (et comme tu as stoppé la vm, ça me semble mort).

"mot de passe root evidement d origine" => Faute => sanction immédiate

Reste plus qu'à nettoyer :p

ayant eteint cette vm du coups je la rallume 

et miracle plus aucune connection active illicite . comme par hasard.

quel c*n ,au final  , je me suis fait avoir comme un bleu 

je viens de lancer putty , avec mon ip externe :22

et miracle j accede directement a la console de cette vm , suffit d y rentrer le login root et le mot de passe d origine dietpi , et hop on avais acces a cette vm sans limite .....

etant convaincu qu elle ne serais pas ouverte un jour dans la livebox , j aurais absolument du modifier ce foutu mot de passe.

ils ont certainement des programme qui testent sans cesse nimporte quel ip :22 jusqu a ce qu il y en ai une comme moi d ouverte, et c est parti la cavalerie 

pour le netoyage que me conseille tu ?

je pensais purement et simplement supprimer a vm concerne et a la reinstaller ( en conservant mes media evidement )

les autres vm n ayant pas eu d activite illicite je suppose qu elles sont saines et qu il ne s y est pas infiltre via mon reseau local.

"ils ont certainement des programme qui testent sans cesse nimporte quel ip :22 jusqu a ce qu il y en ai une comme moi d ouverte"

C'est précisément ce que fait la vérole qui tourne sur ta vm

Supprimer et ré installer la vm sera parfaitement efficace (pense à changer les mots de passe par défaut )

Un nettoyage plus chirurgical et envisageable mais plus délicat.

Quand à l'éventuelle compromission de ton LAN, il FAUT vérifier.

Il serait intéressant de regarder le contenu de "/root/.bash_history" pour voir si il y a des traces de ce qui a été fait.

Le résultat de "# zgrep sshd /var/log/auth.log* | grep -i accepted" également.

Bonne journée et bon ménage.