- Communauté Orange
- ➔
- internet & fixe
- ➔
- ma connexion
- ➔
- plainte orange abuse brutefore ssh
Vous avez une question ?
Interrogez la communautéplainte orange abuse brutefore ssh
- S'abonner au fil RSS
- Marquer le sujet comme nouveau
- Marquer le sujet comme lu
- Placer ce Sujet en tête de liste pour l'utilisateur actuel
- Marquer
- S'abonner
- Page imprimable
- « Précédent
-
- 1
- 2
- Suivant »
- Marquer comme nouveau
- Marquer
- S'abonner
- S'abonner au fil RSS
- Imprimer
- Signaler
Re: plainte orange abuse brutefore ssh
bonjour , alors je vais esayer de répondre le plus precisement possible
chez moi il n'y as pas grand chose si on peut dire
2 pc portable
1telephone
1pc fixe (proxmox avec multiples VM linux dessus )
quelques modules ESPeasy(pour la domotique )
pas de consoles
pour le moment j'incrimine 1 des 2 pc portable ( le second étant éteint au moment des faits donc c'est pas lui)
pour ce qui est du pc avec Proxmox dessus , j'ai 4 linux qui tournent dessus ils sont normalement safe
1 linux dédié Jeedom ( domotique , iso fourni par jeedom)
1dietPi dédié à un serveur DLNA( instalation iso fourni par dietPi rien d'autre n'est installé dessus )
1 dietPi dédié à Pi-hole ( filtreur de pub par DNS , instalation iso fourni par dietPi rien d'autre n'est installé dessus)
1 dietPi dédié à MotionEye ( gestionnaire de camera IP , instalation iso fourni par dietPi rien d'autre n'est installé dessus)
solution Actuelle = ne trouvant rien malgré tout un tas de test malware etc ,je viens de le formater, réinstallation complete de w11 , si c'était lui qui est en tord alors ca devrais solutionner le probleme.
je songe à formater le telepone portable car il pourrais etre aussi incriminé
pour le moment je n'ai pas touché aux VM proxmox .
il se trouve que dernierement j'ai installé une camera IP chinoiserie, elle fonctionne mais serais elle capable , d'elle meme , de faire ce genre d'attaque SSH ?
reste plus qu'a voir si orange me retappe sur les doigts ou pas ....
ps= encore et toujours des soucis de redemarage de box fastidieux , j'ai eu une coupure internet tout a l'heure et encore une fois obligé de faire ON off des 10aines de fois pour qu'enfin elle boot
- Marquer comme nouveau
- Marquer
- S'abonner
- S'abonner au fil RSS
- Imprimer
- Signaler
Salut @jonathan451
Perso, je me concentrerai sur ceux qui sont joignables de l’extérieur ou l'ont été même brièvement, il a bien fallu que la vérole rentre.
Clairement les vm linux, j'y regarderais de près, surtout avec des confs par défaut ou des mots de passe faibles
# ps aux
# ss -tnp | grep ":22"
# zgrep sshd /var/log/auth.log* | grep -i accepted
Enfin la chinoiserie est aussi suspecte, d'elle même je ne crois pas (et encore), mais la sécu est y rarement une priorité.
Le comportement de la box que tu décris n'est clairement pas normal non plus.
Suggérer, expliquer, démontrer ne suffit parfois pas. On apprend de ses erreurs, enfin la plupart. "I'm All Out of Gum."
- Marquer comme nouveau
- Marquer
- S'abonner
- S'abonner au fil RSS
- Imprimer
- Signaler
Re: plainte orange abuse brutefore ssh
bonjour
alors par securite j'ai debranche pour le moment la camera ip sais-t-on jamais...
pour les vm
je viens de rechanger les mots de passe sur chaque vm histoire d'etre securise
3 avaient la console qui n'a pas bouge
seulement une avec messages (DLNA)
et en tapant # ss -tnp | grep ":22"
ca sent pas bon en localisant quelques ip , y en a en chine canaries etats unis etc , ce qui semble concorder avec une attaque SSH
est il possible dans cette longue liste de pouvoir verifier si l 'ip 192.248.172.0 y est ce qui confirmerais le delit ?
et quand je tape la meme commande sur les autres vm je n obtiens aucune reponse
je pense que le coupable est trouvé, ce qui au final n'est pas si etonnant quelques jours avant les attaques il se trouve que j avais ouvert les port de la livebox pour avoir un acces a distance de mon dlna ( j avais besoin dy copier des fichiers a distance)
avec un mot de passe root evidement d origine ( vu que je ne comptais garder cette vm qu en interne )
j ai tout de suite arrete cette vm en attendant d avoir confirmation
- Marquer comme nouveau
- Marquer
- S'abonner
- S'abonner au fil RSS
- Imprimer
- Signaler
Re: plainte orange abuse brutefore ssh
Salut @jonathan451
Aucun doute à avoir sur le coupable
Un process "ta9jdu0pa" me semble très suspect (euphémisme) et clairement il initie des connexions SSH en nombre.
Rajoute un "| grep 192.248.172.0" à la commande, mais ça ne donnera de résultat que si il y a une connexion active, pas si il y en a eu par le passé (et comme tu as stoppé la vm, ça me semble mort).
"mot de passe root evidement d origine" => Faute => sanction immédiate
Reste plus qu'à nettoyer :p
Suggérer, expliquer, démontrer ne suffit parfois pas. On apprend de ses erreurs, enfin la plupart. "I'm All Out of Gum."
- Marquer comme nouveau
- Marquer
- S'abonner
- S'abonner au fil RSS
- Imprimer
- Signaler
Re: plainte orange abuse brutefore ssh
ayant eteint cette vm du coups je la rallume
et miracle plus aucune connection active illicite . comme par hasard.
quel c*n ,au final , je me suis fait avoir comme un bleu
je viens de lancer putty , avec mon ip externe :22
et miracle j accede directement a la console de cette vm , suffit d y rentrer le login root et le mot de passe d origine dietpi , et hop on avais acces a cette vm sans limite .....
etant convaincu qu elle ne serais pas ouverte un jour dans la livebox , j aurais absolument du modifier ce foutu mot de passe.
ils ont certainement des programme qui testent sans cesse nimporte quel ip :22 jusqu a ce qu il y en ai une comme moi d ouverte, et c est parti la cavalerie
- Marquer comme nouveau
- Marquer
- S'abonner
- S'abonner au fil RSS
- Imprimer
- Signaler
Re: plainte orange abuse brutefore ssh
pour le netoyage que me conseille tu ?
je pensais purement et simplement supprimer a vm concerne et a la reinstaller ( en conservant mes media evidement )
les autres vm n ayant pas eu d activite illicite je suppose qu elles sont saines et qu il ne s y est pas infiltre via mon reseau local.
- Marquer comme nouveau
- Marquer
- S'abonner
- S'abonner au fil RSS
- Imprimer
- Signaler
Re: plainte orange abuse brutefore ssh
"ils ont certainement des programme qui testent sans cesse nimporte quel ip :22 jusqu a ce qu il y en ai une comme moi d ouverte"
C'est précisément ce que fait la vérole qui tourne sur ta vm
Supprimer et ré installer la vm sera parfaitement efficace (pense à changer les mots de passe par défaut )
Un nettoyage plus chirurgical et envisageable mais plus délicat.
Quand à l'éventuelle compromission de ton LAN, il FAUT vérifier.
Il serait intéressant de regarder le contenu de "/root/.bash_history" pour voir si il y a des traces de ce qui a été fait.
Le résultat de "# zgrep sshd /var/log/auth.log* | grep -i accepted" également.
Bonne journée et bon ménage.
Suggérer, expliquer, démontrer ne suffit parfois pas. On apprend de ses erreurs, enfin la plupart. "I'm All Out of Gum."
- « Précédent
-
- 1
- 2
- Suivant »