Bonjour,

Je détiens un serveur qui est victime d’attaque en bruteforcent ma connection ssh.

Mon hébergeur a déjà fermé mon serveur, car la personne a réussi à s’introduire, et a hacker plus de 1000 sites!

Si les attaques ne cessent pas, mon serveur sera définitivement ferme, et je ne peux pas laisser passer ça.

Les serveur qui m’attaquent sont des ordinateurs zombie, ce qui veut dire que le hacker a pris possession de ces pc, afin de me hacker moi, et pour me faire devenir un mc zombie à mon tour.

J’ai tout essayé, autoriser une connections que depuis mon adresse ip, ... mais rien ne marche.

Je ne sais pas comment stopper ces attaques.

Merci de votre lecture

Cordialement

Nairolf MTF

-
Edité par Anonyme 6 avril 2021 à 19:11:37

Hello,

Désactive l'authentification par mot de passe pour n'autoriser que la connexion par clef ssh. Tu peux utiliser fail2ban pour éviter les attaques bourines. 

Ensuite fais une recherche de "server hardening" et inspire toi des conseils pour avoir une config un minimum robuste.

  Bon courage,

J’ai mis fail2ban, et ça marche.

Par contre, j’ai encore été attaqué, et je suspecte un payload (un virus qu’il a mis pour se connecter à mon serveur sans mot de passe).

Seul problème, je ne sais pas comment le savoir. J’ai trouvé une application qui se nomme raid5wd, est ce que ça vous dit quelque chose?

Voici une capture d’écran du gestionnaire des taches:

Est ce que vous suspectez une autre tâche?

Merci de vôtre aide

Cordialement

Nairolf MTF

-
Edité par Anonyme 14 mars 2021 à 9:30:11

Le mieux si tu en as la possibilité c'est de réinstaller ta machine, ça t'évitera d'avoir un malware en sommeil ou non qu'il pourra réactiver. Faire de l'investigation un peu bancale c'est le meilleur moyen de ne jamais s'en sortir

Je l’ai redémarré, mais pas réinstallé, c’est trop compliqué étant donné que je suis chez un hébergeur.

Cependant, j’ai trouvé 2 adresses ip (45.9.148.99, 45.9.148.117) qui appartiennent à la même entreprise. Sur abuseipdb.com, les reports sont plutôt recents. Peu après, une troisième ip (de la même entreprise) toujours s’est présenté (et ce n’est pas une entreprise de VPN). En plus de cela, deux d’entre eux sont connectés sur le protocol http, or, mon site internet n’autorise que le protocole https. Cela veux dire qu’ils sont connectés autre part. Mon serveur Minecraft de tourne pas, ce n’est donc pas cela, et sinon, il y a rien d’autre. Personne ne s’est connecté en ssh, ftp, sftp, .... Je suis donc sûr que c’est un payload.

Est ce que ces adresses ip parlent à quelqu’un?

-
Edité par Anonyme 14 mars 2021 à 20:33:37

Tu as sûrement une option pour réinitialiser dans ce cas et c'est clairement la marche à suivre si tu veux avoir l'esprit tranquille.

Pour ta backdoor, tu peux utiliser netstat --all --program pour lister les sockets ouvertes et le programme qui les a ouvertes. Tu peux localiser la backdoor comme ça. Ensuite tu dois virer la backdoor et tout ce qui est susceptible de la réinstaller/relancer (typiquement tout ce qui est init.d).

Les IP ne servent globalement à pas grand chose, les serveurs de commandes sont souvent soit des machines compromises soit hébergées chez des entreprises peu regardantes des utilisations de leurs serveurs.


Bonjour,

Tu devrais suivre les conseils de @FantasMaths. Tu es obligé de ré-installer ton serveur sur des bases saines.

Pour le moment, tu devrais mettre tous tes services hors-ligne  et n'accepter que le trafic SSH (qui devrait être établit qu'avec une authentification par clé) en configurant ton serveur SSH (autorise uniquement et exclusivement ton utilisateur à se connecter, vérifie les clés acceptées) et un pare-feu.

Même si tu trouves le reverse shell/la backdoor, rien ne dit qu'il n'y en a pas d'autres, rien ne dit qu'il n'y a pas un programme «endormi» qui ne s’exécute qu'à certains moments pour aller chercher ses instructions sur un serveur de commande (donc c'est ton serveur qui établit la connexion d'abord). Rechercher dans les processus actifs est insuffisants.

De toute façon, c'est trop tard, et tu n'as pas les moyens techniques de mener des investigations. Donc ne perd pas ton temps là-dessus.

Tu dois aussi prendre en compte que tes identifiants sont probablement compromis. Ton site peut aussi inclure du code malicieux. Si tu héberges des données personnelles des utilisateurs de ton site, elles ont peut-être aussi été compromises (il y a des implications éthiques et légales à ce niveau).

Idéalement, tu devrais utiliser une sauvegarde de tes données à une version antérieurs au piratage. Mais je me doute que tu n'en as probablement pas donc fais bien attention à ce que tu vas réutiliser sur ton nouveau serveur.

C'est surtout avec ton hébergeur que tu devrais communiquer, c'est eux qui sont dans la meilleure position pour te conseiller.

PS: en plus d'avoir un pare-feu, des IDS/IPS configurés, et des services sécurisés, tu peux aussi pratiquer un peu de sécurité par l'obscurité en changeant le port d'écoute de ton serveur SSH sur un port aléatoire.

-
Edité par KoaTao 15 mars 2021 à 10:58:55

Bonjour,

J’ai enfin résolu mon problème. J’ai trouvé le fichier mal veillant et je l’ai supprimé. Mon serveur ne s’est pas fait hacké depuis.

Si je me refait hacker encore une fois, je réinitialiserai le pc, mais tout va bien pour l’instant

Merci de vôtre aides

Cordialement

Nairolf MTF