Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 22/11/2011, à 15:23

SheebyPanda

Hijackin ? Connexion ssh fermée automatiquement après chaque ouverture

Bonjour à tous.

Je me retrouve confronté à un (grave) problème : Je ne peux plus accéder à mon serveur par ssh.
Dès lors que j'entame une connexion, j'ai droit à cela : 

ssh root@serveur 
Ubuntu 10.04.1 LTS

Welcome to Ubuntu!
 * Documentation:  https://help.ubuntu.com/

  System information as of Tue Nov 22 14:46:57 CET 2011

  System load:  0.16               Processes:           105
  Usage of /:   0.7% of 457.27GB   Users logged in:     0
  Memory usage: 5%                 IP address for eth0: X.X.X.X
  Swap usage:   0%

  Graph this data and manage this system at https://landscape.canonical.com/

176 packages can be updated.
130 updates are security updates.

You have new mail.
Last login: Mon Nov 21 15:18:32 2011 from 
Connection to serveur closed.

Je me demande si cela pourrait venir d'un intrus qui se réserve l'accès, ou si cela peut d'une mise à jour.

J'ai toujours accès au mode de secours, mais je ne sais pas trop quoi faire pour rétablir l'accès.
Si vous avez quelques piste sur quoi chercher je suis preneur :-)

Précision : Le même résultat est obtenu pour une authentification par mot de passe ou par clés.

D'autre part, en vérifiant les logs, je constate que :
- aucun paquet n'a été installé depuis 6 mois,
- aucun utilisateur n'a été rajouté,
- aucune authentification douteuse a eu lieu.

Dernière modification par SheebyPanda (Le 23/11/2011, à 15:30)

Un blog sur l'informatique, le web, le hacking :
www.sheebypanda.com

Hors ligne

#2 Le 22/11/2011, à 15:55

sorrodje

Re : Hijackin ? Connexion ssh fermée automatiquement après chaque ouverture

tu t'es déjà connecté en ssh avec le compte root sur ton serveur ubuntu ? tu as donc activé le compte root d'ubuntu alors qu'il est par défaut inactif ?   si tu essayes de te connecter avec ton user normal ça ne fonctionne pas non plus ?

Dernière modification par sorrodje (Le 22/11/2011, à 15:56)

Utilisateur Debian/Ubuntu depuis 2008 - http://sorrodje.alter-it.org

Hors ligne

#3 Le 22/11/2011, à 16:16

SheebyPanda

Re : Hijackin ? Connexion ssh fermée automatiquement après chaque ouverture

Si je me connecte avec l'utilisateur, et non root, ça fait exactement la même chose :
Je m'authentifie correctement, le message d'accueil apparaît, puis la session se déconnecte toute seule.

Je sèche O_ô

Dernière modification par SheebyPanda (Le 22/11/2011, à 16:54)

Un blog sur l'informatique, le web, le hacking :
www.sheebypanda.com

Hors ligne

#4 Le 22/11/2011, à 16:47

sorrodje

Re : Hijackin ? Connexion ssh fermée automatiquement après chaque ouverture

Tu peux nous expliquer où est ton clien ssh avec lequel tu essayes de te connecter et où est le serveur + tout ce qu'il y'a entre les deux ?  genre box ? proxy ? parefeu ?

Utilisateur Debian/Ubuntu depuis 2008 - http://sorrodje.alter-it.org

Hors ligne

#5 Le 22/11/2011, à 16:53

SheebyPanda

Re : Hijackin ? Connexion ssh fermée automatiquement après chaque ouverture

Mon client ssh est sur ma Kubuntu 11.10, derrière une freebox.
Le serveur est chez OVH.

Un blog sur l'informatique, le web, le hacking :
www.sheebypanda.com

Hors ligne

#6 Le 22/11/2011, à 17:00

sorrodje

Re : Hijackin ? Connexion ssh fermée automatiquement après chaque ouverture

Du coup si tu as accès aux logs du serveur, qu'est ce que ça raconte du côté de /var/log/auth.log ?

Utilisateur Debian/Ubuntu depuis 2008 - http://sorrodje.alter-it.org

Hors ligne

#7 Le 22/11/2011, à 17:09

SheebyPanda

Re : Hijackin ? Connexion ssh fermée automatiquement après chaque ouverture

Voici ce qui apparaît quand j'ai re-essayé de me connecter avec le user (luke).
Et apparemment CRON se fait jeter aussi à la fin.

Nov 22 16:10:32 luke sshd[1409]: Server listening on 0.0.0.0 port 22.
Nov 22 16:10:32 luke sshd[1409]: Server listening on :: port 22.
Nov 22 16:11:03 luke sshd[1533]: Accepted password for luke from 82.238.X.X port 17233 ssh2
Nov 22 16:11:03 luke sshd[1533]: pam_unix(sshd:session): session opened for user luke by (uid=0)
Nov 22 16:11:05 luke sshd[1666]: Received disconnect from 82.238.X.X: 11: disconnected by user
Nov 22 16:11:05 luke sshd[1533]: pam_unix(sshd:session): session closed for user luke
Nov 22 16:12:55 luke sshd[1785]: Did not receive identification string from 195.101.X.X
Nov 22 16:15:01 luke CRON[1792]: pam_unix(cron:session): session opened for user root by (uid=0)
Nov 22 16:15:01 luke CRON[1792]: pam_unix(cron:session): session closed for user root

Je ne reste pas appuyé sur Ctrl + D !

Un blog sur l'informatique, le web, le hacking :
www.sheebypanda.com

Hors ligne

#8 Le 22/11/2011, à 17:30

sorrodje

Re : Hijackin ? Connexion ssh fermée automatiquement après chaque ouverture

et si tu fais 

ssh -v tonuser@ipserveur

ça raconte quoi ?

Dernière modification par sorrodje (Le 22/11/2011, à 17:30)

Utilisateur Debian/Ubuntu depuis 2008 - http://sorrodje.alter-it.org

Hors ligne

#9 Le 22/11/2011, à 17:40

SheebyPanda

Re : Hijackin ? Connexion ssh fermée automatiquement après chaque ouverture

ssh -v root@luke 
OpenSSH_5.8p1 Debian-7ubuntu1, OpenSSL 1.0.0e 6 Sep 2011
debug1: Reading configuration data /home/antoine/.ssh/config
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to luke [88.191.X.X] port 22.
debug1: Connection established.
debug1: identity file /home/antoine/.ssh/id_rsa type -1
debug1: identity file /home/antoine/.ssh/id_rsa-cert type -1
debug1: identity file /home/antoine/.ssh/id_dsa type 2
debug1: Checking blacklist file /usr/share/ssh/blacklist.DSA-1024
debug1: Checking blacklist file /etc/ssh/blacklist.DSA-1024
debug1: identity file /home/antoine/.ssh/id_dsa-cert type -1
debug1: identity file /home/antoine/.ssh/id_ecdsa type -1
debug1: identity file /home/antoine/.ssh/id_ecdsa-cert type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.3p1 Debian-3ubuntu4
debug1: match: OpenSSH_5.3p1 Debian-3ubuntu4 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.8p1 Debian-7ubuntu1
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: sending SSH2_MSG_KEX_ECDH_INIT
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: Server host key: RSA dc:1e:13:f5:3f:fd:ed:9b:a5:11:e6:5e:60:a3:27:a9
debug1: Host 'luke' is known and matches the RSA host key.
debug1: Found key in /home/antoine/.ssh/known_hosts:30
Warning: the RSA host key for 'luke' differs from the key for the IP address '88.191.X.X'
Offending key for IP in /home/antoine/.ssh/known_hosts:40
Matching host key in /home/antoine/.ssh/known_hosts:30
Are you sure you want to continue connecting (yes/no)? yes
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Trying private key: /home/antoine/.ssh/id_rsa
debug1: Offering DSA public key: /home/antoine/.ssh/id_dsa
debug1: Server accepts key: pkalg ssh-dss blen 434
debug1: read PEM private key done: type DSA
debug1: Authentication succeeded (publickey).
Authenticated to luke ([88.191.X.X]:22).
debug1: channel 0: new [client-session]
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug1: Sending environment.
debug1: Sending env LANG = fr_FR.UTF-8
Ubuntu 10.04.1 LTS

Welcome to Ubuntu!
 * Documentation:  https://help.ubuntu.com/

  System information as of Tue Nov 22 17:35:13 CET 2011

  System load:  0.18               Processes:           121
  Usage of /:   0.7% of 457.27GB   Users logged in:     0
  Memory usage: 3%                 IP address for eth0: 88.191.84.88
  Swap usage:   0%

  Graph this data and manage this system at https://landscape.canonical.com/

176 packages can be updated.
130 updates are security updates.

You have new mail.
Last login: Tue Nov 22 14:46:58 2011 from 
debug1: client_input_channel_req: channel 0 rtype exit-signal reply 0
debug1: client_input_channel_req: channel 0 rtype eow@openssh.com reply 0
debug1: channel 0: free: client-session, nchannels 1
Connection to luke closed.
Transferred: sent 2952, received 2920 bytes, in 1.8 seconds
Bytes per second: sent 1620.4, received 1602.8
debug1: Exit status -1

Tout me semble "correct" :s

Un blog sur l'informatique, le web, le hacking :
www.sheebypanda.com

Hors ligne

#10 Le 22/11/2011, à 19:27

sorrodje

Re : Hijackin ? Connexion ssh fermée automatiquement après chaque ouverture

A priori si je comprends ce que je lis , tu es en en authentification par paire de clés ? Est ce que tu as essayé via une authentification par mot de passe ?

Utilisateur Debian/Ubuntu depuis 2008 - http://sorrodje.alter-it.org

Hors ligne

#11 Le 23/11/2011, à 10:32

SheebyPanda

Re : Hijackin ? Connexion ssh fermée automatiquement après chaque ouverture

Oui j'ai essayé les deux. Ça ne change rien.

Un blog sur l'informatique, le web, le hacking :
www.sheebypanda.com

Hors ligne

#12 Le 23/11/2011, à 11:35

Hoper

Re : Hijackin ? Connexion ssh fermée automatiquement après chaque ouverture

J'ai toujours accès au mode de secours

Qu'est ce que tu appel le mode secours exactement ? Un boot en single user ? Tu peux copier le résultat de ls -al /home/ton_user
L'idée est de vérifier chaque script executé au moment du login, pour vérifier qu'il n'y pas de commande type "logout" dedans...

Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org

Hors ligne

#13 Le 23/11/2011, à 12:05

SheebyPanda

Re : Hijackin ? Connexion ssh fermée automatiquement après chaque ouverture

Salut Hoper, 

ls -la
total 25124
drwxr-xr-x 17 luke 1000     4096 2011-09-07 17:27 .
drwxr-xr-x  5 root root     4096 2010-09-21 16:59 ..
-rw-------  1 luke 1000    14358 2011-11-22 16:07 .bash_history
-rw-r--r--  1 luke 1000      220 2010-04-19 03:51 .bash_logout
-rw-r--r--  1 luke 1000     3103 2010-04-19 03:51 .bashrc
drwxr-xr-x  2 luke 1000     4096 2010-09-06 15:12 .cache
-rw-r--r--  1 luke 1000      561 2010-09-14 13:02 .htoprc
-rw-------  1 luke 1000       63 2010-09-14 13:22 .lesshst
-rw-r--r--  1 root root  4474531 2011-09-07 16:05 mail2.txt
drwx------  2 luke 1000     4096 2010-09-07 13:22 .mc
-rw-r--r--  1 luke 1000 20819021 2010-08-09 23:26 opensim-0.7.0.1-bin.tar.gz
drwxr-xr-x  8 luke 1000     4096 2010-08-09 22:58 opensim-services
-rw-r--r--  1 luke 1000      675 2010-04-19 03:51 .profile
-rwxr--r--  1 luke 1000      126 2010-09-10 16:05 runservices-hypergrid.sh
-rwxr--r--  1 luke 1000      103 2010-09-09 16:23 runservices.sh
drwx------  2 luke 1000     4096 2010-09-06 15:28 .ssh
-rw-r--r--  1 luke 1000        0 2010-09-06 15:23 .sudo_as_admin_successful
-rwxr--r--  1 luke 1000   262144 2009-04-30 18:45 terrain_plat.r32
-rw-------  1 luke 1000    10003 2010-09-17 12:02 .viminfo

J'ai regardé dans ces fichiers, je n'ai rien trouvé d'anormal.
Je pense que finalement, je vais tout migrer vers une installation fraîche et propre.

Un blog sur l'informatique, le web, le hacking :
www.sheebypanda.com

Hors ligne

#14 Le 23/11/2011, à 12:30

Hoper

Re : Hijackin ? Connexion ssh fermée automatiquement après chaque ouverture

Ce serait un peu dommage de tout ré-installer avant d'avoir compris ce qui se passe. Une fois conecté sur la machine, que se passe t-il si tu lance le démon ssh (si tu est en single user il doit pas etre lancé) et que tu fais un ssh sur localhost ?

Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org

Hors ligne

#15 Le 23/11/2011, à 12:30

Pseudo supprimé

Re : Hijackin ? Connexion ssh fermée automatiquement après chaque ouverture

tu as peut-être un conflit d'empreintes.
vide le /home/user/.ssh/known_hosts

#16 Le 23/11/2011, à 12:47

SheebyPanda

Re : Hijackin ? Connexion ssh fermée automatiquement après chaque ouverture

Je suis en live-rescue.
Du coup, je ne pense pas que ce soit le même processus ssh qui se lance.
Je ne pense pas que vider le fichier know_hosts fasse quoi que ce soit, étant donné que j'ai essayé de me connecter depuis de nombreux  serveurs différents et que l'authentification fonctionne.

Un blog sur l'informatique, le web, le hacking :
www.sheebypanda.com

Hors ligne

#17 Le 24/11/2011, à 14:17

Pseudo supprimé

Re : Hijackin ? Connexion ssh fermée automatiquement après chaque ouverture

oui, tu as raison.

et en scp, est-ce que cela marche ?

Il y a un passage intéressant 

debug1: client_input_channel_req: channel 0 rtype exit-signal reply 0
debug1: client_input_channel_req: channel 0 rtype eow@openssh.com reply 0

Sans pour autant paser en debug2, la connexion s'établit mais avorte.

Problême de bash ? profile ? type  ?
tu as peut-être une piste post #10 - #13

#18 Le 24/11/2011, à 14:25

Vlam

Re : Hijackin ? Connexion ssh fermée automatiquement après chaque ouverture

+1 Titouan, le problème semble bien venir du coté client, ce qui est plus ou moins rassurant (ça c'est toi qui le sais smile).

Pour ce qui est du hijacking, sur du ssh par clef c'est peu probable, donc le problème doit être ailleurs.

Pour avancer dans le diagnostic, as-tu essayé d'utiliser un autre terminal, gnome-terminal, xterm ou urxvt (selon ce que tu utilise par défaut) pour te connecter à ton serveur?

« Doutez de tout et surtout de ce que je vais vous dire. »

Hors ligne

#19 Le 17/06/2013, à 16:19

JackPotte

Re : Hijackin ? Connexion ssh fermée automatiquement après chaque ouverture

J'ai résolu cette même erreur en remplaçant via "vim /etc/passwd", "/bin/false" par "/bin/bash".

Hors ligne

Pages : 1