Pages : 1
#1 Le 18/11/2016, à 15:08
- alfirdaous
[RESOLU]Tentative d'identification
Bonjour,
J'ai reçu un e-mail sur ma boite avec ce détail:
ksXXXXX.kimsufi.com : Nov 18 15:12:16 : alfirdaouscom : 1 incorrect password attempt ; TTY=pts/4 ; PWD=/home/alfirdaouscom/www/Downloads ; USER=root ; COMMAND=/usr/bin/nano /etc/nginx/nginx.confgrâce au script que j'ai installé sur /etc/sudoers:
Defaults !lecture,tty_tickets,!fqdn,!syslog
Defaults logfile=/var/log/sudo.log
Defaults mailto="MON-EMAIL-ID",mail_always
Defaults mail_badpass, mailsub="** BAD AUTHENICATION: %U %h **"
Defaults mail_no_user, mailsub="** USER NOT IN SUDOERS: %U %h **"
Defaults mail_no_perms, mailsub="** SUDO PERMISSION ABUSE: %U %h **"Le log /var/log/sudo.log:
Nov 18 15:12:07 : alfirdaouscom : 2 incorrect password attempts ; TTY=pts/4 ;
PWD=/home/alfirdaouscom/www/Downloads ; USER=root ; COMMAND=/usr/bin/nano
/etc/nginx/nginx.conf
Nov 18 15:12:16 : alfirdaouscom : 1 incorrect password attempt ; TTY=pts/4 ;
PWD=/home/alfirdaouscom/www/Downloads ; USER=root ; COMMAND=/usr/bin/nano
/etc/nginx/nginx.conf
Nov 18 15:13:42 : alfirdaouscom : 3 incorrect password attempts ; TTY=pts/4 ;
PWD=/home/alfirdaouscom/www/Downloads ; USER=root ; COMMAND=/usr/bin/nano
/etc/nginx/nginx.conf
Nov 18 16:22:25 : desktop : TTY=pts/4 ; PWD=/home/desktop ; USER=root ;
COMMAND=/bin/su
Nov 18 16:45:53 : desktop : TTY=pts/11 ; PWD=/home/desktop ; USER=root ;
COMMAND=/bin/suet le log /var/log/auth/log:
tail -100 /var/log/auth.log | grep 'sshd' >> sshLogs
Nov 18 16:36:05 ksXXXXX sshd[10653]: Connection closed by 127.0.0.1 [preauth]
Nov 18 16:38:05 ksXXXXX sshd[11169]: Connection closed by 127.0.0.1 [preauth]
Nov 18 16:40:05 ksXXXXX sshd[11949]: Connection closed by 127.0.0.1 [preauth]
Nov 18 16:42:05 ksXXXXX sshd[13056]: Connection closed by 127.0.0.1 [preauth]
Nov 18 16:44:05 ksXXXXX sshd[13619]: Connection closed by 127.0.0.1 [preauth]
Nov 18 16:45:38 ksXXXXX sshd[14666]: Accepted publickey for desktop from 105.131.69.46 port 59250 ssh2
Nov 18 16:45:38 ksXXXXX sshd[14666]: pam_unix(sshd:session): session opened for user desktop by (uid=0)
Nov 18 16:46:05 ksXXXXX sshd[15173]: Connection closed by 127.0.0.1 [preauth]
Nov 18 16:48:05 ksXXXXX sshd[15679]: Connection closed by 127.0.0.1 [preauth]
Nov 18 16:50:05 ksXXXXX sshd[16358]: Connection closed by 127.0.0.1 [preauth]
Nov 18 16:52:06 ksXXXXX sshd[17462]: Connection closed by 127.0.0.1 [preauth]
Nov 18 16:54:06 ksXXXXX sshd[18012]: Connection closed by 127.0.0.1 [preauth]
Nov 18 16:56:06 ksXXXXX sshd[19215]: Connection closed by 127.0.0.1 [preauth]
Nov 18 16:58:06 ksXXXXX sshd[19727]: Connection closed by 127.0.0.1 [preauth]
Nov 18 17:00:06 ksXXXXX sshd[20383]: Connection closed by 127.0.0.1 [preauth]Alors je comprends que c'est une tentative d'identification root, mes questions sont:
1- Est ce que la personne est déjà rentrée au serveur avec un autre nom d'utilisateur?
2- Est ce que ça tourne un danger au serveur?
3- Que dois-je faire pour plus de sécurité?
Merci a vous
Dernière modification par alfirdaous (Le 25/11/2016, à 03:20)
Hors ligne
#2 Le 18/11/2016, à 21:01
- vikin2052
Re : [RESOLU]Tentative d'identification
Bonsoir.
Déjà change tous tes mdp
Puis un conseil regarde en priorité le fichier de configuration de nginx et les droits associés.
Hors ligne
#3 Le 19/11/2016, à 00:46
- alfirdaous
Re : [RESOLU]Tentative d'identification
La chose banale c'est que je n'ai pas ngix, j'ai apache2, mais dans mes page 404 j'affiche les informations concernant nginx:
404 Not Found
nginx/1.4.1Ce qui me dérange est comment cet utilisateur a pu se connecter avec l'utilisateur alfirdaouscom et essayer de se mettre en root
Dernière modification par alfirdaous (Le 19/11/2016, à 00:47)
Hors ligne
#4 Le 19/11/2016, à 01:19
- vikin2052
Re : [RESOLU]Tentative d'identification
Nov 18 16:45:38 ksXXXXX sshd[14666]: Accepted publickey for desktop from 105.131.69.46 port 59250 ssh2C'est toi ? ou ip connue ?
Dernière modification par vikin2052 (Le 19/11/2016, à 01:20)
Hors ligne
#5 Le 20/11/2016, à 08:49
- bruno
Re : [RESOLU]Tentative d'identification
Bonjour,
Les tentatives qui ont échoué avec un mauvais mot de passe sont datés du 18 nov. à 15:12. Si tu regardes les logs à 16:36 cela ne va pas aider…
#6 Le 20/11/2016, à 16:08
- LeoMajor
Re : [RESOLU]Tentative d'identification
bonjour,
mail_always est un peu excessif, entre info et intox.
man sudoers | grep "mail_always"
mail_always Send mail to the mailto user every time a users runs sudo. This flag is off by default.
of the mail_always, mail_no_host, mail_no_perms or mail_no_user flags are set, this flag will have no effect. This flag is off by defaultet pas de rapport avec le sshd
sshd ... Connection closed by 127.0.0.1 [preauth]
une histoire de timeout
par exemple,
LoginGraceTime 240Hors ligne
#7 Le 22/11/2016, à 01:08
- vikin2052
Re : [RESOLU]Tentative d'identification
Bonsoir.
Houston il n'est demandé les logs de connexion pas le trafic de ton mail ou la connerie de dire qu'il faut x secondes pour utiliser ton ssh
Hors ligne
#8 Le 25/11/2016, à 03:20
- alfirdaous
Re : [RESOLU]Tentative d'identification
J'ai trouvé que le nom d'utilisateur est utilisé par 2 personnes, l'une d'elle s'est trompée du mot de passe et essayer de rentrer en root, j'ai mis quelques precautions:
/home/alfirdaouscom/.bashrc
echo -e "$username has logged in to $serverIP from $userIP on $Now_dmY", for more information, see below last logins information: \n\n$lastLogins | mutt -s "[Login: $hostname]" -c $ccMail -bcc $bccMail -- $adminMailet encore un autre code:
/etc/suoders:
Defaults !lecture,tty_tickets,!fqdn,!syslog
Defaults logfile=/var/log/sudo.log
Defaults mailto="MAILID",mail_always
Defaults mail_badpass, mailsub="** BAD AUTHENICATION: %U %h **"
Defaults mail_no_user, mailsub="** USER NOT IN SUDOERS: %U %h **"
Defaults mail_no_perms, mailsub="** SUDO PERMISSION ABUSE: %U %h **"Hors ligne
Pages : 1