Possible backdoor server

matrix-bx · Le 22/10/2022, à 17:33

jeremydu80 a écrit :

root@ubuntu:~# ss -tunp
Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port Process
tcp ESTAB 0 0 192.168.1.14:22 192.168.1.139:59883 users:(("sshd",pid=5914,fd=4))
tcp ESTAB 0 0 192.168.1.14:22 192.168.1.139:49924 users:(("sshd",pid=24219,fd=4))
tcp ESTAB 0 0 192.168.1.14:22 192.168.1.139:61521 users:(("sshd",pid=7757,fd=4))
eux ta commande me donne ca que je ne connais pas c'est en temps réelle cette commande ?...
tcp ESTAB 0 0 192.168.1.14:22 192.168.1.139:64968 users:(("sshd",pid=20199,fd=4))

Oui, c'est en temps réel, tu as là plusieurs connexions ssh depuis 192.168.1.139, je dois comprendre que tu ne connais pas cette adresse sur ton réseau ?
Si c'est le cas, il est très probablement compromis aussi alors

Nuliel · Le 22/10/2022, à 19:46

Houlà, c'est tendu
Tu as besoin d'aide pour voir quelles sont les autres machines compromises? Parce qu'il faut vérifier chaque machine, et aussi tout ce qui est connecté au réseau, y compris les IoT

Dernière modification par Nuliel (Le 22/10/2022, à 19:54)

Coeur Noir · Le 22/10/2022, à 20:40

jeremydu80 a écrit :

Coeur Noir a écrit :
mvvvotwked: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
…euh ça a pas l'air tout jeune ce truc ?
Ou c'est fait exprès pour exploiter une faiblesse ancienne ?
( désolé, c'est vraiment pas ma partie, juste de la curiosité, je sors, je regarderai de loin… )

lol merci de ton passage tu aura essayé

J'avais précisé : ce n'est pas ma partie.
Donc ravale ta condescendance, et donne un début d'explication que je puisse m'éduquer au lieu de fanfaronner.

Nuliel · Le 22/10/2022, à 21:02

@Coeur Noir: je pense qu'il y n'a pas une once de condescendance, tu as fait remarquer une information qui effectivement au premier abord paraît étrange (d'ailleurs j'ai pas vraiment d'explication à ça, mais je sais que c'est normal), il y a aucun problème à ça, et il t'a remercié d'être passé et avoir tenté ta chance.
Le fait de proposer un accès ssh c'était juste pour savoir la méthode utilisée pour le point d'entrée, puisque de toute façon le système sera réinstallé.
Là je pense qu'il est pas mal dans la merde actuellement. En fait il faut déterminer quels serveurs ont été compromis par rebonds successifs, en d'autres termes faire une investigation sur chaque machine. Autant dire un gros travail qui va possiblement se traduire par une réinstallation de tous les systèmes selon l'ampleur des dégâts.

Edit: pour info, je suis tombé sur https://www.akashtrehan.com/different-k … ecutables/ et https://stackoverflow.com/questions/122 … nux-2-6-24 qui disent que la librairie C (généralement la glibc) a été compilée avec ce noyau (mais ça reste compatible avec les kernels plus récents).

Dernière modification par Nuliel (Le 22/10/2022, à 21:53)

Coeur Noir · Le 22/10/2022, à 23:56

HS
Ok, ok, je ravale alors ma susceptibilité - mes excuses.
C'est que je « me renseigne » car j'aimerais assez mettre en place « quelque part » un serveur en ligne, ça fait des années que ça me trotte mais ça fait aussi des années que je ne franchis pas le pas car je ne suis pas au clair sur les enjeux de sécurité.
Donc ce genre de discussions / sujets m'interpellent et renforcent mes « craintes » : c'est un boulot à part entière, comment je m'y forme ou à qui je fais appel, etc.
Fin HS

Dernière modification par Coeur Noir (Le 23/10/2022, à 01:10)

jeremydu80 · Le 23/10/2022, à 11:43

matrix-bx a écrit :

jeremydu80 a écrit :
root@ubuntu:~# ss -tunp
Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port Process
tcp ESTAB 0 0 192.168.1.14:22 192.168.1.139:59883 users:(("sshd",pid=5914,fd=4))
tcp ESTAB 0 0 192.168.1.14:22 192.168.1.139:49924 users:(("sshd",pid=24219,fd=4))
tcp ESTAB 0 0 192.168.1.14:22 192.168.1.139:61521 users:(("sshd",pid=7757,fd=4))
eux ta commande me donne ca que je ne connais pas c'est en temps réelle cette commande ?...
tcp ESTAB 0 0 192.168.1.14:22 192.168.1.139:64968 users:(("sshd",pid=20199,fd=4))
Oui, c'est en temps réel, tu as là plusieurs connexions ssh depuis 192.168.1.139, je dois comprendre que tu ne connais pas cette adresse sur ton réseau ?
Si c'est le cas, il est très probablement compromis aussi alors

139 je viens de vérifié c'est ma machine de travail en (10gb/s) donc les consoles SSH c'était moi merci encore vraiment

jeremydu80 · Le 23/10/2022, à 11:45

Nuliel a écrit :

Houlà, c'est tendu
Tu as besoin d'aide pour voir quelles sont les autres machines compromises? Parce qu'il faut vérifier chaque machine, et aussi tout ce qui est connecté au réseau, y compris les IoT

je pense surtout par sécurité faire un formatage complet de toutes les machines et une réinstallation au propre j'ai 96TO de données sur un cloud en backup il me restera plus qu'a re télécharger mes données proprement ( films, séries, émissions) mais j'utiliserai pour le moment Rclone en stockage principal pour plex

jeremydu80 · Le 23/10/2022, à 11:48

Coeur Noir a écrit :

jeremydu80 a écrit :
Coeur Noir a écrit :
…euh ça a pas l'air tout jeune ce truc ?
Ou c'est fait exprès pour exploiter une faiblesse ancienne ?
( désolé, c'est vraiment pas ma partie, juste de la curiosité, je sors, je regarderai de loin… )

lol merci de ton passage tu aura essayé
J'avais précisé : ce n'est pas ma partie.
Donc ravale ta condescendance, et donne un début d'explication que je puisse m'éduquer au lieu de fanfaronner.

oh non loins de la ne le prend pas mal je te remercié vraiment

jeremydu80 · Le 23/10/2022, à 11:51

Coeur Noir a écrit :

HS
Ok, ok, je ravale alors ma susceptibilité - mes excuses.
C'est que je « me renseigne » car j'aimerais assez mettre en place « quelque part » un serveur en ligne, ça fait des années que ça me trotte mais ça fait aussi des années que je ne franchis pas le pas car je ne suis pas au clair sur les enjeux de sécurité.
Donc ce genre de discussions / sujets m'interpellent et renforcent mes « craintes » : c'est un boulot à part entière, comment je m'y forme ou à qui je fais appel, etc.
Fin HS

Quand tu met une machine en ligne fait comme moi pour le coup n'oublie pas les backups ! crois moi ca vas me servir !

jeremydu80 · Le 23/10/2022, à 11:54

Nuliel a écrit :

@Coeur Noir: je pense qu'il y n'a pas une once de condescendance, tu as fait remarquer une information qui effectivement au premier abord paraît étrange (d'ailleurs j'ai pas vraiment d'explication à ça, mais je sais que c'est normal), il y a aucun problème à ça, et il t'a remercié d'être passé et avoir tenté ta chance.
Le fait de proposer un accès ssh c'était juste pour savoir la méthode utilisée pour le point d'entrée, puisque de toute façon le système sera réinstallé.
Là je pense qu'il est pas mal dans la merde actuellement. En fait il faut déterminer quels serveurs ont été compromis par rebonds successifs, en d'autres termes faire une investigation sur chaque machine. Autant dire un gros travail qui va possiblement se traduire par une réinstallation de tous les systèmes selon l'ampleur des dégâts.
Edit: pour info, je suis tombé sur https://www.akashtrehan.com/different-k … ecutables/ et https://stackoverflow.com/questions/122 … nux-2-6-24 qui disent que la librairie C (généralement la glibc) a été compilée avec ce noyau (mais ça reste compatible avec les kernels plus récents).

je vais revoir la sécurité du système entièrement gérer en local les machines de stockage et les machines " en production maitre " leurs coller un firewall, ouvrir le SSH sur une machine local quitte a y accédée a distance via ANYDESK depuis ma machine de travail local quand je suis a l'extérieur

96TO a re télécharger, 12 serveur a formatée, vérification de mes serveurs ( online.net ) je pense que les prochains jours vont être assez occupé

jeremydu80 · Le 23/10/2022, à 12:14

Pour faire simple ( eux ou pas hein je précise ! )

https://zupimages.net/up/22/42/zylm.png

Un jolie graphique maison de tout ce qu'il y a a refaire

de 1 a 7 ce sont des Synology
En noir des machines 10GB/s en production sur 4 box ( orange, free, sfr, bouygues )
En bleu ce sont des machines chez des hébergeurs qui eux même sont copier en load balencing
Le tout connecté a Rclone exemple du stockage depuis une machine windows ( pas tout les stockage dessus de montée ce sont juste les nouveaux volumes a remplir )
https://zupimages.net/up/22/42/tcyj.png

Je ne sais pas si vous imaginée le bordel pour tout remontée donc maintenant les machines local resteront local et enverrons uniquement les données sur un Cloud qui lui serra copier sur les machines en production je pense

_{Modération : merci d'utiliser des images de petite taille (300x300) ou des miniatures pointant sur ces images.}

Dernière modification par cqfd93 (Le 23/10/2022, à 13:57)

josuah · Le 23/10/2022, à 21:39

@jeremydu80,

Tu bosses pour la nasa (humour, il en faut vu l'ampleur de la tâche) ? Je ne suis qu'un modeste administrateur d'un serveur mais la conf par défaut de SSH est toujours aussi permissive et je regrette aujourd'hui encore, les choix par défaut !
Pour mon SSH, je n'ai plus de mot de passe, mais une identification par clé. J'avais tenté à une époque le SSH en port knocking.
Pense bien à bloquer les ips collectées dans ton fichier host.deny, ça ne peut etre qu'un plus, ils seront tentés de revenir voir...
Bon courage.

Dernière modification par josuah (Le 23/10/2022, à 21:40)

jeremydu80 · Le 24/10/2022, à 01:40

oh oui il y a du travail lol apres cetait a moi de faire attention je vais étre plus prudent

jeremydu80 · Le 26/11/2022, à 20:43

petit retour rapidement pour les personnes intéressé

1 - Formatage complet de mes infrastructures effectué cela a pris pas mal de temps en reconfiguration
2 - Par sécurité j'ai opté pour des serveurs seedbox dédié ( en cas de hack bah je nés qu'une perte de téléchargements non récupérée )
3 - Les accès SSH de mes machines ne sont contrôlable que depuis ma machine local
4 - Des serveurs ont était installé et sont prêt a démarrée en cas de coup dur uniquement ( les machines de secours )

Il ne me reste plus qu'a créer un clone de Ubuntu propre au cas ou un problème ce représente un jour je m'en servirais sur une clef USB et j'aurais juste a installé cette version de l'iso

Un grand Merci encore aux personnes qui me sont venu en aide

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#51 Le 22/10/2022, à 17:33

Re : Possible backdoor server

#52 Le 22/10/2022, à 19:46

Re : Possible backdoor server

#53 Le 22/10/2022, à 20:40

Re : Possible backdoor server

#54 Le 22/10/2022, à 21:02

Re : Possible backdoor server

#55 Le 22/10/2022, à 23:56

Re : Possible backdoor server

#56 Le 23/10/2022, à 11:43

Re : Possible backdoor server

#57 Le 23/10/2022, à 11:45

Re : Possible backdoor server

#58 Le 23/10/2022, à 11:48

Re : Possible backdoor server

#59 Le 23/10/2022, à 11:51

Re : Possible backdoor server

#60 Le 23/10/2022, à 11:54

Re : Possible backdoor server

#61 Le 23/10/2022, à 12:14

Re : Possible backdoor server

#62 Le 23/10/2022, à 21:39

Re : Possible backdoor server

#63 Le 24/10/2022, à 01:40

Re : Possible backdoor server

#64 Le 26/11/2022, à 20:43

Re : Possible backdoor server

Pied de page des forums