Certificats SSH modifiés
LeNouveau
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
Depuis quelques jours, toutes mes connections SSH sont altérées, les empreintes ne sont plus les mêmes.
Impossible de trouver l'origine de ces changements.
J'ai d'abord pensé à qqn sur le réseau, mais les routes sont cohérentes et rien de spécial en effectuant un tracert. Du coup, ce serait plutôt quelque chose sur le PC.
Les analyses antivirus ne donnent rien.
Le problème n'est présent que sur mon PC sous Windows 7, les PCs linux ne sont pas touchés.
Aucune installation effectuée durant les jours précédent le début de changement des certificats.
Les certificats HTTPS ne semblent pas altérés. (donc ça cible le ssh)
Le problème apparait aussi bien avec MobaXterm qu'avec Putty. (donc ce n'est pas lié au client)
Savez-vous s'il est possible, dans Windows, de faire passer toutes les connections SSH par un port/une route spécifique ? Comment un virus pourrait écouter toutes mes connections ?
Des idées pour l'origine du problème ?
Cordialement,
LeNouveau
Depuis quelques jours, toutes mes connections SSH sont altérées, les empreintes ne sont plus les mêmes.
Impossible de trouver l'origine de ces changements.
J'ai d'abord pensé à qqn sur le réseau, mais les routes sont cohérentes et rien de spécial en effectuant un tracert. Du coup, ce serait plutôt quelque chose sur le PC.
Les analyses antivirus ne donnent rien.
Le problème n'est présent que sur mon PC sous Windows 7, les PCs linux ne sont pas touchés.
Aucune installation effectuée durant les jours précédent le début de changement des certificats.
Les certificats HTTPS ne semblent pas altérés. (donc ça cible le ssh)
Le problème apparait aussi bien avec MobaXterm qu'avec Putty. (donc ce n'est pas lié au client)
Savez-vous s'il est possible, dans Windows, de faire passer toutes les connections SSH par un port/une route spécifique ? Comment un virus pourrait écouter toutes mes connections ?
Des idées pour l'origine du problème ?
Cordialement,
LeNouveau
A voir également:
- Certificats SSH modifiés
- Ssh download - Télécharger - Divers Web & Internet
- Erreurs de certificats - Forum Microsoft Edge / Internet Explorer
- Ssh /sftp - Forum Linux / Unix
- Connexion ssh - Forum Réseau
- Problème certificats de sécurité - Forum Windows Vista
3 réponses
Salut,
Pour vérifier l'ordinateur :
Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Pour vérifier l'ordinateur :
Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Pas l'air infecté.
Au pire, quand tu fais une connexion SSH
Fais un netstat pour voir où tu te connectes et vérifie sur le serveur, si c'est bien ton IP qui se connecte.
Mais sur le rapport, rien d'anormal;
Au pire, quand tu fais une connexion SSH
Fais un netstat pour voir où tu te connectes et vérifie sur le serveur, si c'est bien ton IP qui se connecte.
Mais sur le rapport, rien d'anormal;
Bon, gros mystère...
Le PC vient d'être formaté et réinstallé avec un Windows tout beau tout propre et le problème est toujours présent.
J'ai fait un test avec une VM sous Débian et aucun problème, j'ai le bon certificat...
Est-ce possible que ce soit localisé sur la carte mère ?!
Le PC vient d'être formaté et réinstallé avec un Windows tout beau tout propre et le problème est toujours présent.
J'ai fait un test avec une VM sous Débian et aucun problème, j'ai le bon certificat...
Est-ce possible que ce soit localisé sur la carte mère ?!
De configuration ?! Je ne vois pas quelle configuration pourrait entrer en jeu...
Dans une console, je lance tout simplement la commande
Nouveau test : live USB sur le PC, le certificat est correct. Donc mon problème ne touche que windows. Donc ça serait logiciel. Une idée pour vérifier s'il n'y a pas un programme qui se lance avant Windows ? (pas du tout mon domaine ^^')
Tu pensais à quoi, pour la mauvaise configuration ?
Dans une console, je lance tout simplement la commande
ssh -v ***@***, puis je vérifie l'empreinte affichée.
Nouveau test : live USB sur le PC, le certificat est correct. Donc mon problème ne touche que windows. Donc ça serait logiciel. Une idée pour vérifier s'il n'y a pas un programme qui se lance avant Windows ? (pas du tout mon domaine ^^')
Tu pensais à quoi, pour la mauvaise configuration ?
Voici les résultats :
http://pjjoint.malekal.com/files.php?id=20150419_f14b6o11f8d15
http://pjjoint.malekal.com/files.php?id=20150419_h12r6c14y13z6
http://pjjoint.malekal.com/files.php?id=20150419_j5f149e11y13