Que faire lorsque quelqu'un est connecté sur son serveur en root ?
Fermé
gigi_dsss
Messages postés
121
Date d'inscription
dimanche 26 mai 2019
Statut
Membre
Dernière intervention
3 août 2020
-
Modifié le 2 août 2020 à 00:51
gigi_dsss Messages postés 121 Date d'inscription dimanche 26 mai 2019 Statut Membre Dernière intervention 3 août 2020 - 3 août 2020 à 12:53
gigi_dsss Messages postés 121 Date d'inscription dimanche 26 mai 2019 Statut Membre Dernière intervention 3 août 2020 - 3 août 2020 à 12:53
A voir également:
- Que faire lorsque quelqu'un est connecté sur son serveur en root ?
- Appareil connecté facebook - Guide
- Le protocole assure que la communication entre l'ordinateur de chaïma et le serveur de partageimage est car les informations seront avant d'être envoyées. - Forum traduction
- Passer en root debian ✓ - Forum Debian
- Votre freebox server n'est actuellement pas connecté à internet ✓ - Forum Freebox
- Kingo root - Télécharger - Divers Utilitaires
5 réponses
gigi_dsss
Messages postés
121
Date d'inscription
dimanche 26 mai 2019
Statut
Membre
Dernière intervention
3 août 2020
12
2 août 2020 à 00:52
2 août 2020 à 00:52
Au cas où vous n'arrivez pas à ouvrir le lien:
IP Information for 119.28.32.60
Quick Stats
IP Location Hong Kong Hong Kong Hong Kong Tencent Cloud Computing (beijing) Co. Ltd.
ASN Hong Kong AS132203 TENCENT-NET-AP-CN Tencent Building, Kejizhongyi Avenue, CN (registered Mar 13, 2012)
Whois Server whois.apnic.net
IP Address 119.28.32.60
inetnum: 119.28.0.0 - 119.29.255.255
netname: TencentCloud
descr: Tencent cloud computing (Beijing) Co., Ltd.
descr: Floor 6, Yinke Building,38 Haidian St,
descr: Haidian District Beijing
country: CN
admin-c: JT1125-AP
tech-c: JX1747-AP
mnt-by: MAINT-CNNIC-AP
mnt-irt: IRT-CNNIC-CN
mnt-routes: MAINT-TENCENT-NET-AP-CN
status: ALLOCATED PORTABLE
last-modified: 2017-05-16T07:44:01Z
source: APNIC
irt: IRT-CNNIC-CN
address: Beijing, China
e-mail:
abuse-mailbox:
admin-c: IP50-AP
tech-c: IP50-AP
auth: # Filtered
remarks: Please note that CNNIC is not an ISP and is not
remarks: empowered to investigate complaints of network abuse.
remarks: Please contact the tech-c or admin-c of the network.
mnt-by: MAINT-CNNIC-AP
last-modified: 2017-11-01T08:57:39Z
source: APNIC
person: James Tian
address: 9F, FIYTA Building, Gaoxinnanyi Road,Southern
address: District of Hi-tech Park, Shenzhen
country: CN
phone: +86-755-86013388-84952
e-mail:
nic-hdl: JT1125-AP
mnt-by: MAINT-CNNIC-AP
last-modified: 2016-10-31T07:10:47Z
source: APNIC
person: Jimmy Xiao
address: 9F, FIYTA Building, Gaoxinnanyi Road,Southern
address: District of Hi-tech Park, Shenzhen
country: CN
phone: +86-755-86013388-80224
e-mail:
nic-hdl: JX1747-AP
mnt-by: MAINT-CNNIC-AP
last-modified: 2016-11-04T05:51:38Z
source: APNIC
route: 119.28.0.0/18
descr: ComsenzNet routes
origin: AS133478
mnt-by: MAINT-COMSENZ1-CN
last-modified: 2015-12-14T12:36:01Z
source: APNIC
IP Information for 119.28.32.60
Quick Stats
IP Location Hong Kong Hong Kong Hong Kong Tencent Cloud Computing (beijing) Co. Ltd.
ASN Hong Kong AS132203 TENCENT-NET-AP-CN Tencent Building, Kejizhongyi Avenue, CN (registered Mar 13, 2012)
Whois Server whois.apnic.net
IP Address 119.28.32.60
inetnum: 119.28.0.0 - 119.29.255.255
netname: TencentCloud
descr: Tencent cloud computing (Beijing) Co., Ltd.
descr: Floor 6, Yinke Building,38 Haidian St,
descr: Haidian District Beijing
country: CN
admin-c: JT1125-AP
tech-c: JX1747-AP
mnt-by: MAINT-CNNIC-AP
mnt-irt: IRT-CNNIC-CN
mnt-routes: MAINT-TENCENT-NET-AP-CN
status: ALLOCATED PORTABLE
last-modified: 2017-05-16T07:44:01Z
source: APNIC
irt: IRT-CNNIC-CN
address: Beijing, China
e-mail:
abuse-mailbox:
admin-c: IP50-AP
tech-c: IP50-AP
auth: # Filtered
remarks: Please note that CNNIC is not an ISP and is not
remarks: empowered to investigate complaints of network abuse.
remarks: Please contact the tech-c or admin-c of the network.
mnt-by: MAINT-CNNIC-AP
last-modified: 2017-11-01T08:57:39Z
source: APNIC
person: James Tian
address: 9F, FIYTA Building, Gaoxinnanyi Road,Southern
address: District of Hi-tech Park, Shenzhen
country: CN
phone: +86-755-86013388-84952
e-mail:
nic-hdl: JT1125-AP
mnt-by: MAINT-CNNIC-AP
last-modified: 2016-10-31T07:10:47Z
source: APNIC
person: Jimmy Xiao
address: 9F, FIYTA Building, Gaoxinnanyi Road,Southern
address: District of Hi-tech Park, Shenzhen
country: CN
phone: +86-755-86013388-80224
e-mail:
nic-hdl: JX1747-AP
mnt-by: MAINT-CNNIC-AP
last-modified: 2016-11-04T05:51:38Z
source: APNIC
route: 119.28.0.0/18
descr: ComsenzNet routes
origin: AS133478
mnt-by: MAINT-COMSENZ1-CN
last-modified: 2015-12-14T12:36:01Z
source: APNIC
avion-f16
Messages postés
19246
Date d'inscription
dimanche 17 février 2008
Statut
Contributeur
Dernière intervention
21 avril 2024
4 497
2 août 2020 à 19:03
2 août 2020 à 19:03
Bonjour,
> Que puis-je faire pour signaler ce genre de problème ?
Mis à part te lancer dans une bataille juridique qui ne mènera à rien, pas grand-chose...
Les IP sont souvent achetées par un premier prestataire qui les loue à un second prestataire et ainsi de suite.
Le dernier maillon dont l'identité est confirmée est probablement un prestataire aux activités légitimes, qui a mis à disposition cette IP à un client :
1) légitime / identifié mais qui s'est vu victime d'un piratage
2) illégitime mais alors probablement non identifié (fausse identité) sinon il serait responsable de tout les actes commis via cette IP.
> Aussi, si je me connecte sur mon serveur uniquement avec OpenVPN et que je ferme tout les ports (via le NAT du modem), est-ce que j'éviterai à nouveau ce genre de problèmes ?
La mise en place d'un VPN que tu administres toi-même est en effet une très bonne mesure de sécurité, l'authentification du client et du serveur peut se faire avec des certificats, c'est plus sûr qu'un mot de passe (à condition de ne pas se faire voler le certificat par un virus sur ton ordinateur). C'est la solution la plus adéquate si tu souhaites accéder à plusieurs machines voire un réseau entier, à distance. Le serveur VPN peut être installé chez toi (recommandé si tu peux administrer ton router), ou tu peux louer un VPS qui ferait "passerelle" entre toi (en extérieur) et ton domicile (recommandé si tu ne peux pas administrer le router).
Sinon, désactiver la connexion SSH root par mot de passe et forcer l'utilisation des clés sera tout aussi efficace.
Il faut aussi déterminer comment le hacker a pu accéder au SSH : suite à un vol de mot de passe (trop faible ? réutilisé sur un autre site qui aurait subit un piratage ?) ou une vulnérabilité dans l'un des services exposés ?
Et finalement, s'assurer qu'il n'ait pas laissé de porte dérobée.
Une bonne pratique est d'être en mesure de redéployer tes services en réinstallant tout, mais de manière automatique : c'est souvent plus simple de tout casser et reconstruire de zéro, que devoir chercher l'épingle dans la botte de foin.
> Que puis-je faire pour signaler ce genre de problème ?
Mis à part te lancer dans une bataille juridique qui ne mènera à rien, pas grand-chose...
Les IP sont souvent achetées par un premier prestataire qui les loue à un second prestataire et ainsi de suite.
Le dernier maillon dont l'identité est confirmée est probablement un prestataire aux activités légitimes, qui a mis à disposition cette IP à un client :
1) légitime / identifié mais qui s'est vu victime d'un piratage
2) illégitime mais alors probablement non identifié (fausse identité) sinon il serait responsable de tout les actes commis via cette IP.
> Aussi, si je me connecte sur mon serveur uniquement avec OpenVPN et que je ferme tout les ports (via le NAT du modem), est-ce que j'éviterai à nouveau ce genre de problèmes ?
La mise en place d'un VPN que tu administres toi-même est en effet une très bonne mesure de sécurité, l'authentification du client et du serveur peut se faire avec des certificats, c'est plus sûr qu'un mot de passe (à condition de ne pas se faire voler le certificat par un virus sur ton ordinateur). C'est la solution la plus adéquate si tu souhaites accéder à plusieurs machines voire un réseau entier, à distance. Le serveur VPN peut être installé chez toi (recommandé si tu peux administrer ton router), ou tu peux louer un VPS qui ferait "passerelle" entre toi (en extérieur) et ton domicile (recommandé si tu ne peux pas administrer le router).
Sinon, désactiver la connexion SSH root par mot de passe et forcer l'utilisation des clés sera tout aussi efficace.
Il faut aussi déterminer comment le hacker a pu accéder au SSH : suite à un vol de mot de passe (trop faible ? réutilisé sur un autre site qui aurait subit un piratage ?) ou une vulnérabilité dans l'un des services exposés ?
Et finalement, s'assurer qu'il n'ait pas laissé de porte dérobée.
Une bonne pratique est d'être en mesure de redéployer tes services en réinstallant tout, mais de manière automatique : c'est souvent plus simple de tout casser et reconstruire de zéro, que devoir chercher l'épingle dans la botte de foin.
gigi_dsss
Messages postés
121
Date d'inscription
dimanche 26 mai 2019
Statut
Membre
Dernière intervention
3 août 2020
12
Modifié le 2 août 2020 à 21:45
Modifié le 2 août 2020 à 21:45
Merci avion-f16.
J'ai opté pour OpenVPN (j'avais un RaspberryPi de coté), et j'ai fait le réglage (suppression du forwarding du port 22) donc OK.
Le seul soucis, c'est que quand je suis sur un réseau internet où l'adresse réseau est la même que l'adresse réseau du VPN, il se connecte en prioritée à l'adresse IP du réseau coté client et non serveur.
En gros, l'adresse réseau de chez mes grands-parents est 192.168.0.0 et celle de mon réseau est 192.168.0.0 ou se trouve mon serveur SMB avec l'adresse 192.168.0.2, eh ben même en VPN, il va me connecter sur l'adresse 192.168.0.2 du réseau de mes grands parents...
Enfin, bref, je vais créer un autre forum sur le sujet, vu que ce forum traite la sécurité et les virus...
Quand au moyen qu'a trouvé le pirate pour avoir mon mot de passe, je pense qu'il l'a obtenu sur un forum de hack... Je me suis servis de "Have I been pwned", et il m'a dit que 2 sites dont Canvas et Aptoide ont été piratés les pirates ont fait fuiter les mots de passe...
Enfin, bref, j'ai changé de mot de passe, et j'ai tenté de mettre un "Two Factors Authentifications" sur la plus part de mes services...
Bien à toi, et merci de ton aide (ce n'est pas la première fois que tu m'assiste :) )
PS: Sinon à part cela, existe t'il un outil sur linux qui bloque toutes connexions provenant d'une adresse IP, afin que je bloque le pirate ?
J'ai opté pour OpenVPN (j'avais un RaspberryPi de coté), et j'ai fait le réglage (suppression du forwarding du port 22) donc OK.
Le seul soucis, c'est que quand je suis sur un réseau internet où l'adresse réseau est la même que l'adresse réseau du VPN, il se connecte en prioritée à l'adresse IP du réseau coté client et non serveur.
En gros, l'adresse réseau de chez mes grands-parents est 192.168.0.0 et celle de mon réseau est 192.168.0.0 ou se trouve mon serveur SMB avec l'adresse 192.168.0.2, eh ben même en VPN, il va me connecter sur l'adresse 192.168.0.2 du réseau de mes grands parents...
Enfin, bref, je vais créer un autre forum sur le sujet, vu que ce forum traite la sécurité et les virus...
Quand au moyen qu'a trouvé le pirate pour avoir mon mot de passe, je pense qu'il l'a obtenu sur un forum de hack... Je me suis servis de "Have I been pwned", et il m'a dit que 2 sites dont Canvas et Aptoide ont été piratés les pirates ont fait fuiter les mots de passe...
Enfin, bref, j'ai changé de mot de passe, et j'ai tenté de mettre un "Two Factors Authentifications" sur la plus part de mes services...
Bien à toi, et merci de ton aide (ce n'est pas la première fois que tu m'assiste :) )
PS: Sinon à part cela, existe t'il un outil sur linux qui bloque toutes connexions provenant d'une adresse IP, afin que je bloque le pirate ?
avion-f16
Messages postés
19246
Date d'inscription
dimanche 17 février 2008
Statut
Contributeur
Dernière intervention
21 avril 2024
4 497
3 août 2020 à 02:04
3 août 2020 à 02:04
Concernant la superposition des deux réseaux :
Ton ordinateur tente de joindre le sous-réseau configuré sur la carte réseau physique (192.168.0.0/24) via celle-ci. Pour ce sous-réseau, il ignore donc le VPN.
Ce sous-réseau doit rester accessible afin de communiquer avec le router et permettre l'accès à Internet, ne serait-ce que pour permettre la connexion avec le VPN via son IP publique.
La solution simple : modifier le sous-réseau de ton domicile
La solution bricolage :
- Choisir une adresse (ou un sous-réseau) disponible (non utilisé)
- S'assurer que le routage sur l'ordinateur redirige le traffic à destination de cette adresse choisie (ou du sous-réseau choisi) au travers du VPN
- Sur le VPN/RPi, établir un NAT « 1:1 » (one to one) entre l'adresse inexistante et l'adresse réelle du SMB (ou le sous-réseau inexistant et le sous-réseau existant).
Si besoin, je donnerai plus de détails quand tu auras créé un nouveau sujet dans la section adéquate de CCM (forum "Réseau").
PS: Sinon à part cela, existe t'il un outil sur linux qui bloque toutes connexions provenant d'une adresse IP, afin que je bloque le pirate ?
Tout simplement le pare-feu par défaut de Linux (netfilter / iptables).
Tu peux utiliser fail2ban pour analyser automatiquement les logs de tes différents services (SSH, FTP, ...) et ainsi détecter et bloquer les "brute force".
Mais ce pirate trouvera vite une autre IP pour accéder à Internet, et de toutes façons, s'il n'est pas connecté au VPN, il ne peut pas joindre ton SSH ni ton SMB.
Et bonne chance à ce pirate s'il veut "brute forcer" ton VPN protégé avec des clés de chiffrement.
Ton ordinateur tente de joindre le sous-réseau configuré sur la carte réseau physique (192.168.0.0/24) via celle-ci. Pour ce sous-réseau, il ignore donc le VPN.
Ce sous-réseau doit rester accessible afin de communiquer avec le router et permettre l'accès à Internet, ne serait-ce que pour permettre la connexion avec le VPN via son IP publique.
La solution simple : modifier le sous-réseau de ton domicile
La solution bricolage :
- Choisir une adresse (ou un sous-réseau) disponible (non utilisé)
- S'assurer que le routage sur l'ordinateur redirige le traffic à destination de cette adresse choisie (ou du sous-réseau choisi) au travers du VPN
- Sur le VPN/RPi, établir un NAT « 1:1 » (one to one) entre l'adresse inexistante et l'adresse réelle du SMB (ou le sous-réseau inexistant et le sous-réseau existant).
Si besoin, je donnerai plus de détails quand tu auras créé un nouveau sujet dans la section adéquate de CCM (forum "Réseau").
PS: Sinon à part cela, existe t'il un outil sur linux qui bloque toutes connexions provenant d'une adresse IP, afin que je bloque le pirate ?
Tout simplement le pare-feu par défaut de Linux (netfilter / iptables).
Tu peux utiliser fail2ban pour analyser automatiquement les logs de tes différents services (SSH, FTP, ...) et ainsi détecter et bloquer les "brute force".
Mais ce pirate trouvera vite une autre IP pour accéder à Internet, et de toutes façons, s'il n'est pas connecté au VPN, il ne peut pas joindre ton SSH ni ton SMB.
Et bonne chance à ce pirate s'il veut "brute forcer" ton VPN protégé avec des clés de chiffrement.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
gigi_dsss
Messages postés
121
Date d'inscription
dimanche 26 mai 2019
Statut
Membre
Dernière intervention
3 août 2020
12
3 août 2020 à 12:53
3 août 2020 à 12:53
OK merci, si besoin, j'ouvre un nouveau sujet ...
BAT
BAT
