Se connecter / S'enregistrer
Votre question

serveur piraté?

Tags :
  • Serveur
  • Internet
Dernière réponse : dans Internet
10 Octobre 2006 09:51:28

Bonjour à tous,

Mon serveur tourne sous Red Hat 7.2 sur une ligne adsl Freebox.
Celui ci n'etais plus accessible de l'exterieur depuis hier.
Je me suis connecté en SSH avec le compte ROOT et j'ai vu un message de type: last connection 10.10.06 from nom.aol.com

Je ne me suis jamais connecté via aol...
Est-ce une personne qui c'est connectée sur mon compte root ou simplement un programme utilisant le compte root?

Merci pour vos reponses...

PS: Une partie des logs que je viens de trouver pour le compte ROOT:

LE 8:

Oct 8 23:07:02 hostux sshd[28973]: input_userauth_request: illegal user admin
Oct 8 23:07:02 hostux sshd[28973]: Failed password for illegal user admin from 210.66.221.203
port 44341 ssh2
Oct 8 23:07:03 hostux sshd[28973]: Received disconnect from 210.66.221.203: 11:
Bye Bye
Oct 8 23:07:06 hostux sshd[28974]: input_userauth_request: illegal user user
Oct 8 23:07:06 hostux sshd[28974]: Failed password for illegal user user from 210.66.221.203
port 44422 ssh2
Oct 8 23:07:06 hostux sshd[28974]: Received disconnect from 210.66.221.203: 11:
Bye Bye
Oct 8 23:07:12 hostux sshd[28975]: Failed password for ROOT from 210.66.221.203
port 44505 ssh2
Oct 8 23:07:12 hostux sshd[28975]: Received disconnect from 210.66.221.203: 11:
Bye Bye
Oct 8 23:07:17 hostux sshd[28976]: Failed password for ROOT from 210.66.221.203
port 44645 ssh2
Oct 8 23:07:18 hostux sshd[28976]: Received disconnect from 210.66.221.203: 11:
Bye Bye

LE 9:


---------------- Connections (secure-log) Begin -------------------

**Unmatched Entries**
Oct 9 16:33:07 hostux sshd[31598]: Could not reverse map address 89.35.65.130.
Oct 9 16:33:08 hostux sshd[31598]: Accepted password for ROOT from 89.35.65.130
port 3298 ssh2
Oct 9 20:31:59 hostux sshd[32137]: Accepted password for ROOT from 172.166.125.83
port 1157 ssh2

Autres pages sur : serveur pirate

10 Octobre 2006 10:38:05

Bonjour , oui en effet c'est bizard , peut etre que tu partage ou qu'un programme utilise le serveur d'aol , mais quand je vois password failed ou encore illegal user ca demande reflexion , je ne peux t'aider davantage je connais pas assez linux pour t'en dire plus ...



alex
a b 2 Internet
10 Octobre 2006 12:07:27

si je ne me trompe pas, c'est en fait un petit malin qui essaye de s'introduire sur ton serveur FTP en testant les logins basics (root, admin, ...)
En ce qui concerne l'accès SSH... sais-tu a qui sont ces deux IP? si non... change vite ton pass root.
Contenus similaires
10 Octobre 2006 12:40:31

oui je dirasi plutot l'avis de crazycat , quelqu'un doit essayer d'infiltrer ton serveur
10 Octobre 2006 21:01:19

Merci beaucoups pour vos reponses.
Apparement la personne doit y etre arrivée: Oct 9 16:33:08 hostux sshd[31598]: Accepted password for ROOT from 89.35.65.130

Pour repondres a crazycat, j'ai pingé les adresses qui ne repondent pas, surement une ip dynamique.
J'ai changé mon mot de passe par securité, mais comment une personne peut trouver un mot de passe codé de cette facon:
Une lettre majuscule, deux chiffres, 3 lettres minuscules, 2 chiffres, une lettre majuscule?

Meme en Brute force je vois pas... Meme en me connaissant personnelement...

Encore merci !
a b 2 Internet
10 Octobre 2006 21:11:48

je ne connais pas les logs RedHat, donc il faudrait savoir si "accepted password" signifie que le système a accepté l'entrée du password ou si le password entré était bon.

Tu devrais voir dans le fichier auth.log* qui donne la liste des connexions réussies (du moins je crois).

Et tu sais, en force brute avec de la patience, on peut tout faire, mais tes logs seraient conséquents :) 
10 Octobre 2006 21:32:29

tu peux aussi mettre en place Iptables et autoriser uniquement certaines IP...
et changer aussi ton num de port (bon je sais c'est pas top top ca mais bon...)
a b 2 Internet
10 Octobre 2006 22:41:22

déjà, s'il se fait attaquer par un aol, iptables ne servira à rien: chez aol, il suffit de se déco/reco pour avoir une nouvelle IP, et les plages d'attributions sont très grandes... très très grandes.
10 Octobre 2006 22:50:58

ben si en faisant un allow plutot qu'un deny ...
a b 2 Internet
11 Octobre 2006 07:50:56

oui effectivement, tout dépend ce qu'il fait avec son serveur :) 
11 Octobre 2006 13:10:07

Je vais surveiller ca, merci beaucoup pour toutes vos reponses!
17 Juillet 2007 13:09:36

bjr svp jé un gros problème : jé un certain willpolo en fait c'est un hacker franchmt il apparait sur toutes mes pages c'est un pirate et il fé du hacking et franchmt je ne c pas cmt le détruire svp aidez moi !

merci d'avance !
28 Septembre 2007 00:50:34

plutot un scan fait avec nmap a mon avis. :pt1cable: 
28 Septembre 2007 01:03:07

Ne pas activer le compte root ^^
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS