Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#51 Le 22/10/2022, à 16:33

matrix-bx

Re : Possible backdoor server

jeremydu80 a écrit :

root@ubuntu:~# ss -tunp
Netid       State       Recv-Q       Send-Q             Local Address:Port               Peer Address:Port       Process
tcp         ESTAB       0            0                   192.168.1.14:22                192.168.1.139:59883       users:(("sshd",pid=5914,fd=4))
tcp         ESTAB       0            0                   192.168.1.14:22                192.168.1.139:49924       users:(("sshd",pid=24219,fd=4))
tcp         ESTAB       0            0                   192.168.1.14:22                192.168.1.139:61521       users:(("sshd",pid=7757,fd=4))
eux ta commande me donne ca que je ne connais pas c'est en temps réelle cette commande ?...

tcp         ESTAB       0            0                   192.168.1.14:22                192.168.1.139:64968       users:(("sshd",pid=20199,fd=4))

Oui, c'est en temps réel, tu as là plusieurs connexions ssh depuis 192.168.1.139, je dois comprendre que tu ne connais pas cette adresse sur ton réseau ?
Si c'est le cas, il est très probablement compromis aussi alors hmm


Utilisations des balises de mises en formes.

Hors ligne

#52 Le 22/10/2022, à 18:46

Nuliel

Re : Possible backdoor server

Houlà, c'est tendu hmm
Tu as besoin d'aide pour voir quelles sont les autres machines compromises? Parce qu'il faut vérifier chaque machine, et aussi tout ce qui est connecté au réseau, y compris les IoT

Dernière modification par Nuliel (Le 22/10/2022, à 18:54)

Hors ligne

#53 Le 22/10/2022, à 19:40

Coeur Noir

Re : Possible backdoor server

jeremydu80 a écrit :
Coeur Noir a écrit :

mvvvotwked: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped

…euh ça a pas l'air tout jeune ce truc ?
Ou c'est fait exprès pour exploiter une faiblesse ancienne ?

( désolé, c'est vraiment pas ma partie, juste de la curiosité, je sors, je regarderai de loin… )


lol merci de ton passage tu aura essayé smile

J'avais précisé : ce n'est pas ma partie.
Donc ravale ta condescendance, et donne un début d'explication que je puisse m'éduquer au lieu de fanfaronner.


DébuterDocBien rédigerRetour commandeInsérer image | illustrations & captures d'écran <>

Hors ligne

#54 Le 22/10/2022, à 20:02

Nuliel

Re : Possible backdoor server

@Coeur Noir: je pense qu'il y n'a pas une once de condescendance, tu as fait remarquer une information qui effectivement au premier abord paraît étrange (d'ailleurs j'ai pas vraiment d'explication à ça, mais je sais que c'est normal), il y a aucun problème à ça, et il t'a remercié d'être passé et avoir tenté ta chance.
Le fait de proposer un accès ssh c'était juste pour savoir la méthode utilisée pour le point d'entrée, puisque de toute façon le système sera réinstallé.
Là je pense qu'il est pas mal dans la merde actuellement. En fait il faut déterminer quels serveurs ont été compromis par rebonds successifs, en d'autres termes faire une investigation sur chaque machine. Autant dire un gros travail qui va possiblement se traduire par une réinstallation de tous les systèmes selon l'ampleur des dégâts.

Edit: pour info, je suis tombé sur https://www.akashtrehan.com/different-k … ecutables/ et https://stackoverflow.com/questions/122 … nux-2-6-24 qui disent que la librairie C (généralement la glibc) a été compilée avec ce noyau (mais ça reste compatible avec les kernels plus récents).

Dernière modification par Nuliel (Le 22/10/2022, à 20:53)

Hors ligne

#55 Le 22/10/2022, à 22:56

Coeur Noir

Re : Possible backdoor server

HS
Ok, ok, je ravale alors ma susceptibilité - mes excuses.
C'est que je « me renseigne » car j'aimerais assez mettre en place « quelque part » un serveur en ligne, ça fait des années que ça me trotte mais ça fait aussi des années que je ne franchis pas le pas car je ne suis pas au clair sur les enjeux de sécurité.
Donc ce genre de discussions / sujets m'interpellent et renforcent mes « craintes » : c'est un boulot à part entière, comment je m'y forme ou à qui je fais appel, etc.
Fin HS

Dernière modification par Coeur Noir (Le 23/10/2022, à 00:10)


DébuterDocBien rédigerRetour commandeInsérer image | illustrations & captures d'écran <>

Hors ligne

#56 Le 23/10/2022, à 10:43

jeremydu80

Re : Possible backdoor server

matrix-bx a écrit :
jeremydu80 a écrit :

root@ubuntu:~# ss -tunp
Netid       State       Recv-Q       Send-Q             Local Address:Port               Peer Address:Port       Process
tcp         ESTAB       0            0                   192.168.1.14:22                192.168.1.139:59883       users:(("sshd",pid=5914,fd=4))
tcp         ESTAB       0            0                   192.168.1.14:22                192.168.1.139:49924       users:(("sshd",pid=24219,fd=4))
tcp         ESTAB       0            0                   192.168.1.14:22                192.168.1.139:61521       users:(("sshd",pid=7757,fd=4))
eux ta commande me donne ca que je ne connais pas c'est en temps réelle cette commande ?...

tcp         ESTAB       0            0                   192.168.1.14:22                192.168.1.139:64968       users:(("sshd",pid=20199,fd=4))

Oui, c'est en temps réel, tu as là plusieurs connexions ssh depuis 192.168.1.139, je dois comprendre que tu ne connais pas cette adresse sur ton réseau ?
Si c'est le cas, il est très probablement compromis aussi alors hmm


139 je viens de vérifié c'est ma machine de travail en (10gb/s) donc les consoles SSH c'était moi merci encore vraiment

Hors ligne

#57 Le 23/10/2022, à 10:45

jeremydu80

Re : Possible backdoor server

Nuliel a écrit :

Houlà, c'est tendu hmm
Tu as besoin d'aide pour voir quelles sont les autres machines compromises? Parce qu'il faut vérifier chaque machine, et aussi tout ce qui est connecté au réseau, y compris les IoT

je pense surtout par sécurité faire un formatage complet de toutes les machines et une réinstallation au propre j'ai 96TO de données sur un cloud en backup il me restera plus qu'a re télécharger mes données proprement ( films, séries, émissions) mais j'utiliserai pour le moment Rclone en stockage principal pour plex

Hors ligne

#58 Le 23/10/2022, à 10:48

jeremydu80

Re : Possible backdoor server

Coeur Noir a écrit :
jeremydu80 a écrit :
Coeur Noir a écrit :

…euh ça a pas l'air tout jeune ce truc ?
Ou c'est fait exprès pour exploiter une faiblesse ancienne ?

( désolé, c'est vraiment pas ma partie, juste de la curiosité, je sors, je regarderai de loin… )


lol merci de ton passage tu aura essayé smile

J'avais précisé : ce n'est pas ma partie.
Donc ravale ta condescendance, et donne un début d'explication que je puisse m'éduquer au lieu de fanfaronner.


oh non loins de la smile ne le prend pas mal je te remercié vraiment smile

Hors ligne

#59 Le 23/10/2022, à 10:51

jeremydu80

Re : Possible backdoor server

Coeur Noir a écrit :

HS
Ok, ok, je ravale alors ma susceptibilité - mes excuses.
C'est que je « me renseigne » car j'aimerais assez mettre en place « quelque part » un serveur en ligne, ça fait des années que ça me trotte mais ça fait aussi des années que je ne franchis pas le pas car je ne suis pas au clair sur les enjeux de sécurité.
Donc ce genre de discussions / sujets m'interpellent et renforcent mes « craintes » : c'est un boulot à part entière, comment je m'y forme ou à qui je fais appel, etc.
Fin HS


Quand tu met une machine en ligne fait comme moi pour le coup n'oublie pas les backups ! crois moi ca vas me servir !

Hors ligne

#60 Le 23/10/2022, à 10:54

jeremydu80

Re : Possible backdoor server

Nuliel a écrit :

@Coeur Noir: je pense qu'il y n'a pas une once de condescendance, tu as fait remarquer une information qui effectivement au premier abord paraît étrange (d'ailleurs j'ai pas vraiment d'explication à ça, mais je sais que c'est normal), il y a aucun problème à ça, et il t'a remercié d'être passé et avoir tenté ta chance.
Le fait de proposer un accès ssh c'était juste pour savoir la méthode utilisée pour le point d'entrée, puisque de toute façon le système sera réinstallé.
Là je pense qu'il est pas mal dans la merde actuellement. En fait il faut déterminer quels serveurs ont été compromis par rebonds successifs, en d'autres termes faire une investigation sur chaque machine. Autant dire un gros travail qui va possiblement se traduire par une réinstallation de tous les systèmes selon l'ampleur des dégâts.

Edit: pour info, je suis tombé sur https://www.akashtrehan.com/different-k … ecutables/ et https://stackoverflow.com/questions/122 … nux-2-6-24 qui disent que la librairie C (généralement la glibc) a été compilée avec ce noyau (mais ça reste compatible avec les kernels plus récents).


je vais revoir la sécurité du système entièrement gérer en local les machines de stockage et les machines " en production maitre " leurs coller un firewall, ouvrir le SSH sur une machine local quitte a y accédée a distance via ANYDESK depuis ma machine de travail local quand je suis a l'extérieur

96TO a re télécharger, 12 serveur a formatée, vérification de mes serveurs ( online.net ) je pense que les prochains jours vont être assez occupé smile

Hors ligne

#61 Le 23/10/2022, à 11:14

jeremydu80

Re : Possible backdoor server

Pour faire simple ( eux ou pas hein je précise ! )

https://zupimages.net/up/22/42/zylm.png

Un jolie graphique maison de tout ce qu'il y a a refaire

de 1 a 7 ce sont des Synology
En noir des machines 10GB/s en production sur 4 box ( orange, free, sfr, bouygues )
En bleu ce sont des machines chez des hébergeurs qui eux même sont copier en load balencing
Le tout connecté a Rclone exemple du stockage depuis une machine windows ( pas tout les stockage dessus de montée ce sont juste les nouveaux volumes a remplir )
https://zupimages.net/up/22/42/tcyj.png

Je ne sais pas si vous imaginée le bordel pour tout remontée smile donc maintenant les machines local resteront local et enverrons uniquement les données sur un Cloud qui lui serra copier sur les machines en production je pense


Modération : merci d'utiliser des images de petite taille (300x300) ou des miniatures pointant sur ces images.

Dernière modification par cqfd93 (Le 23/10/2022, à 12:57)

Hors ligne

#62 Le 23/10/2022, à 20:39

josuah

Re : Possible backdoor server

@jeremydu80,

Tu bosses pour la nasa (humour, il en faut vu l'ampleur de la tâche) ? Je ne suis qu'un modeste administrateur d'un serveur mais la conf par défaut de SSH est toujours aussi permissive et je regrette aujourd'hui encore, les choix par défaut !
Pour mon SSH, je n'ai plus de mot de passe, mais une identification par clé. J'avais tenté à une époque le SSH en port knocking.
Pense bien à bloquer les ips collectées dans ton fichier host.deny, ça ne peut etre qu'un plus, ils seront tentés de revenir voir...
Bon courage.

Dernière modification par josuah (Le 23/10/2022, à 20:40)


"Car j'ai de chaque chose extrait la quintessence. Tu m'as donné ta boue et j'en ai fait de l'or" -- Baudelaire

Hors ligne

#63 Le 24/10/2022, à 00:40

jeremydu80

Re : Possible backdoor server

oh oui il y a du travail lol apres cetait a moi de faire attention je vais étre plus prudent

Hors ligne

#64 Le 26/11/2022, à 19:43

jeremydu80

Re : Possible backdoor server

petit retour rapidement pour les personnes intéressé smile

1 - Formatage complet de mes infrastructures effectué cela a pris pas mal de temps en reconfiguration
2 - Par sécurité j'ai opté pour des serveurs seedbox dédié ( en cas de hack bah je nés qu'une perte de téléchargements non récupérée )
3 - Les accès SSH de mes machines ne sont contrôlable que depuis ma machine local
4 - Des serveurs ont était installé et sont prêt a démarrée en cas de coup dur uniquement ( les machines de secours )

Il ne me reste plus qu'a créer un clone de Ubuntu propre au cas ou un problème ce représente un jour je m'en servirais sur une clef USB et j'aurais juste a installé cette version de l'iso

Un grand Merci encore aux personnes qui me sont venu en aide

Hors ligne