J'ai récemment activé l'accès ssh à ma machine pour travailler sur un projet de groupe avec mes camarades de classe. J'ai lu le guide pour configurer ssh sur ubuntu et j'ai essayé de suivre de bonnes pratiques en matière de sécurité. J'ai désactivé l'authentification par mot de passe, donc le seul moyen d'accéder était avec des clés RSA, et j'avais seulement 2 clés répertoriées dans le fichier authorized_keys : la mienne (je l'ai utilisée pendant les tests pour vérifier que ssh fonctionnait correctement) et celle d'un ami.
Ce soir, j'étais curieux de voir si mon ami était connecté en ssh sur mon système pendant que je l'utilisais, donc j'ai cherché sur Google une commande qui me dirait si quelqu'un était connecté en ssh, et si c'était le cas, qui. Le résultat que j'ai obtenu était :
sudo netstat -tnpa | grep ESTABLISHED.*sshdJe l'ai essayé, et la sortie était :
tcp 0 0 192.168.1.86:22 59.47.0.150:44728 ESTABLISHED 7416/sshd: [accepteCela n'avait pas l'air correct. J'ai contacté mon ami et il m'a assuré qu'il n'était pas connecté. J'ai essayé à nouveau la commande, et j'ai vu :
tcp 0 0 192.168.1.86:22 59.47.0.150:44728 ESTABLISHED 7416/sshd: root [prÀ ce stade, le mot "root" m'a un peu effrayé et j'ai envoyé un message à un ami qui en savait plus que moi sur ce sujet. Il m'a dit d'essayer :
ps aux | grep sshce qui a produit :
root 3702 0.0 0.0 61364 2872 ? Ss Apr12 0:00 /usr/sbin/sshd -D
root 7473 0.0 0.0 112692 3920 ? Ss 20:46 0:00 sshd: root [priv]
sshd 7474 0.0 0.0 62784 1516 ? S 20:46 0:00 sshd: root [net]
sid 7476 0.0 0.0 22476 936 pts/1 S+ 20:46 0:00 grep --color=auto sshMaintenant j'étais vraiment inquiet, donc même si je voulais attendre un peu pour voir si je pouvais découvrir qui était connecté, j'ai décidé de simplement sudo stop ssh.
Après avoir fait quelques recherches, j'ai découvert que 59.47.0.150 est une IP à Shenyang, en Chine, et semble être spécifiquement connue pour des attaques malveillantes.
Donc mes questions pour vous sont :
-
Pouvons-nous affirmer avec certitude qu'une IP chinoise s'est somehow connectée en ssh à ma machine ? Même si elle n'acceptait que l'autorisation par clé RSA ? < /p>
-
Pouvons-nous affirmer avec certitude qu'il/elle a également obtenu un accès root ? Dans mon fichier de configuration ssh, j'avais le
PermitRootLogin without-passwordpar défaut. Je pensais à l'origine que cela signifiait que la connexion root n'était pas autorisée (je sais que les deux semblent contradictoires, mais j'avais cherché sur Google et c'est le résultat que j'ai obtenu) < /p> -
Si c'est le cas, comment ? < /p>
-
Y a-t-il un moyen de voir les dommages qui ont été causés jusqu'à présent ? < /p>
-
Comment puis-je me prémunir contre cela à l'avenir ? J'ai toujours besoin d'avoir ssh en cours d'exécution pour terminer mon projet de groupe. < /p>
Merci pour toute aide que vous pourrez offrir !< /p>
EDIT: Comme sugéré par saiarcot895 et Steven, j'ai vérifié auth.log, qui contenait les lignes suivantes répétées à plusieurs reprises :< /p>
Apr 13 20:43:50 PrometheusU sshd[7392]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=59.47.0.150 user=root
Apr 13 20:43:55 PrometheusU sshd[7394]: reverse mapping checking getaddrinfo for 150.0.47.59.broad.bx.ln.dynamic.163data.com.cn [59.47.0.150] failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 13 20:43:55 PrometheusU sshd[7394]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=59.47.0.150 user=root
Apr 13 20:43:58 PrometheusU sshd[7394]: Failed password for root from 59.47.0.150 port 54813 ssh2
Apr 13 20:44:03 PrometheusU sshd[7394]: message repeated 2 times: [ Failed password for root from 59.47.0.150 port 54813 ssh2]
Apr 13 20:44:04 PrometheusU sshd[7394]: Received disconnect from 59.47.0.150: 11: [preauth]Cela signifie-t-il que l'attaquant est entré dans mon système et a échoué à se connecter en tant que root, ou qu'il/elle tente d'accéder directement à root, a échoué et n'a pas accédé à quoi que ce soit du tout ?< /p>
