You have been powned

il y a longtemps j'avais reçu un avertissement de la part d'OVH indiquant que mon serveur pourrait être compromis et qu'il était la source d'attaques par force brute.

Nous avons reçu un rapport d'un tiers indiquant que votre serveur est en train de réaliser des attaques par force brute via SSH. D'après le contenu du rapport, nous pensons qu'il est probable que votre serveur ait été compromis et soit à l'origine de ces attaques.

Ils proposent plusieurs options et la plus simple est de réinitialiser le serveur et d'en utiliser un nouveau. Je ne voulais pas suivre cette voie, alors j'ai pensé qu'il serait mieux de trouver ce qui causait le problème.

La première étape a été de me connecter à la machine et de voir ce qui se passait. Je voulais voir toutes les connexions sortantes que mon serveur effectuait.

Ensuite, j'ai utilisé ps aux pour voir tous les processus en cours d'exécution afin de voir ce qui tourne.

En faisant cela, j'ai rapidement trouvé le coupable : c'était un compte utilisateur compromis.

bash

ps -aux | grep user

Cela m'a donné les processus suivants :

Tout cela semble suspect. J'ai tué tous les processus et supprimé l'utilisateur ainsi que son répertoire. C'était un compte utilisateur temporaire que j'avais créé pour transférer quelque chose par FTP et que je n'avais jamais supprimé. Heureusement, je ne pense pas que le pirate ait pu obtenir des accès plus élevés, donc je ne suis pas trop inquiet pour la machine, surtout que je vais supprimer le serveur de toute façon. C'était intéressant de voir le problème.

L'étape suivante serait de vérifier si je peux prouver que l'utilisateur n'a pas obtenu les droits sudo ou un niveau d'accès supérieur. J'ai vérifié /etc/passwd et je ne vois pas d'utilisateurs supplémentaires, mais je ne pense pas que cela suffise à prouver quoi que ce soit. J'ai aussi regardé dans /var/log/auth.log pour voir les tentatives de connexion et d'autres activités suspectes.