Re-Installation de Nextcloud alors que je l'ai déjà

Salut,

j’ai déjà vu ce genre d’attaque dans un cas où un bot avait trouvé un login/motdepasse parce qu’il était assez bidon, et du coup arrivait à envoyer des mail via l’utilisateur correspondant. Tu n’aurais pas un utilisateur sur la machine qui a un mot de passe relativement facile à trouver (trop court, ou mot du dictionnaire ou autre ?) ?

Je ne connais pas le mot de passe des autres utilisateurs, mais je vais leur demander de le renforcer.
Ce nom de domaine (uol.com.br) n’est pas le mien

Je viens de retester la commande
sudo cat /var/log/auth.log

Je me fais attaquer sans arrêt :frowning:
Ca n’arrete pas de tester differents utilisateurs
Est ce une situation normale ?
Dois changer de sous domaine ?

Oui, déjà il faut comprendre que quand tu as un serveur, il est forcément attaqué. Typiquement, il y a des bots qui font un peu le tour des internets et toquent à tous les ports 22 (SSH) ouverts qu’ils trouvent.

C’est pas bien grave tant que tu as des mots de passe relativement forts et des outils adaptés (e.g. fail2ban, installé et configuré de base sous Yunohost) pour contrer ces « brute-force ». Par exemple, sur l’un de mes serveurs, j’ai entre 20 et 40 ips qui se font bannir par jour pour tentative de brute force sur le ssh.

Donc ce que tu vois dans /var/log/auth.log, ce sont les tentatives de login en ssh. Mais normalement /var/log/fail2ban.log te montre aussi que certaines de ces IP se font bannir automatiquement (genre après 5 mots de passe ratés).

Mais SSH, ce n’est pas la seule surface exposée ;). En l’occurence, le log que tu as trouvé avec les Out/in qui se termine par “Instufficient system storage”, c’est un log de soumission de mail (via le port IMAP ou un truc du genre j’imagine…).

Mais normalement, si tu creuses un peu les logs, tu devrais pouvoir trouver avec quel utilisateur la soumission de mail est faite… (Je regarde sur un de mes serveurs pour voir le format exact)

Bon du coup, pas sur de savoir quoi aller voir comme log … En fait c’est plus facile quand l’“attaque” est encore “effective” car les mails sont dans la queue (commande mailq) et on peut voir directement quel utilisateur envoie ces mails…

Sinon, il faut surement regarder dans /var/log/mail.info (ou alors les archives, genre /var/log/mail.info.1), genre avant la fin de l’attaque, il devrait y avoir des mails envoyé en masse, et les logs devraient dire via quel utilisateur ça a été soumis…

Bonjour

C’est rassurant de voir que fail2ban fait son travail.

Pour les log, j’ai tout effacé en reinstallant Yunohost. Je ne peux donc plus savoir si c’était envoyé via un utilisateur de mon cloud ou pas.

Je vais me protéger via un mdp + fort et faire un backup de ma config toute propre.

Curieux qu’un attaquant prévienne comme ça que l’espace disque est bientot saturé.
Est ce une alerte par défaut de Yunohost ?

Ce n’est pas l’attaquant qui prévient de cela, c’est le système qui répondait à l’attaquant qu’il ne pouvait pas accepter sa requête car il n’y avais plus d’espace sur le disque :wink: