Bonjour à tous,
J’ai commencé à m’intéresser aux tunnels http/ssh pour un ami qui a une connexion de résidence universitaire alors j’ai creusé un peu. J’ai notamment utilisé sudo lsof -i -n
et netsat -n --inet
et j’ai remarqué qu’il y a une ip de chez ovh qui revient sans cesse (sans raison, évidemment), apparemment connecté sur un compte guest (délibérément facile pour se connecter, mais là n’est pas le problème, je ne referais plus la même erreur) mais surtout en root !
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
sshd 817 root 3u IPv4 14962 0t0 TCP 192.168.0.41:ssh->51.254.78.217:54296 (ESTABLISHED)
sshd 938 guest 3u IPv4 14962 0t0 TCP 192.168.0.41:ssh->51.254.78.217:54296 (ESTABLISHED)
J’avais suivi les recommandations pour sécuriser root dès l’installation de la brique, (changé de mot de passe, désactivé la connexion ssh avec mot de passe).
J’ai essayé de virer le gredin à coup de sudo kill -9
, de sudo killall sshd
(assez violent, faut relancer le service ssh derrière) mais rien n’y fait, il s’accroche. Depuis cet incident j’ai ajouté la règle sudo /sbin/iptables -A INPUT -s 51.254.78.217 -j DROP
(j’obtiens la règle DROP all -- ip217.ip-51-254-78.eu anywhere
est-ce que cela correspond ?) et j’ai changé ma config sshd où j’ai mis PermitRootLogin no
.
Je suis à cours d’idée, au secours. (Et oui je sais un compte guest facilement accessible, je l’ai bien cherché.)