[LOG] Sécurité d'un serveur
Publié : jeu. 22 janv. 2015, 19:37
Salut à tous
Pour une fois, il m'a pris l'envie de consulter le log de mon serveur et… ce que j'ai vu m'a fait me dresser les cheveux sur la tête…
En clair, j'ai fait ceci
Histoire de pouvoir consulter le log à mon aise.
Et j'ai quelques passages qui me posent problème:
1)Tentative d'intrusion SSH
Je trouve de très nombreuses tentatives d'intrusion SSH provenant d'une IP localisée à Hong-Kong.
Voici ce que le log me dit:
Et ce code se répète pendant un petit temps.
Bien entendu, l'accès root est interdit en SSH et j'ai bloqué l'IP via iptables
Ma question est: que puis-je faire de plus pour sécuriser le serveur?
2)Mail de cron
Cron essaie de temps en temps d'envoyer un mail.
Sauf que, comme vous le voyez, ça foire.
1)Qu'est-ce qu'il essaie de me dire?
2)Comment lui expliquer que, ses mails, il doit les envoyer à «admin@nomdedomaine.fr»?
Rtm fréquent
De temps en temps, il y a un cron fréquent pour RTM. Par exemple, il peut se déclenche 30 ou 40 fois d'affilée avec ces lignes:
Si je me souviens bien, RTM est utilisé par Cacti, que j'ai installé. Mais pourquoi se déclencher beaucoup, mais de temps en temps?
C'est normal?
Connexions SSH fermées
Je trouve quelques lignes sur des connexions fermées à partir d'IP louches.
Mais rien sur des connexions ouvertes. Qu'est-ce que ça veut dire? Que quelqu'un a fait «toc toc» sur le serveur puis est parti sans essayer de rentrer?
Connexion anonyme au FTP
Allez, on continue avec les intrusions…
Quelqu'un qui fait toctoc sur le FTP.
C'est bon si je vois ça ou je dois (encore) m'inquiéter?
Et enfin, dernier petit problème:
Répertoire $HOME introuvable
Ça, c'est «de ma faute». Enfin, c'est moi qui ai provoqué l'erreur.
Le service «shadow» est en erreur. Et si j'essaie de le lancer, j'obtiens l'erreur suivante:
Comment puis-je expliquer à Arch que ces deux utilisateurs ne doivent pas avoir de répertoire HOME, comme «http» ou «mysql»?
Voilà voilà…
Je pense que mon serveur a besoin d'un petit coup de fouet au niveau de la sécurité mais… heu… je vous avoue que la dernière fois que j'ai essayé de configurer iptables, je me suis pris les pieds dans le tapis et il n'y a plus rien qui marchait.
Alors, toute aide est la bienvenue pour dammer le pion à ces méchants pirates.
Un grand merci pour votre aide.
Chindit
Pour une fois, il m'a pris l'envie de consulter le log de mon serveur et… ce que j'ai vu m'a fait me dresser les cheveux sur la tête…
En clair, j'ai fait ceci
Code : Tout sélectionner
sudo journalctl --since=today >> /tmp/log
Et j'ai quelques passages qui me posent problème:
1)Tentative d'intrusion SSH
Je trouve de très nombreuses tentatives d'intrusion SSH provenant d'une IP localisée à Hong-Kong.
Voici ce que le log me dit:
Code : Tout sélectionner
Jan 22 00:00:17 mon-serveur sshd[26546]: Failed password for root from 103.41.124.109 port 38507 ssh2
Jan 22 00:00:17 mon-serveur sshd[26546]: pam_tally(sshd:auth): Tally overflowed for user root
Jan 22 00:00:19 mon-serveur sshd[26546]: Failed password for root from 103.41.124.109 port 38507 ssh2
Jan 22 00:00:19 mon-serveur sshd[26546]: pam_tally(sshd:auth): Tally overflowed for user root
Jan 22 00:00:21 mon-serveur sshd[26546]: Failed password for root from 103.41.124.109 port 38507 ssh2
Jan 22 00:00:21 mon-serveur sshd[26546]: Disconnecting: Too many authentication failures for root from 103.41.124.109 port 38507 ssh2 [preauth]
Jan 22 00:00:21 mon-serveur sshd[26546]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.41.124.109 user=root
Jan 22 00:00:22 mon-serveur sshd[29389]: pam_tally(sshd:auth): Tally overflowed for user root
Bien entendu, l'accès root est interdit en SSH et j'ai bloqué l'IP via iptables
Code : Tout sélectionner
sudo iptables -A INPUT -s 103.41.124.109 -j DROP
2)Mail de cron
Cron essaie de temps en temps d'envoyer un mail.
Code : Tout sélectionner
Jan 22 05:14:24 mon-serveur CROND[27892]: pam_unix(crond:session): session closed for user root
Jan 22 05:14:24 mon-serveur postfix/pickup[26075]: C16D49F76E: uid=0 from=<root>
Jan 22 05:14:24 mon-serveur postfix/cleanup[27993]: C16D49F76E: message-id=<20150122041424.C16D49F76E@mail.nomdedomaine.fr>
Jan 22 05:14:24 mon-serveur postfix/qmgr[462]: C16D49F76E: from=<root@nomdedomaine.fr>, size=5309, nrcpt=1 (queue active)
Jan 22 05:14:24 mon-serveur dovecot[380]: lmtp(27999): Connect from local
Jan 22 05:14:25 mon-serveur postfix/lmtp[27998]: C16D49F76E: to=<root@nomdedomaine.fr>, orig_to=<root>, relay=mail.nomdedomaine.fr[private/dovecot-lmtp], delay=83, delays=83/0.03/0.03/0.11, dsn=5.1.1, status=bounced (host mail.nomdedomaine.fr[private/dovecot-lmtp] said: 550 5.1.1 <root@nomdedomaine.fr> User doesn't exist: root@nomdedomaine.fr (in reply to RCPT TO command))
Jan 22 05:14:25 mon-serveur dovecot[380]: lmtp(27999): Disconnect from local: Successful quit
Jan 22 05:14:25 mon-serveur postfix/cleanup[27993]: 0F59FA0A86: message-id=<20150122041425.0F59FA0A86@mail.nomdedomaine.fr>
Jan 22 05:14:25 mon-serveur postfix/bounce[28004]: C16D49F76E: sender non-delivery notification: 0F59FA0A86
Jan 22 05:14:25 mon-serveur postfix/qmgr[462]: 0F59FA0A86: from=<>, size=7690, nrcpt=1 (queue active)
Jan 22 05:14:25 mon-serveur postfix/qmgr[462]: C16D49F76E: removed
Jan 22 05:14:25 mon-serveur dovecot[380]: lmtp(27999): Connect from local
Jan 22 05:14:25 mon-serveur postfix/lmtp[27998]: 0F59FA0A86: to=<root@nomdedomaine.fr>, relay=mail.nomdedomaine.fr[private/dovecot-lmtp], delay=0.07, delays=0.03/0/0/0.03, dsn=5.1.1, status=bounced (host mail.nomdedomaine.fr[private/dovecot-lmtp] said: 550 5.1.1 <root@nomdedomaine.fr> User doesn't exist: root@nomdedomaine.fr (in reply to RCPT TO command))
Jan 22 05:14:25 mon-serveur dovecot[380]: lmtp(27999): Disconnect from local: Successful quit
Jan 22 05:14:25 mon-serveur postfix/qmgr[462]: 0F59FA0A86: removed
Jan 22 05:15:01 mon-serveur crond[28005]: pam_unix(crond:session): session opened for user root by (uid=0)
1)Qu'est-ce qu'il essaie de me dire?
2)Comment lui expliquer que, ses mails, il doit les envoyer à «admin@nomdedomaine.fr»?
Rtm fréquent
De temps en temps, il y a un cron fréquent pour RTM. Par exemple, il peut se déclenche 30 ou 40 fois d'affilée avec ces lignes:
Code : Tout sélectionner
Jan 22 05:22:02 mon-serveur CROND[28376]: pam_unix(crond:session): session closed for user root
Jan 22 05:23:01 mon-serveur crond[28419]: pam_unix(crond:session): session opened for user root by (uid=0)
Jan 22 05:23:01 mon-serveur CROND[28420]: (root) CMD (/usr/local/rtm/bin/rtm 39 > /dev/null 2> /dev/null)
C'est normal?
Connexions SSH fermées
Je trouve quelques lignes sur des connexions fermées à partir d'IP louches.
Mais rien sur des connexions ouvertes. Qu'est-ce que ça veut dire? Que quelqu'un a fait «toc toc» sur le serveur puis est parti sans essayer de rentrer?
Code : Tout sélectionner
Jan 22 14:17:32 mon-server sshd[29882]: Connection closed by 14.141.13.34 [preauth]
Jan 22 14:17:34 mon-server sshd[29884]: Connection closed by 177.21.255.94 [preauth]
Allez, on continue avec les intrusions…
Quelqu'un qui fait toctoc sur le FTP.
C'est bon si je vois ça ou je dois (encore) m'inquiéter?
Code : Tout sélectionner
Jan 22 14:34:41 mon-server proftpd[30732]: reverse.ip.fr (109-227-227-140.nts.su[109.227.227.140]) - FTP session opened.
Jan 22 14:34:41 mon-server proftpd[30732]: reverse.ip.fr (109-227-227-140.nts.su[109.227.227.140]) - USER anonymous: no such user found from 109-227-227-140.nts.su [109.227.227.140] to ::ffff:my.ip:21
Jan 22 14:34:42 mon-server proftpd[30732]: reverse.ip.fr (109-227-227-140.nts.su[109.227.227.140]) - FTP session closed.
Répertoire $HOME introuvable
Ça, c'est «de ma faute». Enfin, c'est moi qui ai provoqué l'erreur.
Le service «shadow» est en erreur. Et si j'essaie de le lancer, j'obtiens l'erreur suivante:
Code : Tout sélectionner
Jan 22 18:51:39 mon-server pwck[13142]: user 'vmail': directory '/home/vmail' does not exist
Jan 22 18:51:39 mon-server pwck[13142]: user 'courier': directory '/home/courier' does not exist
Voilà voilà…
Je pense que mon serveur a besoin d'un petit coup de fouet au niveau de la sécurité mais… heu… je vous avoue que la dernière fois que j'ai essayé de configurer iptables, je me suis pris les pieds dans le tapis et il n'y a plus rien qui marchait.
Alors, toute aide est la bienvenue pour dammer le pion à ces méchants pirates.
Un grand merci pour votre aide.
Chindit