Alors en fait j’ai plein de nouvelles. Je vais pouvoir faire plein d’articles. Il arrive plein de trucs.
L’autre jour mon FAI me contacte pour me dire qu’une machine dans mon réseau faisait des trucs pas bien. En preuve, il me donne un extrait d’un log, où on voit une machine (de mon réseau) tenter UNE connexion SSH sur une adresse IP quelconque, et se faire refuser la connexion.
Je leur ai renvoyé un mail serré pour leur dire que leur log était tout à fait normal, qu’on n’y voyait absolument rien de suspicieux, et qu’ils pourraient faire un peu plus d’efforts pour me donner plus d’info. Mais que j’allais vérifier.
Je contacte l’utilisateur en lui donnant le log et en lui demandant si c’est bien lui qui a tenté de faire cette connexion.
Réponse: Non.
Ah. Pas bon.
Bon, je vais regarder ce qui se passe sur le firewall. Je mets en place une trace, une capture du trafic SSH en provenance de la machine de l’utilisateur en question.
Le log a explosé instantanément. 20000 connexions par seconde.
Ah ouais… quand même…
Il y a tellement de choses pas correctes dans cette histoire, que je sais pas par où commencer. Les plus gros:
Le FAI qui me donne un log d’UNE connexion SSH alors qu’il y en a 20000 par seconde depuis je sais pas quand.
Mon utilisateur qui se fait pirater son serveur alors que bah y’a que 2 ports d’ouverts. Le serveur est sous Ubuntu, c’est à dire Linux, c’est à dire une passoire si son admin n’est pas au top. Si seulement tout le monde pouvait passer sur Windows.
Mon firewall qui n’a rien fait pour arrêter ça. Bon bon d’accord, je lui ai fait un peu trop confiance, et lui a l’air de trop faire confiance aux machines “à l’intérieur”. Je vais m’y pencher.
Serveur effacé, et mon utilisateur utilisera désormais des ports moins conventionnels.