Auteur Sujet: Comment vérifier si l'on a été piraté et sécuriser son serveur (Lu 2093 fois)

Darkjeje · « **le:** 19 octobre 2022 à 07:58:49 »

Bonjour à tous,

Depuis hier, j'ai constaté que je n'arrivais plus à joindre mon NAS via ma connexion Wireguard.
En regardant la config de dans /etc/wireguard/wg0.conf je m'aperçois qu'elle ne correspond plus du tout à ce que j'avais fait.

Je n'ai plus les commentaires décrivant le nom des peer et j'ai des endpoint différent pour chaque peer.

Je me demande donc si quelqu'un ne ce serait pas introduit sur mon raspberry.

Qu'en pensez vous ?
Comment puis-je m'en assurer et corriger cela ?

Le script actuel :

Code: [Sélectionner]

[Interface]
Address = 192.168.3.128/24
Address = 2a01:xxx:xxx:xxx:xxx:128/128
DNS = 1.1.1.1
DNS = 2606:4700:4700::1111
DNS = 1.0.0.1
DNS = 2606:4700:4700::1001
SaveConfig = true
PostUp = ufw route allow in on wg0 out on enxb827eb71a4fc
PostUp = iptables -t nat -A POSTROUTING -o enxb827eb71a4fc -j MASQUERADE; ip6tables -t nat -A POSTROUTING -o enxb827eb71a4fc -j MASQUERADE
PostDown = ufw route delete allow in on wg0 out on enxb827eb71a4fc
PostDown = iptables -t nat -D POSTROUTING -o enxb827eb71a4fc -j MASQUERADE; ip6tables -t nat -D POSTROUTING -o enxb827eb71a4fc -j MASQUERADE
ListenPort = 51820
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
AllowedIPs = 192.168.3.1/32, 2a01:xxx:xxx:xxx:xxx:1/128
Endpoint = 92.184.106.119:45521

[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
AllowedIPs = 192.168.3.2/32, 2a01:xxx:xxx:xxx:xxx:2/128
Endpoint = 37.166.61.34:53500

[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
AllowedIPs = 192.168.3.3/32, 2a01:xxx:xxx:xxx:xxx:3/128
Endpoint = 192.168.1.254:52460

[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
AllowedIPs = 192.168.3.4/32, 2a01:xxx:xxx:xxx:xxx:4/128
Endpoint = 192.168.1.254:48709

[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
AllowedIPs = 192.168.3.5/32, 2a01:xxx:xxx:xxx:xxx:5/128

Merci pour votre aide.

zergflag · « **Réponse #1 le:** 19 octobre 2022 à 13:41:20 »

tu as regarder dans les logs SSH ? normalement c'est dans /var/log/syslog

gg40530 · « **Réponse #2 le:** 19 octobre 2022 à 14:02:18 »

SaveConfig = true

Sauvegarde la config automatiquement si tu fais des modif en cli. Peut-être une piste
Si tu ne veux pas que ta config bouge, mets false

Darkjeje · « **Réponse #3 le:** 20 octobre 2022 à 21:34:12 »

Merci pour vos retours.

Je n'ai rien vue dans les log qui m'ais paru suspect, après j'imagine que l'on peut effacer ce que l'on veut.

Je ne sais pas où mettre SaveConfig = true ou false.

Mais je ne vois aucune raison que mon script soit totalement modifié et notamment que des adresses IP totalement inconnus soit mises en endpoint du jour au lendemain.
C'est ça qui m'inquiète !

renaud07 · « **Réponse #4 le:** 20 octobre 2022 à 23:44:54 »

Tu as un accès SSH de backup ou y'a que ton VPN qui passe ?

Si y'a un SSH, je te suggère, si tu peux, de restreindre les IP autorisées à se connecter. Par ex filtrer par AS ou par plage ça limitera les attaques venues des autres pays. Et de mettre un fail2ban aussi.

matrix-bx · « **Réponse #5 le:** 21 octobre 2022 à 04:19:58 »

Citation de: Darkjeje le 20 octobre 2022 à 21:34:12

Je n'ai rien vue dans les log qui m'ais paru suspect, après j'imagine que l'on peut effacer ce que l'on veut.

Parfois ils pourraient oublier d'effacer certains journaux, tu as regardé avec # journalctl -t sshd ?

Citation de: renaud07 le 20 octobre 2022 à 23:44:54

Si y'a un SSH, je te suggère, si tu peux, de restreindre les IP autorisées à se connecter. Par ex filtrer par AS ou par plage ça limitera les attaques venues des autres pays. Et de mettre un fail2ban aussi.

J'avoue que depuis que j'ai renforcé la config sshd, je ne m'en souci plus du tout.
Dans mon /etc/ssh/sshd_config.d/locale.conf j'ai mis :

Code: [Sélectionner]

Port xxxx # limite la visibilité aux scans bêtes et méchants
PasswordAuthentication no # le brute force ne peut qu'échouer
AllowUsers user1 user2 ... # seuls certains comptes ont accès

match user user1 # pour certains comptes et seulement si besoin, authentification par password permise.
PasswordAuthentication yes

J'ai toujours un fail2ban actif, mais son boulot c'est surtout de réduire la taille de /var/log/auth.log (quoi que pas sûr que ça compense bien à cause de celle de fail2ban.log qui augmente).
Le filtrage par plage d'ip j'y avait pensé un peu sans jamais le faire.

Fyr · « **Réponse #6 le:** 21 octobre 2022 à 08:08:49 »

Et une mise à jour qui se serait mal passée ?

Darkjeje · « **Réponse #7 le:** 21 octobre 2022 à 15:42:53 »

Je vous remercie pour vos retours et vais regarder tout ça.

Je n'ai pas fait de mise à jour, je les lance manuellement.

Et bizarrement mon raspberry a été banni par le firewall de mon NAS...

Je pense que je vais totalement réinstaller le systeme en repartant de zéro.

Fuli10 · « **Réponse #8 le:** 21 octobre 2022 à 16:37:39 »

Hello
Ce serait quand même intéressant de savoir où pointent ces IP, s'ils se connectent bien, et de faire un nmap sur l'ensemble des ports histoire de savoir s'il y a un port d'ouvert sur un service délictueux (qui n’apparaît pas dans un netstat par exemple). Et aussi de traquer s'il y a des tentatives de connexions ailleurs que vers les IP attendu.
Juste pour étudier tout ça...

Ragarock · « **Réponse #9 le:** 21 octobre 2022 à 17:25:30 »

tu peux t'appuyer sur cet article que je trouve plutôt pertinent

https://www.yakati.com/art/comment-savoir-si-votre-serveur-linux-a-ete-compromis.html

jeremyp3 · « **Réponse #10 le:** 21 octobre 2022 à 23:48:23 »

bonjour,

les Endpoint sont ajouté automatiquement à cause du saveconfig=true.

si tu te connecte à ton vpn avec entre autre, de la 4g orange / 4g free, tout est bon.

comme indiqué plus haut, si tu ne veux pas que les endpoints soit ajoutés dans la conf, il faut modifier true par false et wg n'ajoutera pas les derniers endpoint connu dans la conf.

il suffit juste d'éditer le fichier de configuration de wg:
* modifier saveconfig en false au lieu de true
* retirer les endpoint ajouté par la config.

restart wg

Jerem

Darkjeje · « **Réponse #11 le:** 22 octobre 2022 à 08:47:17 »

Citation de: jeremyp3 le 21 octobre 2022 à 23:48:23

bonjour,

les Endpoint sont ajouté automatiquement à cause du saveconfig=true.

Merci Jerem

Est-ce que les modifications qu'apportent wireguard peuvent expliquer la disparition de mes commentaires indiquant le nom de chaque peer ?

J'utilise wg depuis plus d'un an, je ne fais des MAJ Debian que manuellement et je n'en n'avais pas fait depuis plusieurs semaines, et c'est la première fois que je vois mon paramétrage wg changer.

Merci Ragarock pour le site conseillé.
J'ai regardé et à la hauteur de mes faibles compétences linix, je n'ai rien vu d'anormal.

J'ai changé le mot de passe utilisateur, changer le port ssh.
Mais je pense tout réinstaller de zéro par sécurité, même si j'en ai aucune envie...