framboise314.fr

J'ai l'impression que tu aurais pu le trouver à distance avec nmap !
Chez moi, c'est seulement sur le réseau local que le port 22 écoute car il est naté sur la box.

Pas mal piper. C'est super intéressant. Et si on garde le port 22 on test facilement car les attaques ne manquent pas. Je regarde ça de plus près. Si on supprime le user pi il ne faut pas oublier le group pi aussi. ( On va finir par développer un tuto "sécurité sur raspberry") Dans l'attaq...

Dis moi si je me trompe. En changeant le port SSH, il faut reparamétrer iptable, et fail2ban
Pour le port 20000 voici l'explication: https://routeur4g.fr/discussions/discus ... r-avec-ssh

Merci Diox. Je m'y mets de suite. nmap -sT localhost Starting Nmap 7.70 ( https://nmap.org ) at 2021-07-12 14:32 CEST Nmap scan report for localhost (127.0.0.1) Host is up (0.0013s latency). Other addresses for localhost (not scanned): ::1 Not shown: 997 closed ports PORT STATE SERVICE 22/tcp open s...

Je n'ai jamais rien compris à iptable et encore moins à son articulation avec fail2ban. Si SSH n'est pas protégé par défaut, je ne saurai pas le faire. Je comprends beaucoup mieux firewalld. Dans tous les cas ce sont des usines à gaz.

Oui j'ai essayé de me parer de ce genre d'attaque. J'ai sécurisé le sshd_config ? (virer le root, allouer 2 users en liste blanche, n'autoriser qu'une sorte de clé et aucun mdp...) Malgré ça je me pose des questions sur les manques dans les logs. Je vais peut être tout réinstaller et voir l'attitude...

La fin de la journée s'arrête là. C'est bizarre. Dans le auth.log d'aujourd'hui, je me vois un peu plus rassuré. Jul 11 03:17:01 raspi-sauvegarde CRON[994]: pam_unix(cron:session): session opened for user root by (uid=0) Jul 11 03:17:01 raspi-sauvegarde CRON[994]: pam_unix(cron:session): session clo...

Auth_log est intéressant en effet. Il y a une tâche cron qui a été exécuté, mais je ne vois rien en crontab. Jul 7 19:17:01 raspi-sauvegarde CRON[1813]: pam_unix(cron:session): session opened for user root by (uid=0) Jul 7 19:17:01 raspi-sauvegarde CRON[1813]: pam_unix(cron:session): session closed ...

sudo lastb -f /var/log/btmp.1 btmp.1 begins Thu Jul 1 00:00:37 2021 Plus ça va, plus je la sent mal celle là. Le propre d'un hackeur est d’effacer ces traces. ls -l /var/log total 2384 drwxr-xr-x 2 root root 4096 juil. 8 06:25 account -rw-r--r-- 1 root root 0 juin 1 00:00 alternatives.log -rw-r--r-...

Bonjour. Je soupçonne mon raspi d'avoir été visité et de l'être encore.
J'ai voulu examiner mes logs et ils sont effacés de la veille. Ma question:
Y a t-il une fonction automatique d'effacement des logs? Merci.