Bonjour,

Question sans doute conne car d'après moi non mais je pose la question quand même :
Est-il possible d'écouter une IP distante et surtout un port (22 en l'occurence) afin de récupérer le mot de passe ?

Je tien tout de suite à dire que cela n'est pas en vu de faire un hack mais juste pour savoir car mon serveur Linux à été piraté quelques secondes après ma connexion en SSH à celui-ci.

Je pense plus a une coincidence mais je demande quand même.

Et sinon, comment une personne peut rentrer sur un serveur via le SSH même avec un système de fail2ban reglé sur 3 erreurs et bloqué 24h ?

Merci d'avance de vos réponses.

19 réponses


Je veux pas dire de connerie mais tu n'aurais pas une merde sur ta machine plutot que sur ton server ?

Tu veux dire quoi par merde ? Car j'ai eu l'equivalent d'un rm -rf / sur mon serveur

Quelqu'un qui ne t'aime pas qui a mis une sorte de keylogger.
Après c'est peut etre une fausse piste

Sur un serveur dedié, chez Kimsufi ? C'est gros quand même

Mon poste quant a lui tourne avec Nod32 Smart Security, je pense qu'il l'aurai vu non ?

Avec la commande

netstat -tnpa

tu peux voir la liste de toutes les connexions, il te suffit ensuite de filtrer..

Le problème c'est que le serveur est tombé et des fichiers systèmes (rm -rf / ou quelque chose comme ça) ont été supprimés et du coup impossible de se connecté au serveur et impossible de reboot

Merci en tout cas pour la commande, je me la note

Faut que tu contacte l'hébergeur et formater alors dans ce cas.
Si la connexion SSH est dead, il faut aller manuellement sur la machine et j'pense pas qu'il le feront

Oui de toute façon j'ai déjà réinstallé le système, et comme c'est un Kimsufi ils vont rien faire.

Est-il possible d'écouter une IP distante et surtout un port (22 en l'occurence) afin de récupérer le mot de passe ?
Je tien tout de suite à dire que cela n'est pas en vu de faire un hack

Bien sur que non que ce n'est pas du Hack, pour quelle autre raison avoir besoin de récupérer un mot de pase qui ne nous est pas connu...

Non je voulais dire que je pose cette question pour savoir, pas pour moi meme realiser un hack vu que la victime ici c'est moi

Pourquoi tu dis que c'est pour récupérer un mot de passe si ce n'est pas pour du Hack ?

Je me suis fais hacké, et je voulais savoir si cela pouvait etre par cette solution que le hack est survenu

Es tu certain que tu te sois fait hacké ?

Pour le savoir, le mieux est de prendre une dolorean volante pour remonter le temps et ainsi surveiller ce qu'il s'est passé pour connaître le fin mot de l'histoire.
Sinon, une probabilité supplémentaire parmis une multitude : y a peut être un tech qui a suffit chez kimsufi par faire une insuffisance ?

Le mot de passe volé en ssh n'est très probablement pas la piste la plus sérieuse !
Et puis à mon avis, hacker un forum qui ne parle pas de secret d'états/entreprises n'a pas grand intérêts sauf si l'on considère que son blog de jardinnage est le centre du monde.

@cacoua , les hackers se fichent des données, ils veulent utiliser le serveur pour relayer des spam/virus ...
Si ovh repère un serveur qui bombarde, ils le passent en mode rescue, le serveur est coupé mais ton disque reste accessible.
Avant de réinstaller, on doit essayer de trouver la faille en examinant tous les logs

@BaBeuloula, as-tu pensé à regarder les logs avant de réinstaller ?
avais-tu des appli web genre wordpress, joomla ... qui n'étaient pas à jour ?

Attention, au troisième hack, ovh rompt le contrat

@Huggy,
il faut savoir que l'un n'empêche pas l'autre car tous les hacker ne se fichent pas de récupérer des données tout comme utiliser un serveur uniquement à des fins de spamming etc...
Pour ma part, j'exprimais le point de vue du vol de donnée puisque dans le sujet, il est en parti question de vol de mdp. Et puis le serveur étant devenu inopérable à la suite du hack, pourquoi un hacker faisant du spam mettrais hs un serveur qu'il piratrais ? T'es tu posé la question ?

@caoua : Merci de ton troll avec ta delorean (et en passant c'est delorean pas dolorean).

@Huggy : Le problème c'est que comme le serveur était totalement HS, impossible de se connecter en SSH, ou par n'importe qu'elle autre moyen, je n'ai pas pu accéder aux logs. Ce qui est très facheux.
Non je n'ai pas d'open source car là oui pour le coup c'est vraiment une porte d'entrée, vu que ces open-sources sont aussi troués que de l'emmental.
Comme tu le dis, le fait de pirater un serveur n'est pas juste pour mettre en pièce mon blog ou autre, mais juste pour se prouver un truc. C'est comme une personne qui se dit qu'il ne pourra jamais sauter à l'elastique et que finalement il le fait, c'est juste pour le kiff.

Après je posais cette question car je ne voyais que ça vu que je me suis connecté à mon serveur en SSH à 10h30 (environ) et quelques minutes après, le serveur était totalement down. Et la seule manip que j'ai fais été de rajouter un ; à la fin d'un script JS. Donc si maintenant un fichier JS arrive à m'executer une commande du type rm -rf / je ne comprends plus rien

@BaBeuloula,
Merci pour ta correction orthographique de la voiture, mais au sujet de mon post, il ne faut pas penser qu'il s'agit de troll. Il ne faut pas confondre l'humour et le troll.
En tous les cas, de nos jours, c'est fou comme on voit des trolls partout ! Ce doit être la mode probablement !

@Babeuloula comme je l'ai dit plus haut, en mode rescue on te donne un mot de passe pour accèder à un système qui n'est pas le tien mais qui te permet de monter tes disques pour y avoir accès en lecture ou écriture.
C'est très pratique par exemple si tu as mis une règle iptable qui bloque ssh.
Dans ton cas, tu aurais pu avoir accès à ta partition /var et lire tes logs.

ah je nr savais pas, ca me servira pour les prochaines fois