matteli a écrit 287 commentaires

et tu fais comment tes mises à jour sans login root (avec without-password) ?

trop tard, je réinstalle.

oui mais j'ai une adresse ipv4 qui ne sert qu'à l'hôte.
Pour les containers, il passe par l'hôte mais avec une autre adresse failover.

Hors OVH a détecté le problème sur la mac associée à la 1ère adresse.
Les adresses failover utilisent une mac virtuelle qui est autre que la mac de mon hôte.

Mais ce n'est pas le cas des ipv6… Tu as donc peut être raison. L'ipv6 attendra.

Les 2 :
- réseau privé en ipv4
- accessible directement en ipv6

C'était la mac de l'hôte qui était porteuse du souci.

Je réinstalle…

Ce qui est frustrant, c'est de ne pas savoir par où est entré l'assaillant.

Vu qu'il semblerait que son but était de se servir de mon serveur pour une attaque DDOS contre une autre cible et qu’apparemment il se foutait pas mal de mes données, j'imagine que c'est un bot qui a trouvé la faille.
Ce qui m'étonne c'est que mon hôte est un proxmox à jour et à part la faiblesse du mot de passe à 12 caractères laissé possible par erreur, je ne vois ce qu'il a pu exploiter pour entrer.

Ou alors, il est entré par un de mes containers (j'en avais certains pas à jour du tout) et de là, il a réussi à attendre l'hôte. Il semblerait que ce ne soit pas si difficile en LXC.

Cette dernière hypothèse vous parait crédible ?

Bon la réponse d'OVH si ça peut servir.
Évidement, le backup storage reste en l'état. Il n'y a qu'à refaire les accès sur l'hôte.

oui c'est root

Autre chose, je fais l'hypothèse que c'est le système hôte qui est compromis (les adresses ipv6 venait de là car c'est cette MAC qui a été identifié) et que mes containers sont sains.

Du coup je réinstalle proxmox et je restaure mes containers à partir de sauvegardes.

Cela vous parait raisonnable ?

Pour être sur de pas faire de conneries.

Si je réinstalle l'OS sur un serveur dédié d'OVH, le backup storage n'est pas réinitialisé.

Je vois pas bien à quoi cela servirait autrement mais n'ayant jamais fait la manip.

A l'occasion, je vous demanderais quelques conseils demain si certains passent par là.

En effet, j'arrête mes recherches.

J'ai bien trouvé un point faible.
Pour insérer ma clé de connexion ssh, j'avais provisoirement autorisé un accès par mot de passe et visiblement je n'ai jamais retiré le provisoire.
Mot de passe de 12 caractères quand même.

Est-ce que cela été la faille ?

Bref, on efface tout et on recommence. Il faut que ce soit fonctionnel pour jeudi matin 8h. Je suis large…

Merci pour les conseils.

La rupture de contrat, c'est si l'utilisation de 15000 ip devait se reproduire (peut être pas au prochain coup).

Je tente une hypothèse :
- un attaquant arrive à accéder au serveur il y a quelques mois (du coup pas de trace dans les logs qui ont été effacé)
- il y dépose un petit script pour créer des interfaces réseaux et faire son boulot
- OVH s'en rend compte et bloque mon serveur

Est-ce que je ne devrais pas retrouver quelques traces ?

Juste sur la partie réduite de l'offre gratuite de GitHub.

Qu'est ce qui a disparu ?
Je n'utilise pas d'intégration continue. C'était plus complet avant ?
On a gagné des repos privés gratuits. Il y en avait avant le rachat ?

C'est une vraie question.

Oui j'avais mal regardé ton exemple mais il y avait bien une erreur et j'ai bien intégré ta modification.

C'est la première fois que j'ai une contribution extérieure sur un de mes codes.
Ça me fait un bon exercice pour l'utilisation de git github.

Donc même si ça reste un petit programme, je tâtonne un peu et j'essaye de faire ça correctement.

C'est quoi les logiciels Autodesk et Adobe ?

Et, tu me fais un petit pull request ?

ok je n'avais pas compris ce que c'était.
Le clavier usb est branché sur un dongle lui même branché sur un port usb de le PC.

Dans ce cas, en effet, l'OS n'y changera rien.

Les questions étaient rhétoriques.
Sous linux, la promesse de Wayland est justement de ne pas permettre à un programme de "voir l'écran" et "sniffer le clavier" d'un autre programme ce qui devrait rendre inopérant les keylogger.

ah oui en effet le bon vieux sniffeur de clavier.

Il n'y a pas des OS modernes avec une pile graphique moderne qui rendent inopérant par design ce genre de technique ?

A quand l'obligation de consulter les sites de banques sur ce genre d'OS ?

Je me souviens avoir gueulé sur le mail de contact que l'on ne pouvait plus ouvrir des rib en pdf sur linux car il fallait le logiciel officiel d'adobe.

Et ben, quelques mois après, le problème était résolu. J'imagine que je n'étais pas le seul à avoir gueulé mais le résultat était là.

Par contre, si quelqu'un peut me dire en quoi il est plus sécurisé de rentrer un code 8 chiffres avec un clavier virtuel par rapport à un mot de passe classique pour accéder à ses comptes, ça m'intéresse…

J'ai eu aussi des problèmes. J'ai effacé le profil et c'est reparti.

ah pourtant, il me semble faire le taf même avec la nouvelle législation. non ?

A la banque popu, on utilise un petit lecteur de carte bancaire qui te permet de générer des codes à usage unique.

Pas besoin de smartphone. A noter que si tu as perdu ce lecteur, il est possible de passer par smartphone.

Bien vu !

5,49 en enlevant le cas des 4 couleurs matchés au 1er coup.
0,03 en moins mais encore une fois la convergence de la deuxième décimale n'est pas totalement obtenue.

Merci à toi