Piratage password d'accès DNS dynamique

[hapalemur]

Bonjour,
Sur un site distant (70kms), j'ai un serveur Linux/Ubuntu connecté à internet par une ligne ADSL/Orange : donc IP dynamique. J'ai créé un compte sur le site No-IP (paramètres :login/password/url). Le modem/routeur ne permettant pas le choix de No-IP comme DNS, j'ai installé le client No-IP au niveau de Ubuntu.
Une fois le client configuré et éxécuté, j'accède à mon serveur pendant 6 heures, puis un intrus ayant visiblement récupéré le mot de passe vient modifier périodiquement l'adresse IP du serveur distant sur le serveur DNS No-IP : ceci rendant mon serveur inaccessible (et son administration par ssh impossible). Une description détaillée dans le PDF ci-joint.
Quelles pistes explorer?

[Thomas]

Salut,
Question bête : tu as pensé à changer ton mot de passe ?

[hapalemur]

Hello,
Sur le site No-IP, il y a un compteur qui indique le nombre de fois ou l'adresse IP a été mise à jour :

145 hostname updates
in the past 30 days

Je mets un nouveau mot de passe sur le serveur DNS No-IP : le compteur n'évolue plus (donc l'intrus n'a plus accès).
Je me déplace sur site (70kms) pour configurer le client No-IP avec le nouveau MdP : donc le serveur No-IP est remis à jour avec l'adresse réelle de mon serveur distant (compteur +=1). Celà me permet l'accès à mon serveur distant pendant environ 6 heures, puis l'intrus est "capable de reprendre la main" avec le nouveau MdP pour venir surcharger l'adresse sur le serveur DNS No-IP.
Comme je l'ai indiqué dans le fichier joint, il me faudrait regarder dans la config du client, comment est sauvegardé le MdP.

[hapalemur]

Bsr,
Les choses se compliquent : je suis allé sur site pour récupérer le matériel, et je l'ai mis en service à mon domicile. Et là, surprise, il n'y a plus le changement permanent de l'adresse IP sur le serveur No-ip. Donc, dans ce cas, impossible de faire une analyse détaillée du problème.
La seule chose qui change dans la connexion de l'équipement c'est l'interface ADSL du FAI :

Site distant :

• Orange/IP dynamique
  Routeur(Encapsulation) : RFC 2516 PPPoE

Domicile :

• Bouygues/IP Statique
  Routeur(Encapsulation) : RFC 1483 Bridged

Afin de pouvoir reprendre la main sur l'équipement (ssh) dans le cas d'une connexion rompue à cause d'un changement d'IP intrusif, je vais me faire un petit script éxécutable toutes les heures afin de récupérer par mail la véritable adresse IP.
Je scrute l'état du système :

Code : Tout sélectionner

root@ubuntu:/home/hubert# /usr/local/bin/noip2 -S
1 noip2 process active.

Process 1060, started as noip2, (version 2.1.9)
Using configuration from /usr/local/etc/no-ip2.conf
Last IP Address set 176.134.156.45
Account xxxxxx@orange.fr
configured for:
	host  xxxx.xxxxx.org
Updating every 30 minutes via /dev/eth0 with NAT enabled.

Je fais l'extractiion de l'adresse IP et je la compare avec l'adresse précédente contenue dans un fichier de sauvegarde.
Si l'adresse est différente, j'actualise le fichier avec la nouvelle adresse que j'envoie avec mutt sur ma boite mail.

Edit : le souci, c'est que la commande ci-dessus /usr/local/bin/noip2 -S qui me donne le status, je ne peux pas la rerdiriger vers un fichier ou l'utiliser dans un pipe. J'ai un affichage systématique dans la console; peut-être est ce du à la redirection ssh ??
Edit2 : pour l'edit précédent, c'est résolu. En allant voir le code du client noip2.c, on s'aperçoit que toutes les sorties sont redirigées vers stderr.

[Didier Spaier]

hors sujet, mais bon...

J'ai un VPS Linode à Stuttgart avec dedans un serveur Slackware: un excellent débit, pas de souci de sécurité ni d'intrusion (accès SSH non root avec clef SSL RSA), pare-feu avec quelques règles iptables, https avec certificat letsencrypt) . Il contient pour l'instant le site https://slint.fr dont un blog et un wiki, un serveur de courriel, un serveur murmur, 8,40 $ par mois TTC y compris une sauvegarde quotidienne. J'en suis pleinement satisfait. Il est en ligne 24/7 depuis 74 jours (je l'avais volontairement redémarré), support réactif et compétent, 25G de stockage seulement, mais j'en ai encore 19 de libre (image Slackware 14.2 fournie par Linode avec juste les paquets qui vont bien pour un serveur, j'en ai ajouté/remplacé quelques-uns).

Bonne journée,
Didier

[hapalemur]

Bsr,
Merci pour l'illustration; mais j'ai une solution de "raccro", c'est de m'envoyer un mail (avec mutt) chaque fois que l'adresse ip change.
Pour ce faire j'ai un petit fichier actualisé toutes les heures et contenant l'ancienne et la nouvelle adtresse:
adresses

125.213.27.10:129.230.14.175

Et avec un script awk, je comptais m'envoyer le mail, mas l'appel à la fonction system n'a pas l'air de fonctionner.

hubert@ubuntu:~$ awk -F":" '{if($1!=$2) {system ("echo" "$1")}{print $2":"}}' testaddr > ip

Je n'obtiens rien, alors que :

hubert@ubuntu:~$ awk -F":" '{if($1!=$2) {system ("echo" $1)}{print $2":"}}' testaddr > ip
/bin/sh: 1: echo125.213.27.10: not found

Le fichier ip est correctement modifié avec $2
Et la commande d'envoi de mail à la place de "echo" $1 serait : :

hubert@ubuntu:~$ mutt -s "Changement IP" ***********@wanadoo.fr < ip

ou :

hubert@ubuntu:~$ mutt -s "Changement IP" **********@wanadoo.fr < $2

[hapalemur]

Bsr,
N'ayant pas résolu l'appel system à partir de awk, j'ai déporté l'envoi de mail dans mon script shell; J'ai donc avant et après éxécution du script un fichier avec l'adresse IP:
ipaddress :

Code : Tout sélectionner

158.32.215.116

et la 1ère ligne du script me donne l'état du client no-ip :

Code : Tout sélectionner

hubert@ubuntu:~$ cat status
Configuration data '/usr/local/etc/no-ip2.conf' is read-only!
No updates can be made.
1 noip2 process active.
 
Process 786, started as noip2, (version 2.1.9)
Using configuration from /usr/local/etc/no-ip2.conf
Last IP Address set 146.128.126.38
Account f********@orange.fr
configured for:
	host  f***.****.org
Updating every 30 minutes via /dev/eth0 with NAT enabled.

Et le script avec l'envoi de mail en dehors de awk :

Code : Tout sélectionner

#!/bin/bash
/usr/local/bin/noip2 -S 2> status
sed -n '7p' status > ftemp
sed -i 's/Last IP Address set //g' ftemp
cat ftemp >> ipaddress
tr -d '\n' < ipaddress > ftemp
 
IFS=\: read ip1 ip2 < ftemp
if [ $ip1 != $ip2 ]; then
  echo $ip2 | mutt -s "Changement IP" ***********@free.fr; 
fi
# on met la dernière adresse dans le fichier
awk -F":" '{{print $2":"}}' ftemp > ipaddress
sed -i 2d ipaddress

Il ne reste plus qu'à configurer cron pour que le script s'exécute toute les heures.
Tout celà fonctionne très bien : je suis averti par mail à chaquue changement d'IP; je pourrai ainsi conserver un accès ssh en toute circonstance.
Ne reste plus qu'à attendre la levée des interdictions de déplacement (suite coronavirus) pour aller réinstaller l'équipement sur site.