Piratage password d'accès DNS dynamique
Piratage password d'accès DNS dynamique
Bonjour,
Sur un site distant (70kms), j'ai un serveur Linux/Ubuntu connecté à internet par une ligne ADSL/Orange : donc IP dynamique. J'ai créé un compte sur le site No-IP (paramètres :login/password/url). Le modem/routeur ne permettant pas le choix de No-IP comme DNS, j'ai installé le client No-IP au niveau de Ubuntu.
Une fois le client configuré et éxécuté, j'accède à mon serveur pendant 6 heures, puis un intrus ayant visiblement récupéré le mot de passe vient modifier périodiquement l'adresse IP du serveur distant sur le serveur DNS No-IP : ceci rendant mon serveur inaccessible (et son administration par ssh impossible). Une description détaillée dans le PDF ci-joint.
Quelles pistes explorer?
Sur un site distant (70kms), j'ai un serveur Linux/Ubuntu connecté à internet par une ligne ADSL/Orange : donc IP dynamique. J'ai créé un compte sur le site No-IP (paramètres :login/password/url). Le modem/routeur ne permettant pas le choix de No-IP comme DNS, j'ai installé le client No-IP au niveau de Ubuntu.
Une fois le client configuré et éxécuté, j'accède à mon serveur pendant 6 heures, puis un intrus ayant visiblement récupéré le mot de passe vient modifier périodiquement l'adresse IP du serveur distant sur le serveur DNS No-IP : ceci rendant mon serveur inaccessible (et son administration par ssh impossible). Une description détaillée dans le PDF ci-joint.
Quelles pistes explorer?
- Pièces jointes
-
- password.tar
- (40 Kio) Téléchargé 184 fois
Dernière modification par hapalemur le 18 mars 2020, 20:23, modifié 1 fois.
- Thomas
- Administrateur
- Messages : 446
- Inscription : 08 janvier 2017, 07:14
- Localisation : Anizy-le-Grand
- Contact :
Re: Piratage password d'accès DNS dynamique
Salut,
Question bête : tu as pensé à changer ton mot de passe ?
Question bête : tu as pensé à changer ton mot de passe ?
Thomas Bourdon
https://www.bee-home.fr/
https://www.bee-home.fr/
Re: Piratage password d'accès DNS dynamique
Hello,
Sur le site No-IP, il y a un compteur qui indique le nombre de fois ou l'adresse IP a été mise à jour :
Je me déplace sur site (70kms) pour configurer le client No-IP avec le nouveau MdP : donc le serveur No-IP est remis à jour avec l'adresse réelle de mon serveur distant (compteur +=1). Celà me permet l'accès à mon serveur distant pendant environ 6 heures, puis l'intrus est "capable de reprendre la main" avec le nouveau MdP pour venir surcharger l'adresse sur le serveur DNS No-IP.
Comme je l'ai indiqué dans le fichier joint, il me faudrait regarder dans la config du client, comment est sauvegardé le MdP.
Sur le site No-IP, il y a un compteur qui indique le nombre de fois ou l'adresse IP a été mise à jour :
Je mets un nouveau mot de passe sur le serveur DNS No-IP : le compteur n'évolue plus (donc l'intrus n'a plus accès).145 hostname updates
in the past 30 days
Je me déplace sur site (70kms) pour configurer le client No-IP avec le nouveau MdP : donc le serveur No-IP est remis à jour avec l'adresse réelle de mon serveur distant (compteur +=1). Celà me permet l'accès à mon serveur distant pendant environ 6 heures, puis l'intrus est "capable de reprendre la main" avec le nouveau MdP pour venir surcharger l'adresse sur le serveur DNS No-IP.
Comme je l'ai indiqué dans le fichier joint, il me faudrait regarder dans la config du client, comment est sauvegardé le MdP.
Re: Piratage password d'accès DNS dynamique
Bsr,
Les choses se compliquent : je suis allé sur site pour récupérer le matériel, et je l'ai mis en service à mon domicile. Et là, surprise, il n'y a plus le changement permanent de l'adresse IP sur le serveur No-ip. Donc, dans ce cas, impossible de faire une analyse détaillée du problème.
La seule chose qui change dans la connexion de l'équipement c'est l'interface ADSL du FAI :
Site distant :
Je scrute l'état du système :
Je fais l'extractiion de l'adresse IP et je la compare avec l'adresse précédente contenue dans un fichier de sauvegarde.
Si l'adresse est différente, j'actualise le fichier avec la nouvelle adresse que j'envoie avec mutt sur ma boite mail.
Edit : le souci, c'est que la commande ci-dessus /usr/local/bin/noip2 -S qui me donne le status, je ne peux pas la rerdiriger vers un fichier ou l'utiliser dans un pipe. J'ai un affichage systématique dans la console; peut-être est ce du à la redirection ssh ??
Edit2 : pour l'edit précédent, c'est résolu. En allant voir le code du client noip2.c, on s'aperçoit que toutes les sorties sont redirigées vers stderr.
Les choses se compliquent : je suis allé sur site pour récupérer le matériel, et je l'ai mis en service à mon domicile. Et là, surprise, il n'y a plus le changement permanent de l'adresse IP sur le serveur No-ip. Donc, dans ce cas, impossible de faire une analyse détaillée du problème.
La seule chose qui change dans la connexion de l'équipement c'est l'interface ADSL du FAI :
Site distant :
- Orange/IP dynamique
Routeur(Encapsulation) : RFC 2516 PPPoE
- Bouygues/IP Statique
Routeur(Encapsulation) : RFC 1483 Bridged
Je scrute l'état du système :
Code : Tout sélectionner
root@ubuntu:/home/hubert# /usr/local/bin/noip2 -S
1 noip2 process active.
Process 1060, started as noip2, (version 2.1.9)
Using configuration from /usr/local/etc/no-ip2.conf
Last IP Address set 176.134.156.45
Account xxxxxx@orange.fr
configured for:
host xxxx.xxxxx.org
Updating every 30 minutes via /dev/eth0 with NAT enabled.
Si l'adresse est différente, j'actualise le fichier avec la nouvelle adresse que j'envoie avec mutt sur ma boite mail.
Edit : le souci, c'est que la commande ci-dessus /usr/local/bin/noip2 -S qui me donne le status, je ne peux pas la rerdiriger vers un fichier ou l'utiliser dans un pipe. J'ai un affichage systématique dans la console; peut-être est ce du à la redirection ssh ??
Edit2 : pour l'edit précédent, c'est résolu. En allant voir le code du client noip2.c, on s'aperçoit que toutes les sorties sont redirigées vers stderr.
-
- Messages : 135
- Inscription : 29 janvier 2017, 21:07
Re: Piratage password d'accès DNS dynamique
hors sujet, mais bon...
J'ai un VPS Linode à Stuttgart avec dedans un serveur Slackware: un excellent débit, pas de souci de sécurité ni d'intrusion (accès SSH non root avec clef SSL RSA), pare-feu avec quelques règles iptables, https avec certificat letsencrypt) . Il contient pour l'instant le site https://slint.fr dont un blog et un wiki, un serveur de courriel, un serveur murmur, 8,40 $ par mois TTC y compris une sauvegarde quotidienne. J'en suis pleinement satisfait. Il est en ligne 24/7 depuis 74 jours (je l'avais volontairement redémarré), support réactif et compétent, 25G de stockage seulement, mais j'en ai encore 19 de libre (image Slackware 14.2 fournie par Linode avec juste les paquets qui vont bien pour un serveur, j'en ai ajouté/remplacé quelques-uns).
Bonne journée,
Didier
J'ai un VPS Linode à Stuttgart avec dedans un serveur Slackware: un excellent débit, pas de souci de sécurité ni d'intrusion (accès SSH non root avec clef SSL RSA), pare-feu avec quelques règles iptables, https avec certificat letsencrypt) . Il contient pour l'instant le site https://slint.fr dont un blog et un wiki, un serveur de courriel, un serveur murmur, 8,40 $ par mois TTC y compris une sauvegarde quotidienne. J'en suis pleinement satisfait. Il est en ligne 24/7 depuis 74 jours (je l'avais volontairement redémarré), support réactif et compétent, 25G de stockage seulement, mais j'en ai encore 19 de libre (image Slackware 14.2 fournie par Linode avec juste les paquets qui vont bien pour un serveur, j'en ai ajouté/remplacé quelques-uns).
Bonne journée,
Didier
Re: Piratage password d'accès DNS dynamique
Bsr,
Merci pour l'illustration; mais j'ai une solution de "raccro", c'est de m'envoyer un mail (avec mutt) chaque fois que l'adresse ip change.
Pour ce faire j'ai un petit fichier actualisé toutes les heures et contenant l'ancienne et la nouvelle adtresse:
adresses
Et la commande d'envoi de mail à la place de "echo" $1 serait : :
Merci pour l'illustration; mais j'ai une solution de "raccro", c'est de m'envoyer un mail (avec mutt) chaque fois que l'adresse ip change.
Pour ce faire j'ai un petit fichier actualisé toutes les heures et contenant l'ancienne et la nouvelle adtresse:
adresses
Et avec un script awk, je comptais m'envoyer le mail, mas l'appel à la fonction system n'a pas l'air de fonctionner.125.213.27.10:129.230.14.175
Je n'obtiens rien, alors que :hubert@ubuntu:~$ awk -F":" '{if($1!=$2) {system ("echo" "$1")}{print $2":"}}' testaddr > ip
Le fichier ip est correctement modifié avec $2hubert@ubuntu:~$ awk -F":" '{if($1!=$2) {system ("echo" $1)}{print $2":"}}' testaddr > ip
/bin/sh: 1: echo125.213.27.10: not found
Et la commande d'envoi de mail à la place de "echo" $1 serait : :
ou :hubert@ubuntu:~$ mutt -s "Changement IP" ***********@wanadoo.fr < ip
hubert@ubuntu:~$ mutt -s "Changement IP" **********@wanadoo.fr < $2
Re: Piratage password d'accès DNS dynamique
Bsr,
N'ayant pas résolu l'appel system à partir de awk, j'ai déporté l'envoi de mail dans mon script shell; J'ai donc avant et après éxécution du script un fichier avec l'adresse IP:
ipaddress :
et la 1ère ligne du script me donne l'état du client no-ip :
Et le script avec l'envoi de mail en dehors de awk :
Il ne reste plus qu'à configurer cron pour que le script s'exécute toute les heures.
Tout celà fonctionne très bien : je suis averti par mail à chaquue changement d'IP; je pourrai ainsi conserver un accès ssh en toute circonstance.
Ne reste plus qu'à attendre la levée des interdictions de déplacement (suite coronavirus) pour aller réinstaller l'équipement sur site.
N'ayant pas résolu l'appel system à partir de awk, j'ai déporté l'envoi de mail dans mon script shell; J'ai donc avant et après éxécution du script un fichier avec l'adresse IP:
ipaddress :
Code : Tout sélectionner
158.32.215.116
Code : Tout sélectionner
hubert@ubuntu:~$ cat status
Configuration data '/usr/local/etc/no-ip2.conf' is read-only!
No updates can be made.
1 noip2 process active.
Process 786, started as noip2, (version 2.1.9)
Using configuration from /usr/local/etc/no-ip2.conf
Last IP Address set 146.128.126.38
Account f********@orange.fr
configured for:
host f***.****.org
Updating every 30 minutes via /dev/eth0 with NAT enabled.
Code : Tout sélectionner
#!/bin/bash
/usr/local/bin/noip2 -S 2> status
sed -n '7p' status > ftemp
sed -i 's/Last IP Address set //g' ftemp
cat ftemp >> ipaddress
tr -d '\n' < ipaddress > ftemp
IFS=\: read ip1 ip2 < ftemp
if [ $ip1 != $ip2 ]; then
echo $ip2 | mutt -s "Changement IP" ***********@free.fr;
fi
# on met la dernière adresse dans le fichier
awk -F":" '{{print $2":"}}' ftemp > ipaddress
sed -i 2d ipaddress
Tout celà fonctionne très bien : je suis averti par mail à chaquue changement d'IP; je pourrai ainsi conserver un accès ssh en toute circonstance.
Ne reste plus qu'à attendre la levée des interdictions de déplacement (suite coronavirus) pour aller réinstaller l'équipement sur site.