Quand OVH t'envois ce genre de message c'est parce qu'ils on découvert une activité suspecte sur la bande passante, tu devrais avoir un extrait des logs dans le mail qui aide à l'investigation.
Voila la notification que j'ai reçu d'ovh : http://pastebin.com/PyzWezyE (les "xxxxxx" représentent l'ip du serveur).
J'avoue ne pas trop comprendre de quoi il s'agit. Est-ce des tentatives de login ssh ?
Je suggère plutôt une mauvaise configuration de postfix qui serait en open relay permettant à n'importe qui d'envoyer massivement du spam via ton serveur.
Non j'ai fait attention à ça. Le smtp est interdit, seul le smtp par TLS avec authentification est autorisé. J'ai regardé les logs du mail et je n'ai rien détecté d'anormal.
Quand à ton scénario d'un email intercepté et d'une déduction du couple login / mot de passe par l’attaquant à partir du contenu de ce mail, mise à part une attaque ciblée spécifiquement contre toi, j'en doute franchement.
C'est vrai que ce scénario fait un peu théorie du complot. Mais ce qui me fait pencher sur ce scénario c'est cela : http://pastebin.com/RXzgKmD0 (extrait du /var/log/auth).
J'héberge sur ce serveur mon petit neveu Ernest. Étant donné son âge, il est impossible qu'il se soit loggé par ssh à 4h du matin. Par contre, le robot semblait connaître le mot de passe à l'avance puisqu'il a réussi à se connecter dés la première tentative.
Bien sûr, ce ne sont que des suppositions et je ne suis sûr de rien.
[^] # Re: Pas forcément une intrusion
Posté par omc . En réponse au message Piratage de mon serveur et détection d'intrusion. Évalué à 1. Dernière modification le 08 novembre 2014 à 09:27.
Non en effet, je ne suis sûr de rien.
Voila la notification que j'ai reçu d'ovh : http://pastebin.com/PyzWezyE (les "xxxxxx" représentent l'ip du serveur).
J'avoue ne pas trop comprendre de quoi il s'agit. Est-ce des tentatives de login ssh ?
Non j'ai fait attention à ça. Le smtp est interdit, seul le smtp par TLS avec authentification est autorisé. J'ai regardé les logs du mail et je n'ai rien détecté d'anormal.
C'est vrai que ce scénario fait un peu théorie du complot. Mais ce qui me fait pencher sur ce scénario c'est cela : http://pastebin.com/RXzgKmD0 (extrait du /var/log/auth).
J'héberge sur ce serveur mon petit neveu Ernest. Étant donné son âge, il est impossible qu'il se soit loggé par ssh à 4h du matin. Par contre, le robot semblait connaître le mot de passe à l'avance puisqu'il a réussi à se connecter dés la première tentative.
Bien sûr, ce ne sont que des suppositions et je ne suis sûr de rien.
PS : Merci pour le conseil fail2ban !