• # figurez vous que..

    Posté par (Mastodon) . En réponse au sondage Quel port ouvert pour le SSH ?. Évalué à 4.

    hello

    j'ai pendant quelques semaines hésité à proposer comme "journal" le fruit d'une bétise, d'un moment d'égarement ou de baisse d'attention et de prudence.

    Donc j'ai hésité quelques semaines à en faire un petit "journal" ici meme, cependant n'étant pas suffisamment "assidu" à l'exercice libriste je me suis abstenu, ayant interprété que le journal sert à l'apprentissage/pédagogie, là où mon avis sur le forum reste l'assistance, l'aide, l'accompagnement. Ce pourquoi c'est plutot sur le forum que j'ai voulu évoquer le sujet, important, mais qui reflète plutot d'un manque de bon sens ponctuel (ou d'un espoir d'utopie?) que d'une véritable leçon. Peut être des deux.

    Préambule:
    "As tu fait une sauvegarde?" <= c'est de la même augure, quand on a perdu un support de données (ou accès à un service cloud).
    J'ai été donc concerné par cette aventure quelques mois après avoir testé un OS libre non linux, et m'être viandé en lors d'une réinstallation, pensant que l'équivalent des "partitions" telles quelles (seulement réassignées à leur point de montage) allaient être épargnées. Et je m'étais planté bien comme il faut, tout ayant été effacé. J'ai perdu deux mois de boulot, je m'en suis (presque) partiellement remis (je sauvegardais les trucs importants/légers régulièrement).

    Ici, ma toute petite mésaventure est beaucoup moins grave, quoique se résume à circuler en vélo sans casque (ou surtout sans freins), en voiture sans phares... il y a quelques semaines, plusieurs mois après le premier incident résumé au § précédent, je me suis donc trouvé dans la nécessité de transférer des fichiers au travers de l'internet, via deux ordinateurs distants. Le plus simple pour moi fut d'ouvrir les ports de la box d'un de ces deux ordinateurs, ce qui me prit un petit premier temps : le second ordinateur était derrière un accès cellulaire, donc pas de redirection de port.

    Et c'est ici que le rapport avec la choucroute intervient : j'ai fait le transfert en scp. Mais bien comme un bleu hein, en me disant que cela prendrait peut etre quelques heures tout au plus ; port 22 bien comme il faut. Sauf que j'avais un peu zappé que quelques semaines avant ce transfert, j'utilisais encore dans le cadre d'une expérimentation un utilisateur test:test (moquez vous, sur pebkac certains croisaient admin:admin en AD); c'est bien mal voyez vous, sauf à titre perso sur réseau local protégé, bien que pas très prudent quand meme. Un peu comme laisser votre balcon grand ouvert l'été au huitième étage : rare seront les spiderman prêts à passer à l'action. Ben là, avec la redirection de port effective pendant quelques jours, Peter Parker s'est bien introduit dans mon ordi. Je l'ai pas détecté tout de suite, étant à distance sur l'appareil.

    Comment? tout simplement parce que l'ordi distant (via logiciel de controle) semblait lent, mais j'ai tout mis sur le dos de la petite 3/4G locale. Donc j'ai laissé faire quelques jours, n'arrivant plus à faire ce que je voulais "en face", j'ai fini par abdiquer, qu'une question de jours avant d'être de retour devant physiquement. Et c'est là que j'ai découvert l'impact de laisser un 22 ouvert sur les ternets avec un utilisateur "facile" à deviner. Je savais qu'il y a dix ans c'était très risqué mais je pensais pas que moi, petit naïf (ou flemmard), je serais dans les statistiques ciblées de ces gentils hackers, qui parient sur ma mégarde dans le sens où cela pourrait leur servir. J'ai donc fait un "top" pour comprendre, pourquoi the feck sur (maintenant) le meme réseau local que lui, il tourne toujours comme un escargot?
    .dhpcd
    La réponse tient en cinq lettres, précédées d'un point. Un processus trompeur, ogrivore, qui explose à platte coutures la consommation cpu, selon top.
    Je me dis que c'est vachement bizarre pour un process réseau, notamment à l'acronyme ébréché, je connaissais les guerres de chapelles du libre comme partout mais pas au point de nommer les process de services un vendredi soir après soixante douze heures d'uptime en codant.. Soit, je fais un tour rapide sur le net, je dégaine mon firefox et m'aperçois assez rapidement que jme suis fait bouffer, et que c'est pas du tout le réseau, mais bien l'ordi lui meme qui tourne au ralenti : ce petit malware ne sert pas à chiffrer mes données (bien que c'est une install fraiche de quelques semaines, sans données importantes dessus) mais à miner du BTC pour un autre !

    De fil en aiguille, ma petite enquête, au travers de différents forums, m'apportera une nouvelle conscience sur le port ssh, une nouvelle admiration pour ces pirates, qui m'ont surpris une fois de plus (et m'ont pas bouffé mes données), et une vision sous un autre angle d'un programme asiatique visant à faire du pognon par tous les moyens.. quels as! on croirait les cryptolockers qui bossent pour l'argent, ca paye mieux que les millenials qui se montrent en photo. Tout ca pour dire qu'au final ouvrir le port ssh sans précautions, pour avoir refait le test par la suite sur ce meme LMDE5 (réinstallé plusieurs fois depuis), les attaques sont bien réelles, surtout permanentes.

    Après coup, j'avais meme envisagé observer dans le log ssh (en faisant une sorte de pot de miel-pops "honeypot") pour relever les différentes IP et les transmettre à qui de droit (un spécialiste cyber aurait pu me renseigner), cependant leur grande quantité d'ip différentes et d'attaques à la minute font qu'il serait impossible de sourcer l'attaquant initial, passant sans doute par moult vpn et serveurs à l'étranger sous de fausses identités... ma dernière idée expérimentée fut de tenter la même sous l'os que j'estime le plus sécurisé (et pur) qu'est openbsd, je n'en ai pas trouvé le temps, bien que je doute d'un succès, à savoir si l'échec viendrait d'une incohérence d'intrusion (niveau login/pass) ou d'une incompatibilité du malware sous le diodon. Ni haiku d'ailleurs. Pendant une nuit, j'ai envisagé à tester sous 9front, mais j'en ai pas la maitrise :O

    désolé de m'être égaré..
    merci d'avoir lu, à vous les studios

    lien complémentaire :
    https://askubuntu.com/questions/1100467/re-what-is-dhpcd-command-and-how-to-disable-it