[Ubuntu-QC] Visionneur de bureau distants et sécurité

Gilbert Dion gilbertdion at gmail.com
Sam 4 Juin 19:25:12 UTC 2011 

Le 4 juin 2011 14:36, Michael Faille <michael.faille at gmail.com> a écrit :
> Dans /var/log/auth.log tu devrais avoir des indices.
>
> Pour y accéder je te conseille d'ouvrir un terminal et tapper la commande:
> less /var/log/auth.log
>
> Une fois less exécuté, pour fusionner les informations les plus récentes ,
> fait la combinaison :
> shift + G (g étant une majuscule)
>
> Je te laisse tenté de découvrir  ce fichier.
>
Bon, j'ai beau regarder ça, c'est un peu comme si je lisais le bottin
téléphonique de Montréal pour retrouver le nom d'une personne à partir
de son numéro de téléphone. Néanmoins, voici quelques lignes (il y a
deux FAILED su for root):

Jun  4 10:39:12 gilbert-netbook su[6180]: pam_unix(su:auth):
authentication failure; logname=gilbert uid=1000 euid=0 tty=/dev/pts/1
ruser=gilbert rhost=  user=root
Jun  4 10:39:14 gilbert-netbook su[6180]: pam_authenticate:
Authentication failure
Jun  4 10:39:14 gilbert-netbook su[6180]: FAILED su for root by gilbert
Jun  4 10:39:14 gilbert-netbook su[6180]: - /dev/pts/1 gilbert:root
Jun  4 10:39:20 gilbert-netbook su[6182]: pam_unix(su:auth):
authentication failure; logname=gilbert uid=1000 euid=0 tty=/dev/pts/1
ruser=gilbert rhost=  user=root
Jun  4 10:39:22 gilbert-netbook su[6182]: pam_authenticate:
Authentication failure
Jun  4 10:39:22 gilbert-netbook su[6182]: FAILED su for root by gilbert
Jun  4 10:39:22 gilbert-netbook su[6182]: - /dev/pts/1 gilbert:root
Jun  4 10:40:01 gilbert-netbook CRON[6186]: pam_unix(cron:session):
session opened for user root by (uid=0)
Jun  4 10:40:11 gilbert-netbook CRON[6186]: pam_unix(cron:session):
session closed for user root

Alors, si j'ai bien identifié les lignes qui indiqueraient qu'il y a
eu intrusion, cette dernière n'aurait rien à voir avec ma session de
Visionneur de bureau, laquelle a eu lieu hier soir.

À l'heure de la session d'hier, il y a ces lignes-ci:

Jun  4 00:33:21 gilbert-netbook polkitd(authority=local): Unregistered
Authentication Agent for
unix-session:/org/freedesktop/ConsoleKit/Session2 (system bus name
:1.37, object path /org/gnome/PolicyKit1/AuthenticationAgent, locale
fr_CA.UTF-8)
Jun  4 00:38:44 gilbert-netbook sshd[559]: Server listening on 0.0.0.0 port 22.
Jun  4 00:38:44 gilbert-netbook sshd[559]: Server listening on :: port 22.
Jun  4 00:39:22 gilbert-netbook gdm-session-worker[1255]:
pam_succeed_if(gdm:auth): requirement "user ingroup nopasswdlogin" not
met by user "gilbert"
Jun  4 00:39:29 gilbert-netbook gdm-session-worker[1255]:
pam_unix(gdm:session): session opened for user gilbert by (uid=0)
Jun  4 00:39:29 gilbert-netbook gdm-session-worker[1255]:
pam_ck_connector(gdm:session): nox11 mode, ignoring PAM_TTY :0

Selon moi (mais je n'y connais pas grand chose), il n'y a rien qui
puisse indiquer la source de l'intrusion (qui? à partir d'où?).
Comment est-ce possible et comment me protéger? Le port 22 ouvert, ça
a rapport? Ça sert à quoi? Mais surtout: comment me protéger des
intrusions? Je croyais qu'un routeur, ça bloquait les intrusions!

Gilbert

> A+
>
> On Jun 4, 2011 11:39 AM, "Gilbert Dion" <gilbertdion at gmail.com> wrote:
>> Bonjour,
>> Hier soir, j'ai accédé à mon netbook à partir de mon laptop en
>> utilisant le visionneur de bureaux distants. Sur le netbook, je ne
>> demande pas d'autorisation ou de mot de passe (ayant cru jusqu'à
>> maintenant être le seul à pouvoir m'y connecter). Mon netbook est
>> resté ouvert toute la nuit. Ce matin, en me levant, j'ai constaté
>> qu'il avait été manipulé par quelqu'un d'autre. Le logiciel de
>> courriel Évolution était ouvert (je ne me sers jamais d'Évolution)
>> ainsi qu'un terminal où figuraient les entrées suivantes: «up root»
>> (avec comme résultat: «up: commande introuvable») et su root à deux
>> reprises (avec comme résultat «Mot de passe:» et «échec de
>> l'authentification»).
>>
>> Ai-je raison de croire que c'est parce que j'ai utilisé l'accès à
>> distance que cette intrusion a eu lieu? Si oui, est-ce la connexion
>> VNC qui ouvre la porte aux étrangers? Y a-t-il moyen de retracer
>> l'intrus? (Cette intrusion a-t-elle laissé des traces?)
>>
>> Gilbert
>>
>> --
>> Ubuntu-quebec mailing list
>> Ubuntu-quebec at lists.ubuntu.com
>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-quebec
>
> --
> Ubuntu-quebec mailing list
> Ubuntu-quebec at lists.ubuntu.com
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-quebec
>
>

Plus d'informations sur la liste de diffusion Ubuntu-quebec