[Résolu] Utilisation frauduleuse VPN

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Résolu] Utilisation frauduleuse VPN

koub

Bonjour à tous,

Hier, je me suis rendu compte que des adresses IP autres que la mienne se connectées à mon VPN à mon insu. J'ai fait ce constat par hasard grâce à LogWatch. Je ne l'analyse pas tout les jours et apparemment cela dure depuis un bon mois.

Je ne sais pas comment ils ont fait mais ils ont réussi à récupérer les clés de l'un de mes clients (mon téléphone portable en l’occurrence, peut-être une application frauduleuse que j'aurai malencontreusement installée sur mon smartphone qui a eu accès à mon stockage?) et plusieurs IP basées en FRANCE ont utilisé ce client.

Les mises à jour de sécurité de mon dédié sont réalisées chaque matin via CRON, je ne pense pas qu'ils aient accès à celui-ci, sinon les logs auraient disparu. Je me sers principalement de ce serveur en seedbox et pour faire du streaming avec Emby afin de regarder mes films de vacances via un RPI3 et en faire profiter famille et amis...

Bref, je ne sais pas ce qu'ils ont fait mais je me doute bien qu'il s'agit d'activités frauduleuses, j'espère rien de grave... Car comme la plupart d'entre nous, la location de ce serveur est nominative...

Je me pose la question à savoir si je dois les dénoncer? Auprès de qui?? Et à la vue de mes activités citées plus haut, je n'ai pas les fesses très propres également donc cela pourrait potentiellement se retourner contre moi...

En attendant, j'ai installé PeerGardian pour bloquer la plage IP de ces connexions frauduleuses, révoquer et régénérer les clés VPN concernées et je vais prêter une grande attention aux prochains logs envoyés par le serveur...

Bref, si des personnes ont eu le même genre de problèmes, vos conseils sont les bienvenus...

Cdt.

koub

A noter que j'ai nettoyer les 2 ou 3 applis "noname" de mon smartphone (je n'en ai gardé qu'une, une appli fournie par mon fournisseur IPTV que je ne citerai pas et qui n'a pas accès à mon stockage).

Mon smartphone est un Android et l'OS est Android One, l'un des plus sécure du marché, les mises à jour de sécurité réalisées directement par Google sont systématiquement installées...

C'est un peu la panique là, si je constate que cela ne s'améliore pas, je serai contraint de désinstaller le service VPN du serveur et de devoir monter un serveur à part pour "isoler" mon VPN de mes autres activités... Cette dernière solution serait dommage car j'ai un excellent débit avec le VPN actuel (download 50Mo et upload 18Mo), sans parler du coût engendré.

Pour l'instant, PeerGuardian fait le job, je viens de vérifier les logs et les adresses incriminées semblent correctement bloquées... Affaire à suivre donc...

Aerya

Bonjour, tu es certain que les connexions sont avérées ? Ce ne sont pas simplement des tentatives/scannes de bots/scripts sur le port du VPN ?

koub

Bonjour Aerya,

Oui, les connexions sont effectives, ce ne sont pas que des tentatives, il s'agit des logs OpenVPN, je n'ai pas réglé au max le VERBOSE donc je ne sais pas vers quels sites les connexions pointées... Je sais juste qu'elles étaient effectives avec le client prévu pour mon smartphone, celui de ma femme et de mes différents PC ne sont pas incriminés.

Il y a bien des tentatives de bots scripts remontées par Fail2Ban (logs iptables), mais là rien à voir...

Le blocage via PeerGuardian semble fonctionner, les adresses IP proviennent du registrar RIPENCC basé à Amsterdam et commencent toutes par 37.x.x.x. Ils s'excitent depuis ce matin, le serveur a bloqué une 100aine de tentatives de connexion sur les ports dédiés au VPN, ils sniffent même le port standard SSH mais le serveur est configuré différemment...

Je pense que ça va le faire... Je vais garder un oeil ouvert et affaire à suivre...

Ce qui m’inquiète le +, c'est ce qu'ils ont fait... J'ai tout les logs, ça a commencé précisément le 1er décembre...

🙁

jean-luc

koub Oui, les connexions sont effectives, ce ne sont pas que des tentatives, il s'agit des logs OpenVPN

Salut,
Si tel est le cas, il a fallu que quelqu'un rentre sur ton serveur pour s'approprier les clefs de connexions avec des droits root.
Si tel est le cas, c'est foutu...tu peux réinstaller... tout ton serveur, et non seulement ton vpn..

Mais je suis très surpris quand même, sauf si tu distribues tes mdp partout, tes clefs ssh si connexions/clefs, connexion SSH root possibles avec un mdp du type "1234"
😄

koub

Salut Jean-Luc, merci pour ton message.

Franchement, je suis également super étonné... Mais je ne pense pas que le serveur soit touché (MAJ secu debian ts les matins, RkHunter, Fail2Ban, PeerGuardian avec blocage par pays, règles IPTABLES en DENY TO ALL par défaut, et ports ouverts personnalisés.... Et surtout, une alerte mail dès que quelqu'un se connecte en root via le SSH dans la seconde...

Après, ce n'est jamais secure 100%, mais bon... j'aurai au moins été alerté....

Ci-dessous, le log partiel OpenVPN envoyé par Fail2Ban (j'ai viré les infos sensibles):

Le 01/12/18:
--------------------- OpenVPN Begin ------------------------
Connections:
Configuration phone**:
37.168.8.9 connected 4 Time(s), Ports: 47560 47544 47525 47526
***IP_MAISON*** connected 8 Time(s), Ports: 38802 39798 42154 42527
37264 39235 49642 48319

Configuration w10**:
***IP_MAISON*** connected 2 Time(s), Ports: 60723 57813

Previous active sessions of the same client dropped upon new connection:
client phone**: 3 Time(s)
client w10**: 1 Time(s)
---------------------- OpenVPN End -------------------------


Le 04/12/18:
--------------------- OpenVPN Begin ------------------------
Connections:
Configuration phone**:
37.165.5.193 connected 1 Time(s), Ports: 39505
37.165.66.23 connected 1 Time(s), Ports: 45502
37.165.94.127 connected 1 Time(s), Ports: 2500
37.170.129.223 connected 1 Time(s), Ports: 1541
37.170.52.141 connected 2 Time(s), Ports: 27511 27541
37.173.36.220 connected 2 Time(s), Ports: 25502 25501
***IP_MAISON*** connected 11 Time(s), Ports: 45979 48857 43813 41057
46079 41750 37549 39179 46700 40393 43176

Configuration w10**:
***IP_MAISON*** connected 3 Time(s), Ports: 53453 50959 55239

Previous active sessions of the same client dropped upon new connection:
client phone**: 9 Time(s)
---------------------- OpenVPN End -------------------------


Le 05/12/18:
--------------------- OpenVPN Begin ------------------------
Connections:
Configuration phone**:
37.173.79.127 connected 1 Time(s), Ports: 3502
***IP_MAISON*** connected 11 Time(s), Ports: 37152 49176 48321 39203
37146 49147 48897 48210 40667 43255 39452

Configuration w10**:
***IP_MAISON*** connected 2 Time(s), Ports: 63147 62826

Previous active sessions of the same client dropped upon new connection:
client phone**: 2 Time(s)
---------------------- OpenVPN End -------------------------


Le 06/12/18:
--------------------- OpenVPN Begin ------------------------
Connections:
Configuration phone**:
37.165.128.177 connected 3 Time(s), Ports: 45503 45504 45519
37.165.196.13 connected 1 Time(s), Ports: 26504
37.171.24.96 connected 2 Time(s), Ports: 33505 33506
37.173.126.143 connected 4 Time(s), Ports: 45502 45519 45504 45551
37.173.36.27 connected 1 Time(s), Ports: 42502
***IP_MAISON*** connected 16 Time(s), Ports: 42385 43322 42303 38818
37406 38559 40646 49571 44299 44828 37266 37970 44666 39199 38747 38878

Configuration w10**:
***IP_MAISON*** connected 2 Time(s), Ports: 65278 57997

Previous active sessions of the same client dropped upon new connection:
client phone**: 11 Time(s)
---------------------- OpenVPN End -------------------------


Le 07/12/18:
--------------------- OpenVPN Begin ------------------------
Connections:
Configuration phone**:
37.164.217.109 connected 1 Time(s), Ports: 61501
37.173.252.255 connected 2 Time(s), Ports: 41507 41508
***IP_MAISON*** connected 6 Time(s), Ports: 45704 48917 45794 49401
42684 49259

Configuration w10**:
***IP_MAISON*** connected 1 Time(s), Ports: 55798

Previous active sessions of the same client dropped upon new connection:
client phone**: 4 Time(s)
---------------------- OpenVPN End -------------------------


etc....... (jusqu'à hier....)

Ci-dessous le lien vers le fichier log PeerGuardian avec les tentatives de connexion depuis hier, lorsque j'ai banni la plage IP (j'ai viré les infos sensibles et les connexions des bots pour aller à l'essentiel, "X.X.X.X" correspond à l'adresse publique du serveur):
http://dl.free.fr/srdEg9sTb

En tout cas, ça à l'air d'être du lourd car ils ont les moyens à la vue du nombre d'IP et ils kiffent mon VPN...

sauf si tu distribues tes mdp partout, tes clefs ssh si connexions/clefs, connexion SSH root possibles avec un mdp du type "1234"

Non, mon mdp root, c'est "admin"... pk? 😃
Plus sérieusement, le fichier OVPN utilisé par mon smartphone est en clair et intègre les clés CRT, TA, private keys, etc... C'est le pb avec OpenVPN.... Je pense sérieusement que le pb vient de là, l'avenir me le dira...

Merci en tout cas pour ton intervention, je suis à 2 doigts d'aller poser une main courante pour me protéger mais je me dis que ça me fera + de tords que de biens... Au pire, si j'ai le droit à une descente, je fournirai les logs et me prendrai une lettre pour le P2P...

MattProd

Salut,

De mémoire les adresses ip qui commence en 37 sont des ip de FreeMobileSAS et jusqu’à l'année dernière ( fin de contrat chez eux ) les ip changent très vite. Ton téléphone est chez Free ?

EDIT : 37.1.232.0/21 37.8.160.0/19 37.160.0.0/12 sont les plages ip de FreeMobile

koub

Salut MattProd, merci pour ta réponse.

Et oui effectivement, mon mobile est chez Free mais je n'ai pas de forfait data et la data est désactivée sur le tel...

Bon, après vérification, ttes les adresses IP mentionnées appartiennent à coucou.networks.fr, du coup, ce serait bien Free... Pourquoi mon portable a changé de comportement depuis le 1er décembre, cela reste un mystère...

Tu es arrivé à temps car j'étais parti à la gendarmerie pour porter plainte contre mon fournisseur portable... Qui plus est le FAI chez qui je loue mon serveur.... la honte... ^^'

En tout cas, je te remercie sincèrement, la pression est en train de redescendre là (mode parano OFF)...

Vous pouvez considérer ce sujet comme clos...

PS. Si vous me cherchez, je suis déja dehors... 😃

MattProd

koub pas de soucis, peut être un changement d’équipement de la part de ton opérateur mobile ( amélioration de la 4g/3g, remplacement d’équipements défectueux, etc). mais si tu n'a pas de forfait data il est intéressant de savoir quand même comment il se connecte... regarde ton relevé de compte client sur la ligne concernée histoire de voir s'il n'y a pas de dépassement.

Cordialement,

Mathieu

koub

@MattProd je viens de vérifier, et ouf, pas de conso data sur le mois en cours, à n'y rien comprendre... Après, je n'ai pas les détails pour la data??

J'ai fait le tour de toutes les adresses IP, c'est effectivement Free, c'est sûr... 😅

Plus de peur que de mal pour le coup, merci encore 😄

(mode boulet OFF...)

EDIT: j'avais modifié l'APN de Free en "default/mms"sur mon smartphone pour être sûr de ne pas payer de data, c'est une astuce qui traine depuis quelques années sur la toile... peut-être qu'ils ont trouvé la parade depuis le début du mois décembre??

koub

En tout cas, je remercie tout les intervenants pour vos réponses rapides et vous souhaite d'excellentes fêtes de fin d'année.

Bonne continuation à tous ! 😁