Intrusion dans ruTorrent !

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Intrusion dans ruTorrent !

PastaGringo

Bonjour à tous !

Je post ce message aujourd'hui car je rencontre un problème assez gênant avec ma seedbox...

Juste pour info, depuis peu, j'utilise le script d'installation/configuration RuTorrent de Kerwood (https://github.com/Kerwood/rtorrent.auto.install ) qui me permet de gagner pas mal de temps lors de la préparation de mon serveur.

Mon problème est le suivant :

Depuis 3 jours, quelqu'un télécharge sur mon RuTorrent de façon clandestine. J'ai eu beau changer le mot de passe de l'auth rutorrent, changer le password du user qui lance le screen rtorrent, changer le password root... cette personne arrive toujours à télécharger !

Alors je me suis dit "te prends pas la tête, il a du choppé un de tes mots de passe quelque part, réinstalle le serveur t'auras plus de soucis."

Donc hier, je réinstalle mon serveur Ubuntu 12.04, je relance le script de Kerwood, reinstalle mon FTP, mon subsonic, etc. En passant, je créer des mots de passe complexes pour tous les comptes, utilisateurs et non utilisateurs du système.

Et bah ça a pas raté, le mec est de retour !

Malheureusement, je ne suis pas assez calé sur la sécurité Linux pour trouver et débusquer ce parasite...

Un axe de résolution, le script de Kerwood contiendrait-il une faille dans RuTorrent qui permet de télécharger en bypassant le user ?

Votre aide serait la bienvenue !

Merci !

PastaGringo

Li0n44

Bonjour,

Avez-vous mis en place un peu de protection genre Fail2ban, Iptable portsentry ?

Connecté en SSH que donne la commande "who"

Cdlt

Li0n44

ex_rat

Salut
Ca fait penser à la mise en garde qui vient de tomber chez Pirate Island y'a quelques jours ton histoire :
http://prntscr.com/257ema]
même si ils parlent de fournisseurs de seedbox, de là à ce qu'ils utilisent ton script pour leurs installations c'est possible, dans le doute je ferais une install avec une autre source (après remise à 0 du serveur) moi

Li0n44

Bonjour,

Je viens de décortiquer le script, il ne me semble pas avoir de faille, en revanche il utilise la version 3.6 de Rutorrent sur laquelle je n'ai pas de retour.

Cdlt

Li0n44

PastaGringo

Merci de répondre si vite !

@Li0n44 : la commande who me renvoi uniquement le user avec lequel je suis actuellement connecté. Je viens d'installer Fail2ban, j'essaye encore de le configurer mais je galère un peu... Je n'ai pas configuré Iptable ni portsentry. Merci pour ta recherche dans le script, c'était une idée, la faille doit se trouver dans la v3.6 de RuTorrent !

@ex_rat : en effet je pense que je subis la même attaque !

Je regarde actuellement les logs pour trouve l'IP et la bannir ! En espérant qu'ils n'aient pas une batterie de serveurs à dispo...

Magicalex

Il fait cmb de caractère ton mot de passe?

Regarde les log de ton serveur Web pour récupérer son ip. C'est peut être quelqu'un que tu connais?

Rutorrent n'a pas de "faille" puisque ce n'est pas ce script qui gère l'authentification. C'est le serveur web qui gère l'authentification. Donc il faut plutôt regarder si ton serveur web est bien configuré.

Li0n44

Je suis d'accord, en revanche, il faudrait sérieusement qui se penche sur iptable (ou UFW) portsentry et F2B , car laisser un serveur frontal sans aucune protection c'est tout de même un peu risqué.

Cdlt

Li0n44

PastaGringo

@Magicalex : tous mes mots de passe plafonnent à 92% de complexité sur passwordmeter. J'ai aussi pensé à mon entourage, mais quand j'ai réinstallé le serveur je n'ai parlé à personne des nouveaux mots de passe, donc pas possible qu'une fuite ai eu lieu de ce coté. J'ai aussi pensé à un keylogger, spyware, etc. qui serait sur un des mes laptops, mais antivirus à jour et aucune alerte. Le script de Kerwood gère les parties installation et configuration d'apache2, je n'ai pas eu à les configurer donc ça pourrait venir de là... (quand on a pas de tête on a des jambes).

@Li0n44 : en effet je n'ai pas trop porté attention à la partie sécu de mon serveur pour l'instant, mais je m'y met rapidement, pas le choix... Je vais essayer de trouver quelques tutos sur le web concernant ufw/portsentry/F2B.

Merci de votre aide !

Li0n44

Re dans les best practice , en premier changer ton port SSH (sshd_config) tu le remplace par un port non standard, ensuite tu mets le permitrootlogin à no . Ensuite , UFW, Fail2ban et Logwatch (Te permettras de recevoir les logs de ta machine par mail).

Cdlt

Li0n44

Magicalex

Ce qu'on peut te proposer c'est de changer le mot de passe du serveur web (apache).
Ensuite tu attends, si la personne revient on pourra le voir dans les logs si il a fait un brute force ou autre. Le plus important s'est de comprendre comment il fait pour trouver ton mot de passe.

Mais sinon tu peux suivre le tuto que l'on propose sur le site. Personne ne s'est jamais plein de la sécurité de la configuration.

PastaGringo

Bonjour,

J'ai changé le mot de passe lié au compte auth ruTorrent.

Je viens d'activer les règles F2B par défaut pour SSH/Apache/FTP avec un maxretry de 6 et un findtime par défaut de 10mn. J'ai aussi activé les notifications par mail pour être au courant des ban d'IP.

Normalement avec ça je devrais avoir moins de problèmes... Je vous tiens au courant !