Bonjour à tous,
Depuis maintenant 2 mois, mon opérateur internet (Orange) m’a avertis par mail que des spams de requêtes sur des serveurs aux états unis partait de ma Livebox.
Ce mois ci, ils me l’ont rappelé en me menaçant de me couper Internet si ça continue…
J’ai donc vérifié quels équipement pouvait causer cela, et je suis tombé sur mon rpi…
Quand je l’ai éteint, l’activité de la Livebox semblait retourner à la normale.
J’en déduis que c’est mon rpi le coupable, mais comment est-ce possible ? Je lance que 2 bots Discord dessus et VNC server, pas d’autres choses, à moins que rien que cela pourrait causer le spam, car si je lance mon rpi sans rien faire tourner dessus, l’activité de la Livebox commence à monter…
Je demande à vous, chère communauté, comment cela est-ce possible ? Mon rpi aurait été infecté d’un cheval de Troie ? Comment remédier à se problème ? Car cela fait 6 mois que je l’ai et Orange m’a avertis il y a 2 mois, j’en déduis que tout se passait bien avant…
J’espère que vous m’avez compris.
Merci d’avance à tout ceux qui me répondent.
Cordialement.
hello,
en cas d’infection virale la meilleure solution c’est certainement de réinstaller ton système…
quitte a garder l’ancien pour faire une recherche de l’infection hors ligne. ( un cron inconnu, un autostart suspect ds lxde,etc.)
si ton rpi est accessible de l’extérieur ( ouverture des ports ou dmz sur ta box ) il y a des chances que les « bonnes pratiques » ( remplacement du logon pi, mot de passe costaud, firewall , etc.) ne soit pas suffisantes.
Tu as clairement été « hacké ».
En vrac comme le dit Bof, le plus simple c’est de repartir de 0 (si tu peux c’est l’idéal). Après il ne faudra pas commettre les mêmes erreurs (ne pas ouvrir tout et n’importe quoi et n’importe comment sur la partie publique).
Si tu veux conserver ta configuration, 1 interdit l’accès au net à ton raspberry depuis ta box (je pense que ca doit être possible).
Puis regarde les services lancés, les cron, regardes les ports ouverts, regarde les comptes utilisateurs, regarde les logs de connexions, regarde tout
Bonjour @bof,
J’ai oublié de préciser quelque chose aussi, c’est que le mot de passe du compte principal se change tout seul au démarrage !
Donc oui je pense que je vais devoir réinstaller raspbian, ce qui me soule un peu par j’ai personnalisé toute l’interface… (et ça va faire la 3e fois que je le réinstalle)
Bref, si il n’y a pas d’autres solutions, je vais le réinstaller…
Bonjour @Gpapig,
Je peux repartir de 0, mais ça me soule un peu (comme expliqué dans ma réponse à @bof).
Donc ouais je me disais aussi que quelque chose ne tournait pas rond sur mon rpi, mais je ne sais pas trop comment identifier les processus qui font les requêtes ! (du moins je n’ai pas encore essayé je devrait…)
Bref, je vais essayer de les identifier, je vous fait un retour dès que possible.
Et avec ce genre de soucis tu te demandes encore si tu as problème avec ton pi ??
Repars de 0 change de suite le mdp du user pi et n’expose pas ton pi sur le net avant de l’avoir sécurisé correctement !
Désactiver le login root, changer au minimum le mdp du l’utilisateur pi, encore mieux changer d’utilisateur. Installer fail2ban pour limiter les accès en brute force, etc etc. Il y des dizaines de tuto valable sur le net