Si vous avez essayé d’accéder à ce serveur (qui répond en fait à 4 noms DNS différents) entre hier soir 18h50 et ce matin (lundi, hein) vers 10h vous vous êtes sans doutes aperçu que c’était le joyeux rien intersidéral.
Pour cause : OVH, l’hébergeur, voyant plusieurs connexions ssh à 2 ip différentes dans un intervalle de temps assez court, en a conclu que c’était un scan de ports depuis ma machine (ce qui, en soit, est vrai), donc qu’elle était compromise (ce qui, en soit, est certainement faux), et a donc décidé unilatéralement de la scotcher jusqu’à ce que le problème soit résolu.
Outre le fait que ce serveur soit un Linux, et donc potentiellement moins cassable qu’un Windows, c’est moi qui le gère, donc potentiellement ce serveur est moins cassable qu’un Linux de base. Ceci dit je ne suis pas à l’abri d’un piratin malveillant, mais je me demande sérieusement comment quelqu’un aurait pu entre sur ce serveur et y faire des bêtises que je n’aurais pas vues.
Écartons cette hypothèse, car la plus probable est que ce scan ne soit pas le fait d’un intrus mais d’un petit rigolo qui le fait depuis TOR. Car oui, j’avoue, j’ai mis un relais TOR sur ce serveur. Mieux : je l’ai configuré pour qu’il soit port de sortie.
En appelant la hot line d’ovh ce matin, ils me l’ont rendu accessible ; j’ai donc désactivé TOR et fait 2 3 vérifs de base avant de remettre ce serveur en ligne (note pour plus tard : si quelqu’un sort de TOR en ssh, c’est qu’il a quelque chose à cacher)
Il semblerait donc que j’ai eu TOR …