Linux : Qui est connecté sur mon serveur ? Comment le kicker ?
Bon alors j'écris cet article simplement car j'ai découvert la commande "w" qui est grosso merdo un équivalent de whois avec un affichage un peu plus complet et en colonne ^^ et bon je voulais juste vous parler de cette commande, et finalement je l'ai raccroché au thème de la sécurité ...
En soit pourquoi est-ce utile ? Et bien lorsque vous êtes amené à travailler sur un serveur en production ou en préproduction, il est important de savoir qui travail dessus ... avant de redémarrer ou de couper des services ...
Autre cas concret, savoir si vous n'auriez pas une session ouverte quelques part .... si vous vous êtes fait piraté ?
Alors dans votre terminal, il vous suffit de taper "w" ou "who".
Voici le rendu (pour les 2 commandes) :
Han ! un pirate est connecté ^^
Non je deconne, j'ai créé un utilisateur pour vous montrer l'exemple.
Donc là on voit bien que 2 utilisateurs root et pirate sont connectés sur mon serveur.
Vous pouvez communiquer en utilisant la colonne TTY qui est la sortie console ^^
Bref maintenant que vous savez lister les utilisateurs, et leurs envoyer des messages, il est utile de savoir les kickers !
Nous allons donc utiliser la commande kill qui sert à arrêter les processus.
Tout d'abord nous allons regarder quel est le processus sur lequel est connecté notre pirate :
ici je fais un "ps aux" pour récupérer la liste des processus, et je fais un grep pour n'extraire uniquement que les infos de notre pirate ...
Ici on voit bien la connexion ssh de notre pirate ...
Donc les 2 premières lignes on retrouve mes utilisateurs root et pirate connecté en ssh.
La première colonne indique qui exécute quoi.
Donc nous allons nous interesser à la deuxième ligne, car c'est pirate qui l'execute ...
Bien évidemment je veux virer pirate ...
regardez la deuxième colonne qui est le "pid" (l'id du processus)
Le PID de notre pirate est 16603, il nous reste plus qu'a le kicker !
Et voilà !
C'est une des technique pour lutter contre une attaque, qui peut inversement être exploité par le pirate pour virer l'admin ^^
Super ? marche vraiment bien, est-ce que cela marche aussi si c’est une connexion extérieure sur un serveur du genre apache2?
Par exemple j’ai un ami sur mon serveur apache2 et cet ami je viens de découvrir que c’est un enfoiré, est-ce que je peux le virer de mon serveur par cette méthode?
Cordialement
Jette un oeil sur l’outil Fail2ban ^^
ça devrait répondre à ton besoin ;)
user1@dsionefd:~$ w
19:10:29 up 22 min, 2 users, load average: 0,20, 0,44, 0,51
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
user1 :0 :0 18:49 ?xdm? 7:02 0.05s gdm-session-wor
user1 pts/0 :0 18:49 1.00s 0.06s 0.00s w
est ce que ce résultat est normale merci d’avence
Oui le résultat de la commande « w » est bien normal ^^
et comme ça !!
root pts/1 :pts/0:S.0 02:20 2:37m 0.00s 0.00s /bin/sh
root pts/11 192.168.1.13 04:18 1.00s 0.01s 0.01s -bash