Linux : Qui est connecté sur mon serveur ? Comment le kicker ?
Bon alors j’écris cet article simplement car j’ai découvert la commande « w » qui est grosso merdo un équivalent de whois avec un affichage un peu plus complet et en colonne ^^ et bon je voulais juste vous parler de cette commande, et finalement je l’ai raccroché au thème de la sécurité …
En soit pourquoi est-ce utile ? Et bien lorsque vous êtes amené à travailler sur un serveur en production ou en préproduction, il est important de savoir qui travail dessus … avant de redémarrer ou de couper des services …
Autre cas concret, savoir si vous n’auriez pas une session ouverte quelques part …. si vous vous êtes fait piraté ?
Alors dans votre terminal, il vous suffit de taper « w » ou « who ».
Voici le rendu (pour les 2 commandes) :
Han ! un pirate est connecté ^^
Non je deconne, j’ai créé un utilisateur pour vous montrer l’exemple.
Donc là on voit bien que 2 utilisateurs root et pirate sont connectés sur mon serveur.
Vous pouvez communiquer en utilisant la colonne TTY qui est la sortie console ^^
Bref maintenant que vous savez lister les utilisateurs, et leurs envoyer des messages, il est utile de savoir les kickers !
Nous allons donc utiliser la commande kill qui sert à arrêter les processus.
Tout d’abord nous allons regarder quel est le processus sur lequel est connecté notre pirate :
ici je fais un « ps aux » pour récupérer la liste des processus, et je fais un grep pour n’extraire uniquement que les infos de notre pirate …
Ici on voit bien la connexion ssh de notre pirate …
Donc les 2 premières lignes on retrouve mes utilisateurs root et pirate connecté en ssh.
La première colonne indique qui exécute quoi.
Donc nous allons nous interesser à la deuxième ligne, car c’est pirate qui l’execute …
Bien évidemment je veux virer pirate …
regardez la deuxième colonne qui est le « pid » (l’id du processus)
Le PID de notre pirate est 16603, il nous reste plus qu’a le kicker !
Et voilà !
C’est une des technique pour lutter contre une attaque, qui peut inversement être exploité par le pirate pour virer l’admin ^^