Dont root, qui a utilisé pas mal de temps cpu et est normalement exclu en connection ssh directe (=> le /etc/ssh/sshd_config a du être modifié... à son insu?)... L'utilisateur pi de l'image d'installation raspbian semble d'ailleurs toujours utilisé. J'espère au moins que le ssh n'a pas été ouvert avec le password par défaut (ou un trop simple, surtout en ayant conservé l'utilisateur pi archi-connu, ce qui fait déjà une partie de l'inconnue du couple user/password qui n'est pas à deviner).Chrominator a écrit : 30 déc. 2018, 10:52 Pourquoi autant d'instances ssh ?
J'en compte 8, ce qui signifierait qu'il y aurait plusieurs utilisateurs connectés en ssh sur la machine.
Débrancher le réseau (ou WAN box si PI accessible uniquement depuis son LAN, juste invalider le mapping de port ssh pourrait ne pas suffire si un autre mode d'accès a été ouvert par un probable attaquant), changer les mots de passe pi/root (+ autres utilisateurs s'il y en a), voir les derniers login (si pas effacés via commande last)... rebrancher et installer le paquet chkrootkit, le lancer, puis évaluer les dégats/compromission si assez calé. Sinon sauver BDD Domoticz+scripts et refaire une installation à partir de l'image raspbian de base.
Et blinder la config utilisateurs/réseau avant de rouvrir le ssh sur l'extérieur.
Pour le ssh, attaqué comme il est, j'ai pour ma part même laché fail2ban (utilisé seulement pour l'interface web) pour passer au port knocking (port ssh fermé par défaut sur le FW du PI, ouvert seulement 30secondes pour l'IP qui aura lancé la bonne suite de ping sur les bons ports).
Attention aussi a vérifier les machines de son LAN: Le PI peut avoir été utilisé en rebond pour les attaquer plus facilement (comme si on était en local, bypassant la protection du firewall box).