Activité compatible Manus le 23 mai
Plusieurs IP AWS Ashburn se connectent avec la clé manus-sandbox-sysd3
et la même empreinte SSH SHA256:D6lWFj4tMK7xbszN9LxYRcf6Pe1nj7muVWQQ9hU+a/0.
Forensics SSH
Rapport corrélé sur les accès SSH observés autour de Manus et du compte ubuntu.
Synthèse manuelle établie à partir des journaux SSH, des empreintes de clés et de l’historique shell disponible sur le VPS.
Diagnostic global
Ce qui est confirmé et ce qui reste suspect
Le point clé est la différence entre les accès password antérieurs et les connexions par clé explicitement liées à Manus le 23 mai.
Accès password antérieurs non attribuables à Manus
Les connexions réussies en mot de passe vues du 17 au 19 mai sur le compte ubuntu
restent hautement suspectes et plus cohérentes avec une compromission du mot de passe qu’avec un accès Manus prouvé.
Tableau corrélé
Sessions, éléments consultés et diagnostic
Le tableau ci-dessous regroupe les fenêtres d’activité les plus significatives, les artefacts visibles et l’évaluation retenue.
| Fenêtre | Source | Authentification | Éléments consultés / lus / écrits | Diagnostic |
|---|---|---|---|---|
| 17 → 19 mai 2026 |
Grappe de 7 IP AWS Ashburn dont 44.202.248.196, 13.221.71.35,
3.239.200.139, 34.234.175.58, 3.237.87.14 | Password 44 accès réussis sur ubuntu | Aucun artefact de clé Manus corrélé sur cette fenêtre. Les logs montrent seulement des authentifications réussies en mot de passe. | Hautement suspect. Non confirmable comme Manus. Hypothèse la plus probable : mot de passe ubuntu compromis.
|
| 19 mai 05:57 → 06:49 | 81.248.59.29 + activité locale | Public key | authorized_keys, sshd_config, 50-cloud-init.conf,
restart / reload SSH, do-release-upgrade, reboot, durcissement et vérification SSH.
| Légitime / remédiation. Cohérent avec une réponse opérateur après incident. |
| 23 mai 04:36 → 05:14 |
10 IP AWS Ashburn : 44.198.174.83, 44.199.196.161, 100.54.42.163,
13.221.99.255, 3.86.198.134, 13.220.30.8,
98.92.234.121, 54.204.202.121, 3.88.131.85, 44.211.135.21 | Public key 153 connexions réussies avec SHA256:D6lWFj4tMK7xbszN9LxYRcf6Pe1nj7muVWQQ9hU+a/0 |
Clé manus-sandbox-sysd3 (ligne 11 de authorized_keys) ;
modifications observées : /home/ubuntu/sysd3/server/routers/quiz.ts,
backup deploy-backups/sysd3-quiz-certificate-browser-fix-20260523-043015/quiz.ts,
/home/ubuntu/sysd3/drizzle/schema.ts.bak2. Pas d’entrée sudo sur cette fenêtre.
| Compatible Manus / très probable. C’est la première corrélation forte entre IP source et clé explicitement étiquetée Manus. |
| 23 → 24 mai | 172.16.16.6, 81.248.59.29, 86.48.14.233 | Public key | 172.16.16.6 utilise l’empreinte interne Hermes SHA256:otdt... ;
81.248.59.29 et 86.48.14.233 utilisent la même clé personnelle
SHA256:TE0EUoYGJ/HoVaL9X35kvMtDJDL5Bu24EFmg1I9u9js.
| Non suspect. Activité compatible avec les accès internes Hermes et la clé personnelle opérateur. |
Artefacts sensibles
Indices complémentaires relevés
Ces éléments n’impliquent pas tous une compromission, mais ils orientent clairement l’interprétation forensique.
Extraction du token Manus depuis agent-relay/.env
L’historique shell montre la lecture de /home/ubuntu/apps/agent-relay/.env puis
l’extraction / affichage de tokens['manus'] depuis AGENT_RELAY_AUTH_TOKENS_JSON.
C’est un artefact sensible à auditer même si l’horodatage précis ligne par ligne n’est pas disponible.
Historique shell sans horodatage natif
~/.bash_history confirme des commandes et fichiers consultés, mais sans timestamp par ligne.
La corrélation temporelle repose donc sur les journaux SSH, les dates de modification et le voisinage des commandes.