Le 13354ième jour après Epoch, Didier Verna écrivait: > Salut, > > j'ai peur d'avoir été hacké sur ma machine Debian maison, et je voudrais bien > des conseils car je n'y connais rien en sécurité (et d'ailleurs, j'aimerais > continuer à ne rien y connaître ;-): > > > - première chose suspecte dans sshd.log: > > Jul 25 16:35:24 vernoupiac sshd[4417]: Accepted publickey for > didier from 62.39.139.1 port 46088 ssh2
Ton compte shell est "didier" ? L'ip en question est-elle la tienne? Comment est ta liaison? As-tu ouvert une session ssh à ce moment-là? As-tu des programmes qui font ça ? > Rien à voir avec moi, puisque j'étais devant ma machine à ce moment là. J'ai > aussitôt coupé sshd. Je pense qu'il va falloir que je refasse mes clés ssh. > La question que je me pose est: est-ce que le message ci-dessus indique que > le type a pu se loguer ou pas forcément (car une passphrase est requise pour > ma clé). > > > - ensuite, je suis maintenant floodé de requêtes par une IP étrangement > proche, comme le montre tcpdump: > > 16:50:13.173215 IP vernoupiac.local.34546 > > 2.139.39-62.rev.gaoland.net.ssh:. ack 4320 win 63712 > <nop,nop,timestamp 105350790 336125072> > > > Qu'est-ce que ça veut dire cette ligne ? Que ta machine locale envoie un ack à la machine 2.139.39-62.rev.gaoland.net.ssh ... La proximité des deux IP est étonnante. > La partie "vernoupiac.local" me laisse penser que cette attaque est une > conséquence de mon installation récente de Avahi (pour communiquer plus > facilement avec mon Mac Book). Ah? Comment ça? Tu peux nous donner plus de détails? > Maintenant, je me demande si en installant des > trucs sur celui-ci (genre ssh-agent pour Mac), je n'ai pas installé des > chevaux de troie par la même occasion. Ou simplement des programmes à qui tu as donné ta clef ssh, et qui s'en servent pour communiquer. > Toute aide sur les mesures à prendre sera la bienvenue ! Toute infos supplémentaire concernant ton réseau, ta façon d'être connecté, etc.. peut être utile aussi. A mon avis, soit on t'as volé ta clef ssh, soit tu l'as donnée à un programme, soit tu as une version de ssh qui n'est pas trop standard.
