Le Sat, 6 Nov 2004 16:54:17 +0100 dlist <[EMAIL PROTECTED]> a �crit: > 1) est-ce une attaque connue? si oui par quel m�chant robot? pourquoi > les logs reportent des ports �lev�s (genre 44756) alors que le service > ssh tourne sur le 22? > > 2) comment s'en pr�munir sachant que je dois avoir un acc�s ssh de > l'ext�rieur? > > 3) dois-je me soucier d'autre(s) chose(s) :-) ?
R�ponse pour 1), �a y ressemble et si c'est le cas, �a doit �tre connu mais l'essentiel est qu'en g�n�ral on ne la connait pas... Pour les ports, from 210.7.65.253 port 54142 signifie que cela venait du port 54142 de l'IP 210.7.65.253, mais c'est sur ton port ssh. R�ponse pour la 2) apt-get install ssh pour avoir la version la plus � jour. R�ponse pour la 3), oui cela vient sans pr�venir d�s qu'on est un peu n�gligent. Le principe consiste donc � pouvoir d�tecter une �ventuelle intrusion via analyse des logs et surveillance. J'ai eu une intrusion chez moi l'ann�e derni�re (suite � un wu-ftpd non mis � jour et un noyau 2.4 avec faille (j'�tais en train de compiler la nouvelle version)), j'avais eu droit � suckit, etc install�s en 1heure et demi. chkrootkit n'avait pas fonctionn� et j'ai fait (avec l'aide de la liste d'ailleurs) un programme assez simple qui teste si il existe des processus cach�s (type trojan): Paquet: cacheproc Fonctionnement: cf /usr/share/doc/cacheproc/README il y a deux programmes: chercheprocess et le m�me en version silencieuse (regarde) qui sert pour crontab: Une ligne 0 * * * * root /usr/bin/regarde enverra un mail � root en cas de processus cach�s trouv�s. Il y a de tr�s rares cas de faux processus trouv�s (process �ph�m�re disparaissant lors de sa d�couverte et sa recherche dans les processus affich�s) mais c'est tr�s rare. Bien s�r, ne pas faire une confiance aveugle dans ce programme mais j'avoue que �a me rassure pas mal. Tu trouveras le paquet dans deb [ftp|http]://boisson.homeip.net/[woody|sarge] ./ avec les sources dans deb-src [ftp|http]://boisson.homeip.net/source ./ Fran�ois Boisson
