Le samedi 06 nov 2004 � 17 h 44, Fran�ois a dit: > Le Sat, 6 Nov 2004 16:54:17 +0100 > dlist <[EMAIL PROTECTED]> a �crit: > > > 1) est-ce une attaque connue? si oui par quel m�chant robot? > > pourquoi les logs reportent des ports �lev�s (genre 44756) alors > > que le service ssh tourne sur le 22? > > > > 2) comment s'en pr�munir sachant que je dois avoir un acc�s ssh de > > l'ext�rieur? > > > > 3) dois-je me soucier d'autre(s) chose(s) :-) ? > > R�ponse pour 1), �a y ressemble et si c'est le cas, �a doit �tre > connu mais l'essentiel est qu'en g�n�ral on ne la connait pas... > Pour les ports, from 210.7.65.253 port 54142 signifie que cela > venait du port 54142 de l'IP 210.7.65.253, mais c'est sur ton port > ssh. >
ok. > R�ponse pour la 2) > apt-get install ssh > pour avoir la version la plus � jour. le fait tous les 2-3 jours, dont aujourd'hui. > > R�ponse pour la 3), oui cela vient sans pr�venir d�s qu'on est un > peu n�gligent. Le principe consiste donc � pouvoir d�tecter une > �ventuelle intrusion via analyse des logs et surveillance. J'ai eu > une intrusion chez moi l'ann�e derni�re (suite � un wu-ftpd non mis > � jour et un noyau 2.4 avec faille (j'�tais en train de compiler la > nouvelle version)), j'avais eu droit � suckit, etc install�s en > 1heure et demi. chkrootkit n'avait pas fonctionn� et j'ai fait (avec > l'aide de la liste d'ailleurs) un programme assez simple qui teste > si il existe des processus cach�s (type trojan): > > Paquet: cacheproc > > Fonctionnement: cf /usr/share/doc/cacheproc/README > > il y a deux programmes: chercheprocess et le m�me en version > silencieuse(regarde) qui sert pour crontab: > Une ligne > 0 * * * * root /usr/bin/regarde > > enverra un mail � root en cas de processus cach�s trouv�s. Il y a de > tr�s rares cas de faux processus trouv�s (process �ph�m�re > disparaissant lors de sa d�couverte et sa recherche dans les > processus affich�s) mais c'est tr�s rare. Bien s�r, ne pas faire une > confiance aveugle dans ce programme mais j'avoue que �a me rassure > pas mal. > > Tu trouveras le paquet dans > > deb [ftp|http]://boisson.homeip.net/[woody|sarge] ./ > > avec les sources dans > > deb-src [ftp|http]://boisson.homeip.net/source ./ > ok j'irais voir merci. Par ailleurs j'observe pr�sentement des tentatives de connexions sur mon serveurs vsftpd : vsftpd: (pam_unix) authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=68.111.3.35 C'est quoi, une �pid�mie? > > Fran�ois Boisson > > > -- > Pensez � lire la FAQ de la liste avant de poser une question : > http://wiki.debian.net/?DebianFrench > > Pensez � rajouter le mot ``spam'' dans vos champs "From" et > "Reply-To:" > > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact > [EMAIL PROTECTED] >
