Bonjour, L'IP est 217.128.216.18 Pour ce qui est de telnet, je n'ai pas vu grand chose sur le port 23. Pour ce qui est de ssh, ce que tu fournis comme log ne montre pas de tentative de connexion a ton serveur ssh, mais, beaucoup plus tard dans la matinee (les tentatives sur ftp etaient la nuit), l'envoi d'un SIGTERM (ce qui termine le processus sshd).
De toute facon, passes-toi de telnet et gardes ssh si tu veux pouvoir acceder a ta machine depuis l'exterieur. Pour un "vrai" firewall (petite boite noir a plugger du commerce), c'est assez cher, voire tres cher ... Mais on peut faire de choses efficaces soi-meme en dediant un petite machine a cette tache. On finit de toute maniere a utiliser les OS et methodes de filtrage de paquet contenus dans ces "boites noires assez cheres". Bonne journee, et ne stresses pas trop: ca n'aide en rien a reflechir ! Bertrand Le Mardi 12 F�vrier 2002 09:03, vous avez �crit : > Merci Jean, > > J'ai arr�t� "proftpd", "sshd" et "telnet" et je vais suivre �a de > pr�s!! > > (voir commentaires ci-dessous) > > On Tue, 12 Feb 2002 07:38:48 +0100 > Jean Segers <[EMAIL PROTECTED]> wrote: > > > Manifestement, une tentative d'acc�s � ta machine: vive l'adsl! > > Commentaires ins�r�s ci-dessous! > > > > Didier NOACK wrote: > > > > > Salut � tous, > > > > > > Ce matin, bon pied bon oeil, je m'installe devant mon pingouin > > > favori pour constater que mon fichier logwatch (envoy� � root par > > > le syst�me toutes les nuits) est extraordinairement long et > > > surtout �trange. > > > > > > J'en met un bout seulement !! > > > ======================================================== > > > > Un robot, utilisant plusieurs instance alla ProZilla > > Comment puis-je savoir d'ou �a vient, IP par exemple ? > et quels seraient mes recours, le cas �ch�ant ? > (excus� le cot� na�f de ma question, mais comme je n'ai jamais �t� > confront� � ce probl�me, je me renseigne) > > > Ce robot tente une liste de pr�nom courant pour chercher un user > > valide. Une fois trouv�, il tentera des mots de passe al�atoirement. > > > > Technique ma fois bien na�ve... > > Cela veut dire que si je tombe malencontreusement sur un pro de > l'attaque, il rentre chez moi comme dans un moulin ? > > > R�ponse de ton serveur FTP qui ne reconnait pas ces noms de user... > > Et si par hasard, il �tait tomb� sur un user valide, est-ce que FTP > l'aurait laiss� rentrer ? > > > Ici, tu as une tentative d'attaque par Telnet, ensuite par SSH, > > toujours avec des user issus d'une liste. > > J'en d�duis que si Telnet et SSH ne sont plus activ�s l'attaque par > ces ports devient impossible, c'est bien �a ? > > >> > > L� tu as un probl�me de config de sendmail qui n'arrive pas � faire > > son DNS reverse loockup: cad trouver un nom de domaine en fonction > > d'une adresse IP. > > �a c'est moins grave, car je ne me sert plus de sendmail. Quand > j'aurais un peu de temps, je vais me lancer dans la config de procmail > qui est moins pointu � configurer.> > > Conclusion: > > Si tu n'en as pas absolument besoin, ferme tes services FTP, telnet, > > SSH, etc... > > C'est fait. > > > En cas de besoin ponctuel, tu peux toujours activer manuellement les > > daemons pour les arr�ter une fois termin�e ton intervention. > > Une autre solution: mettre un "vrai" firewall/proxy entre tes > > machines de travail et l'internet. > > Je vais devoir envisager des invertissements !!! > Je croyais pourtant que le firewall inclu dans ma RH suffirait � > s�curiser ma machine; Mais apparement tu laisses sous entendre qu'il > est contournable !! > > C'est d'autant plus vrai depuis > > que tu es sur adsl. En effet, non seulement tu es connect� 24/24 > > mais de plus avec une putain de bande passante qui serait bien > > utilis�e par des pirates en tout genres pour se masquer de leurs > > attaques/spoof/spam ... > > Si comme maintenant les ports de telnet, SSH et FTP sont ferm�s > comment pourraient-ils relayer via ma machine ?> > > Soit prudent! > > Je vais !! Merci du conseil. > > > > -- > > Jean > > Tiens j'en profite; Si toi ou un membre de la liste avait un bon > conseil d'achat d'un "vrai" firewall d'un excellent rapport > qualit�/prix, je suis tout ouie. > > Cordialement > > -- > =================================================== > D i d i e r N o a c k 48�46'50N 7�48'31E > 90CD D308 1993 4E1B 8E52 CF9D E0CC 92A8 E05E A2C5 > http://pro.wanadoo.fr/cadimat/ > > > > > > >
Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
