retrouver un intrus

2002-03-28 Par sujet Patrice Karatchentzeff 
Salut,
(B
(BJe viens encore de subir une attaque (rpc machin) :
(B
(B Mar 28 15:20:23 belledonne 173Mar 28 15:20:23 /sbin/rpc.statd[190]: 
(Bgethostbyname error for 
(B^X÷ÿ¿^X÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%62716x%hn%51859x%hn1Àë|Y‰A^P‰A^HþÀ‰A^D‰ÃþÀ‰^A°f̀³^B‰Y^LÆA^N™ÆA^H^P‰I^D€A^D^Lˆ^A°f̀³^D°f̀³^E0ÀˆA^D°f̀‰Îˆ
(B 
(BMar 28 15:20:23 belledonne Ç^F/binÇF^D/shA0ÀˆF^G‰v^LV^PN^L‰ó°^K̀°^Àèÿÿÿ
(B
(BDésolé pour le formatage.
(B
(BBon, autant je sais retrouver les auteurs d'un message, autant comment
(Bretrouver l'enfoiré qui tente de pénétrer chez moi (avec un 56k, y'en
(Ba qui n'ont pas peur...).
(B
(BIl y a une trace quelque part ou je suis obligé de tout faire tracer ?
(B
(BMerci
(B
(BPK
(B
(BPS : c'est pendant la journée ou il y a une recrudescence de débiles
(Bprofonds en ce moment ? C'est la deuxième fois en deux mois que l'on
(Bs'attaque à ma machine (qui est connectée avec un 56k !).
(B
(B-- 
(B  |\  _,,,---,,_   Patrice KARATCHENTZEFF
(BZZZzz /,`.-'`'-.  ;-;;,_   mailto:[EMAIL PROTECTED]
(B |,4-  ) )-,_. ,\ (  `'-'  http://p.karatchentzeff.free.fr
(B'---''(_/--'  `-'\_)

Re: retrouver un intrus

2002-03-28 Par sujet frederic massot 
Patrice Karatchentzeff wrote:
 
 Salut,
 
 Je viens encore de subir une attaque (rpc machin) :
 
  Mar 28 15:20:23 belledonne 173Mar 28 15:20:23 /sbin/rpc.statd[190]: 
 gethostbyname error for 
 ^X÷ÿ¿^X÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%62716x%hn%51859x%hn???

Normalement, les RPC ne devraient pas être accessible de l'exterieur.

Est-ce que le daemon portmap tourne sur ta machine ?

Si tu n'utilises pas les RPC arrête portmap : /etc/init.d/portmap stop

Si tu as besoin des RPC, configure ton firewall pour interdire les accès
de l'exterieur vers portmap (UDP/TCP 111).

-- 
==
|  FREDERIC MASSOT   |
| http://www.juliana-multimedia.com  |
|   mailto:[EMAIL PROTECTED]   |
===Debian=GNU/Linux===


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: retrouver un intrus

2002-03-28 Par sujet Davy Gigan 
Patrice Karatchentzeff writes:
  Salut,
  
  Je viens encore de subir une attaque (rpc machin) :
  
  Bon, autant je sais retrouver les auteurs d'un message, autant comment
  retrouver l'enfoiré qui tente de pénétrer chez moi (avec un 56k, y'en
  a qui n'ont pas peur...).

puisque tu en parles, pourquoi as tu, sur une ligne 56k un statd qui tourne
et qui est accessible en dehors de ta machine ? Tu fais quand même pas
serveur nfs via ton modem ? Si tu n'en as pas besoin vire le statd et
c'est réglé. Si tu en as besoin réellement, il est temps de mettre
un firewall sur ta machine = tu auras en plus une trace de la machine
source de l'attaque dans les logs d'iptable(/ipchains).

-- 
Davy Gigan
System  Network Administration  [Please no HTML, I'm not a browser]
University Of Caen (France)   [Pas d'HTML, je ne suis pas un navigateur]


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: retrouver un intrus

2002-03-28 Par sujet Thomas Nemeth 
Le 28.03.02, Patrice Karatchentzeff a tapoté :

| Salut,

Salut.

|[ The following text is in the iso-2022-jp character set. ]

Ah ?


| Je viens encore de subir une attaque (rpc machin) :
[...]
| Désolé pour le formatage.
|
| Bon, autant je sais retrouver les auteurs d'un message, autant comment
| retrouver l'enfoiré qui tente de pénétrer chez moi (avec un 56k, y'en
| a qui n'ont pas peur...).
| Il y a une trace quelque part ou je suis obligé de tout faire tracer ?

Oui, à moins que ton portmapper le fasse, ce que je ne pense pas.
C'est juste une option à rajouter sur quelques lignes d'ipchains
ou iptables et ça ne coûte pas grand chose.


| Merci

Avec plaisir.


| PS : c'est pendant la journée ou il y a une recrudescence de débiles
| profonds en ce moment ? C'est la deuxième fois en deux mois que l'on
| s'attaque à ma machine (qui est connectée avec un 56k !).

C'est sûrement un script kidie : les autres s'attaquent à de plus
gros poissons :)


Thomas
-- 
nbc dev/hda10: Invalid argument passed to ext2 library while setting
nbc GRRR, me faire ca a moi a cette heure la juste avant le grog du soir
Ol tronçoonnese
-+- Ol in Guide du linuxien pervers - Monsieur connait ses classiques.



-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re[1]: retrouver un intrus

2002-03-28 Par sujet Patrice Karatchentzeff 
Patrice Karatchentzeff écrivait :

désolé pour charset nippon : vm l'a transormé automatiquement à cause
des séquences d'échappement de la tentative d'intrusion.

Cela m'apprendra à la mettre en attaché la prochaine fois...

PK

-- 
  |\  _,,,---,,_   Patrice KARATCHENTZEFF
ZZZzz /,`.-'`'-.  ;-;;,_   mailto:[EMAIL PROTECTED]
 |,4-  ) )-,_. ,\ (  `'-'  http://p.karatchentzeff.free.fr
'---''(_/--'  `-'\_)   


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re[1]: retrouver un intrus

2002-03-28 Par sujet Patrice Karatchentzeff 
Davy Gigan écrivait :

[...]

  puisque tu en parles, pourquoi as tu, sur une ligne 56k un statd qui tourne
  et qui est accessible en dehors de ta machine ? Tu fais quand même pas
  serveur nfs via ton modem ? Si tu n'en as pas besoin vire le statd et

non en effet ; je ne m'étais pas trop préocupé de ce truc... Je n'en
ai besoin qu'occasionnellement en interne.

  c'est réglé. Si tu en as besoin réellement, il est temps de mettre

Bonne idée.

  un firewall sur ta machine = tu auras en plus une trace de la machine
  source de l'attaque dans les logs d'iptable(/ipchains).

Je vais devoir m'y mettre...

Merci à tous.

PK

-- 
  |\  _,,,---,,_   Patrice KARATCHENTZEFF
ZZZzz /,`.-'`'-.  ;-;;,_   mailto:[EMAIL PROTECTED]
 |,4-  ) )-,_. ,\ (  `'-'  http://p.karatchentzeff.free.fr
'---''(_/--'  `-'\_)   


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Re[1]: retrouver un intrus

2002-03-28 Par sujet Christian Marillat 
 PK == Patrice Karatchentzeff [EMAIL PROTECTED] writes:

 Patrice Karatchentzeff écrivait :

 désolé pour charset nippon : vm l'a transormé automatiquement à cause
 des séquences d'échappement de la tentative d'intrusion.

Pas grave exim a fait son boulot :

2002-03-28 17:55:42 sender rejected: Patrice Karatchentzeff [EMAIL PROTECTED]

Christian


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]