retrouver un intrus
Salut, (B (BJe viens encore de subir une attaque (rpc machin) : (B (B Mar 28 15:20:23 belledonne 173Mar 28 15:20:23 /sbin/rpc.statd[190]: (Bgethostbyname error for (B^X÷ÿ¿^X÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%62716x%hn%51859x%hn1Àë|YA^PA^HþÀA^DÃþÀ^A°fͳ^BY^LÆA^NÆA^H^PI^DA^D^L^A°fͳ^D°fͳ^E0ÀA^D°fÍÎ (B (BMar 28 15:20:23 belledonne Ç^F/binÇF^D/shA0ÀF^Gv^LV^PN^Ló°^KÍ°^AÍèÿÿÿ (B (BDésolé pour le formatage. (B (BBon, autant je sais retrouver les auteurs d'un message, autant comment (Bretrouver l'enfoiré qui tente de pénétrer chez moi (avec un 56k, y'en (Ba qui n'ont pas peur...). (B (BIl y a une trace quelque part ou je suis obligé de tout faire tracer ? (B (BMerci (B (BPK (B (BPS : c'est pendant la journée ou il y a une recrudescence de débiles (Bprofonds en ce moment ? C'est la deuxième fois en deux mois que l'on (Bs'attaque à ma machine (qui est connectée avec un 56k !). (B (B-- (B |\ _,,,---,,_ Patrice KARATCHENTZEFF (BZZZzz /,`.-'`'-. ;-;;,_ mailto:[EMAIL PROTECTED] (B |,4- ) )-,_. ,\ ( `'-' http://p.karatchentzeff.free.fr (B'---''(_/--' `-'\_)
Re: retrouver un intrus
Patrice Karatchentzeff wrote: Salut, Je viens encore de subir une attaque (rpc machin) : Mar 28 15:20:23 belledonne 173Mar 28 15:20:23 /sbin/rpc.statd[190]: gethostbyname error for ^X÷ÿ¿^X÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%62716x%hn%51859x%hn??? Normalement, les RPC ne devraient pas être accessible de l'exterieur. Est-ce que le daemon portmap tourne sur ta machine ? Si tu n'utilises pas les RPC arrête portmap : /etc/init.d/portmap stop Si tu as besoin des RPC, configure ton firewall pour interdire les accès de l'exterieur vers portmap (UDP/TCP 111). -- == | FREDERIC MASSOT | | http://www.juliana-multimedia.com | | mailto:[EMAIL PROTECTED] | ===Debian=GNU/Linux=== -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: retrouver un intrus
Patrice Karatchentzeff writes: Salut, Je viens encore de subir une attaque (rpc machin) : Bon, autant je sais retrouver les auteurs d'un message, autant comment retrouver l'enfoiré qui tente de pénétrer chez moi (avec un 56k, y'en a qui n'ont pas peur...). puisque tu en parles, pourquoi as tu, sur une ligne 56k un statd qui tourne et qui est accessible en dehors de ta machine ? Tu fais quand même pas serveur nfs via ton modem ? Si tu n'en as pas besoin vire le statd et c'est réglé. Si tu en as besoin réellement, il est temps de mettre un firewall sur ta machine = tu auras en plus une trace de la machine source de l'attaque dans les logs d'iptable(/ipchains). -- Davy Gigan System Network Administration [Please no HTML, I'm not a browser] University Of Caen (France) [Pas d'HTML, je ne suis pas un navigateur] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: retrouver un intrus
Le 28.03.02, Patrice Karatchentzeff a tapoté : | Salut, Salut. |[ The following text is in the iso-2022-jp character set. ] Ah ? | Je viens encore de subir une attaque (rpc machin) : [...] | Désolé pour le formatage. | | Bon, autant je sais retrouver les auteurs d'un message, autant comment | retrouver l'enfoiré qui tente de pénétrer chez moi (avec un 56k, y'en | a qui n'ont pas peur...). | Il y a une trace quelque part ou je suis obligé de tout faire tracer ? Oui, à moins que ton portmapper le fasse, ce que je ne pense pas. C'est juste une option à rajouter sur quelques lignes d'ipchains ou iptables et ça ne coûte pas grand chose. | Merci Avec plaisir. | PS : c'est pendant la journée ou il y a une recrudescence de débiles | profonds en ce moment ? C'est la deuxième fois en deux mois que l'on | s'attaque à ma machine (qui est connectée avec un 56k !). C'est sûrement un script kidie : les autres s'attaquent à de plus gros poissons :) Thomas -- nbc dev/hda10: Invalid argument passed to ext2 library while setting nbc GRRR, me faire ca a moi a cette heure la juste avant le grog du soir Ol tronçoonnese -+- Ol in Guide du linuxien pervers - Monsieur connait ses classiques. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re[1]: retrouver un intrus
Patrice Karatchentzeff écrivait : désolé pour charset nippon : vm l'a transormé automatiquement à cause des séquences d'échappement de la tentative d'intrusion. Cela m'apprendra à la mettre en attaché la prochaine fois... PK -- |\ _,,,---,,_ Patrice KARATCHENTZEFF ZZZzz /,`.-'`'-. ;-;;,_ mailto:[EMAIL PROTECTED] |,4- ) )-,_. ,\ ( `'-' http://p.karatchentzeff.free.fr '---''(_/--' `-'\_) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re[1]: retrouver un intrus
Davy Gigan écrivait : [...] puisque tu en parles, pourquoi as tu, sur une ligne 56k un statd qui tourne et qui est accessible en dehors de ta machine ? Tu fais quand même pas serveur nfs via ton modem ? Si tu n'en as pas besoin vire le statd et non en effet ; je ne m'étais pas trop préocupé de ce truc... Je n'en ai besoin qu'occasionnellement en interne. c'est réglé. Si tu en as besoin réellement, il est temps de mettre Bonne idée. un firewall sur ta machine = tu auras en plus une trace de la machine source de l'attaque dans les logs d'iptable(/ipchains). Je vais devoir m'y mettre... Merci à tous. PK -- |\ _,,,---,,_ Patrice KARATCHENTZEFF ZZZzz /,`.-'`'-. ;-;;,_ mailto:[EMAIL PROTECTED] |,4- ) )-,_. ,\ ( `'-' http://p.karatchentzeff.free.fr '---''(_/--' `-'\_) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Re[1]: retrouver un intrus
PK == Patrice Karatchentzeff [EMAIL PROTECTED] writes: Patrice Karatchentzeff écrivait : désolé pour charset nippon : vm l'a transormé automatiquement à cause des séquences d'échappement de la tentative d'intrusion. Pas grave exim a fait son boulot : 2002-03-28 17:55:42 sender rejected: Patrice Karatchentzeff [EMAIL PROTECTED] Christian -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]