Re: Attaque via ssh? nan..

To: debian-user-french@lists.debian.org
Subject: Re: Attaque via ssh? nan..
From: François Boisson <user.anti-spam@maison.homelinux.net>
Date: Sat, 6 Nov 2004 17:44:21 +0100
Message-id: <[🔎] 20041106174421.3e3306c7.user.anti-spam@maison.homelinux.net>
In-reply-to: <[🔎] 41863EE900087129@mail1.bluewin.ch>
References: <[🔎] 41863EE900087129@mail1.bluewin.ch>

Le Sat, 6 Nov 2004 16:54:17 +0100
dlist <dlist@bluewin.ch> a écrit:

> 1) est-ce une attaque connue? si oui par quel méchant  robot? pourquoi
> les logs reportent des ports élevés (genre 44756) alors que le service
> ssh tourne sur le 22?
> 
> 2) comment s'en prémunir sachant que je dois avoir un accès ssh de
> l'extérieur?
> 
> 3) dois-je me soucier d'autre(s) chose(s) :-) ?

Réponse pour 1), ça y ressemble et si c'est le cas, ça doit être connu
mais l'essentiel est qu'en général on ne la connait pas... Pour les ports,
from 210.7.65.253 port 54142 signifie que cela venait du port 54142 de
l'IP 210.7.65.253, mais c'est sur ton port ssh.

Réponse pour la 2)
apt-get install ssh
pour avoir la version la plus à jour.

Réponse pour la 3), oui cela vient sans prévenir dès qu'on est un peu
négligent. Le principe consiste donc à pouvoir détecter une éventuelle
intrusion via analyse des logs et surveillance. J'ai eu une intrusion chez
moi l'année dernière (suite à un wu-ftpd non mis à jour et un noyau 2.4
avec faille (j'étais en train de compiler la nouvelle version)), j'avais
eu droit à suckit, etc installés en 1heure et demi. chkrootkit n'avait pas
fonctionné et j'ai fait (avec l'aide de la liste d'ailleurs) un programme
assez simple qui teste si il existe des processus cachés (type trojan): 

Paquet: cacheproc

Fonctionnement: cf  /usr/share/doc/cacheproc/README

il y a deux programmes: chercheprocess et le même en version silencieuse
(regarde) qui sert pour crontab:
Une ligne
0 *     * * *   root    /usr/bin/regarde

enverra un mail à root en cas de processus cachés trouvés. Il y a de très
rares cas de faux processus trouvés (process éphémère disparaissant lors
de sa découverte et sa recherche dans les processus affichés) mais c'est
très rare. Bien sûr, ne pas faire une confiance aveugle dans ce programme
mais j'avoue que ça me rassure pas mal.

Tu trouveras le paquet dans

deb [ftp|http]://boisson.homeip.net/[woody|sarge] ./

avec les sources dans

deb-src [ftp|http]://boisson.homeip.net/source ./


François Boisson

Reply to:

Follow-Ups:
- Re: Attaque via ssh? nan.. --> et maintenant vsftpd
  - From: dlist <dlist@bluewin.ch>

References:
- Attaque via ssh? nan..
  - From: dlist <dlist@bluewin.ch>

Prev by Date: Pb impression cupsys
Next by Date: [HS] question lexicale : logiciels libres et logiciels à code ouvert
Previous by thread: Re: Attaque via ssh? nan..
Next by thread: Re: Attaque via ssh? nan.. --> et maintenant vsftpd
Index(es):
- Date
- Thread