Re: Attaque via ssh? nan.. --> et maintenant vsftpd

To: debian-user-french@lists.debian.org
Subject: Re: Attaque via ssh? nan.. --> et maintenant vsftpd
From: dlist <dlist@bluewin.ch>
Date: Sat, 6 Nov 2004 18:17:05 +0100
Message-id: <[🔎] 41888440000520A1@mail2.bluewin.ch> (added by postmaster@bluewin.ch)
In-reply-to: <[🔎] 20041106174421.3e3306c7.user.anti-spam@maison.homelinux.net>
References: <[🔎] 41863EE900087129@mail1.bluewin.ch> <[🔎] 20041106174421.3e3306c7.user.anti-spam@maison.homelinux.net>

Le samedi 06 nov 2004 à 17 h 44, François a dit:

> Le Sat, 6 Nov 2004 16:54:17 +0100
> dlist <dlist@bluewin.ch> a écrit:
> 
> > 1) est-ce une attaque connue? si oui par quel méchant  robot?
> > pourquoi les logs reportent des ports élevés (genre 44756) alors
> > que le service ssh tourne sur le 22?
> > 
> > 2) comment s'en prémunir sachant que je dois avoir un accès ssh de
> > l'extérieur?
> > 
> > 3) dois-je me soucier d'autre(s) chose(s) :-) ?
> 
> Réponse pour 1), ça y ressemble et si c'est le cas, ça doit être
> connu mais l'essentiel est qu'en général on ne la connait pas...
> Pour les ports, from 210.7.65.253 port 54142 signifie que cela
> venait du port 54142 de l'IP 210.7.65.253, mais c'est sur ton port
> ssh.
> 

ok.

> Réponse pour la 2)
> apt-get install ssh
> pour avoir la version la plus à jour.

le fait tous les 2-3 jours, dont aujourd'hui.

> 
> Réponse pour la 3), oui cela vient sans prévenir dès qu'on est un
> peu négligent. Le principe consiste donc à pouvoir détecter une
> éventuelle intrusion via analyse des logs et surveillance. J'ai eu
> une intrusion chez moi l'année dernière (suite à un wu-ftpd non mis
> à jour et un noyau 2.4 avec faille (j'étais en train de compiler la
> nouvelle version)), j'avais eu droit à suckit, etc installés en
> 1heure et demi. chkrootkit n'avait pas fonctionné et j'ai fait (avec
> l'aide de la liste d'ailleurs) un programme assez simple qui teste
> si il existe des processus cachés (type trojan): 
> 
> Paquet: cacheproc
> 
> Fonctionnement: cf  /usr/share/doc/cacheproc/README
> 
> il y a deux programmes: chercheprocess et le même en version
> silencieuse(regarde) qui sert pour crontab:
> Une ligne
> 0 *     * * *   root    /usr/bin/regarde
> 
> enverra un mail à root en cas de processus cachés trouvés. Il y a de
> très rares cas de faux processus trouvés (process éphémère
> disparaissant lors de sa découverte et sa recherche dans les
> processus affichés) mais c'est très rare. Bien sûr, ne pas faire une
> confiance aveugle dans ce programme mais j'avoue que ça me rassure
> pas mal.
> 
> Tu trouveras le paquet dans
> 
> deb [ftp|http]://boisson.homeip.net/[woody|sarge] ./
> 
> avec les sources dans
> 
> deb-src [ftp|http]://boisson.homeip.net/source ./
> 

ok j'irais voir merci.


Par ailleurs j'observe présentement des tentatives de connexions sur
mon serveurs vsftpd :

vsftpd: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=
ruser= rhost=68.111.3.35

C'est quoi, une épidémie?

> 
> François Boisson
> 
> 
> -- 
> Pensez à lire la FAQ de la liste avant de poser une question :
> http://wiki.debian.net/?DebianFrench
> 
> Pensez à rajouter le mot ``spam'' dans vos champs "From" et
> "Reply-To:"
> 
> To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmaster@lists.debian.org
>

Reply to:

Follow-Ups:
- Re: Attaque via ssh? nan.. --> et maintenant vsftpd
  - From: François Boisson <user.anti-spam@maison.homelinux.net>

References:
- Attaque via ssh? nan..
  - From: dlist <dlist@bluewin.ch>
- Re: Attaque via ssh? nan..
  - From: François Boisson <user.anti-spam@maison.homelinux.net>

Prev by Date: Re: De l'utilité de clamv
Next by Date: Re: [HS] question lexicale : logiciels libres et logiciels à code ouvert
Previous by thread: Re: Attaque via ssh? nan..
Next by thread: Re: Attaque via ssh? nan.. --> et maintenant vsftpd
Index(es):
- Date
- Thread