[HELP] Sécurité
Salut,
j'ai peur d'avoir été hacké sur ma machine Debian maison, et je voudrais bien
des conseils car je n'y connais rien en sécurité (et d'ailleurs, j'aimerais
continuer à ne rien y connaître ;-):
- première chose suspecte dans sshd.log:
Jul 25 16:35:24 vernoupiac sshd[4417]: Accepted publickey for didier from 62.39.139.1 port 46088 ssh2
Rien à voir avec moi, puisque j'étais devant ma machine à ce moment là. J'ai
aussitôt coupé sshd. Je pense qu'il va falloir que je refasse mes clés ssh.
La question que je me pose est: est-ce que le message ci-dessus indique que
le type a pu se loguer ou pas forcément (car une passphrase est requise pour
ma clé).
- ensuite, je suis maintenant floodé de requêtes par une IP étrangement
proche, comme le montre tcpdump:
16:50:13.173215 IP vernoupiac.local.34546 > 2.139.39-62.rev.gaoland.net.ssh:. ack 4320 win 63712 <nop,nop,timestamp 105350790 336125072>
Qu'est-ce que ça veut dire cette ligne ?
La partie "vernoupiac.local" me laisse penser que cette attaque est une
conséquence de mon installation récente de Avahi (pour communiquer plus
facilement avec mon Mac Book). Maintenant, je me demande si en installant des
trucs sur celui-ci (genre ssh-agent pour Mac), je n'ai pas installé des
chevaux de troie par la même occasion.
Toute aide sur les mesures à prendre sera la bienvenue !
--
Didier Verna, didier@lrde.epita.fr, http://www.lrde.epita.fr/~didier
EPITA / LRDE, 14-16 rue Voltaire Tel.+33 (1) 44 08 01 85
94276 Le Kremlin-Bicêtre, France Fax.+33 (1) 53 14 59 22 didier@xemacs.org
Reply to: