Re: [HELP] Sécurité

To: debian-user-french@lists.debian.org
Subject: Re: [HELP] Sécurité
From: fra-duf-no-spam@tourde.org (François TOURDE)
Date: Tue, 25 Jul 2006 21:09:53 +0200
Message-id: <[🔎] 87u055o60u.fsf@tourde.org>
Reply-to: debian-user-french@lists.debian.org
In-reply-to: <[🔎] muxodvd4sne.fsf@uzeb.lrde.epita.fr> (Didier Verna's message of "Tue, 25 Jul 2006 17:21:25 +0200")
References: <[🔎] muxodvd4sne.fsf@uzeb.lrde.epita.fr>

Le 13354ième jour après Epoch,
Didier Verna écrivait:

>         Salut,
>
> j'ai peur d'avoir été hacké sur ma machine Debian maison, et je voudrais bien
> des conseils car je n'y connais rien en sécurité (et d'ailleurs, j'aimerais
> continuer à ne rien y connaître ;-):
>
>
> - première chose suspecte dans sshd.log:
>
>   Jul 25 16:35:24 vernoupiac sshd[4417]: Accepted publickey for
>   didier from 62.39.139.1 port 46088 ssh2

Ton compte shell est "didier" ? L'ip en question est-elle la tienne?
Comment est ta liaison? As-tu ouvert une session ssh à ce moment-là?
As-tu des programmes qui font ça ?

>   Rien à voir avec moi, puisque j'étais devant ma machine à ce moment là. J'ai
>   aussitôt coupé sshd. Je pense qu'il va falloir que je refasse mes clés ssh.
>   La question que je me pose est: est-ce que le message ci-dessus indique que
>   le type a pu se loguer ou pas forcément (car une passphrase est requise pour
>   ma clé).
>
>
> - ensuite, je suis maintenant floodé de requêtes par une IP étrangement
>   proche, comme le montre tcpdump:
>
>   16:50:13.173215 IP vernoupiac.local.34546 >
>   2.139.39-62.rev.gaoland.net.ssh:. ack 4320 win 63712
>   <nop,nop,timestamp 105350790 336125072>
>
>
>   Qu'est-ce que ça veut dire cette ligne ?

Que ta machine locale envoie un ack à la machine
2.139.39-62.rev.gaoland.net.ssh ...

La proximité des deux IP est étonnante.

> La partie "vernoupiac.local" me laisse penser que cette attaque est une
> conséquence de mon installation récente de Avahi (pour communiquer plus
> facilement avec mon Mac Book).

Ah? Comment ça? Tu peux nous donner plus de détails?

> Maintenant, je me demande si en installant des
> trucs sur celui-ci (genre ssh-agent pour Mac), je n'ai pas installé des
> chevaux de troie par la même occasion.

Ou simplement des programmes à qui tu as donné ta clef ssh, et qui
s'en servent pour communiquer.

> Toute aide sur les mesures à prendre sera la bienvenue !

Toute infos supplémentaire concernant ton réseau, ta façon d'être
connecté, etc.. peut être utile aussi.

A mon avis, soit on t'as volé ta clef ssh, soit tu l'as donnée à un
programme, soit tu as une version de ssh qui n'est pas trop standard.

Reply to:

References:
- [HELP] Sécurité
  - From: Didier Verna <didier@lrde.epita.fr>

Prev by Date: Re: ALSA et snd_cards_limit
Next by Date: Re: Problème avec la config de Emacs sous Ubuntu Dapper
Previous by thread: Re: [HELP] Sécurité
Next by thread: alsaconf ne garde pas mes paramètres
Index(es):
- Date
- Thread