Re: Intrusion: savoir à quoi correspond un port ouvert
Le Sun, 17 Feb 2008 14:15:28 +0100
"Luxpopuli Open source" <luxpopuli07@gmail.com> a écrit:
> Bonjour,
>
> J'ai manifestement un problème d'intrusion et quelqu'un lance, à partir de
> ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autre
> en espagne) m'ont fait parvenir des logs prouvant que des tentatives de
> connection SSH sont réalisées depuis ma machine.
>
> Pour ne pas avoir de problèmes avec mon FAI qui m'a également envoyé un mail
> me menaçant de "faire le nécessaire" (!) si je ne résolvais pas le problème,
> j'ai commencé par supprimer tous les packages liés à SSH
>
> Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
> premier, temps résoudre définitivement le problème. Mais est-ce si sûr ?!
>
> Avant de comprendre comment remttre en fonctionnement un client et un
> serveur SSH sur ma machine, je voudrais résoudre ce premier point:
>
Tu devrais faire un chkrootkit et chercher les processus caché (installe
cacheproc
http://boisson.homeip.net/debian/pool/etch/i386/cacheproc_1.0-2_i386.deb
et tape en su
# chercheprocess
ou
# regarde
Tu verras le processus cachés et la ligne de commande. Sans doute un truc
genre suckIT ou autre. Le ssh n'est pas celui de ta machine bien sûr...
François Boisson
Reply to: