Bonjour, >> J'ai manifestement un problème d'intrusion et quelqu'un lance, à >> partir de ma machine, des attaques SSH. Au moins deux personnes (une >> aux USA l'autre en espagne) m'ont fait parvenir des logs prouvant >> que des tentatives de connection SSH sont réalisées depuis ma >> machine. J'ai eu ce problème, avec plainte du FAI. Je m'étais fait poutré un serveur IRC. > D'expérience, ta machine est "foutue", et devra très probablement être > réinstallée. Tout dépend si root a été compromis et/ou des backdoors/rootkits installés... Il est toutefois plus prudent de réinstaller effectivement. A titre informatif, dans mon cas: - l'attaquant avait poutré un serveur irc (je ne me souvient plus du nom, un vieux et plus developpé) - il était donc logué en tant qu'utilisateur "irc" - il avait téléchargé des binaires d'attaque de serveurs ssh par bruteforce, qu'il avait placé dans un répertoire temporaire dans lequel il avait les droits :/ C'était pas très discret, avec un load de 4 sur un bi-p3 alors qu'habituellement le laod est extremement bas :D et ça blastait sur le port 22 en toute directions (j'ai eu une plainte du FAI avec relevé de logs) >>Donc plus de client ni de serveur sur ma machine. Ca devrait, dans >> un premier, temps résoudre définitivement le problème. Mais est-ce >> si sûr ?! Non, car l'attaquant n'utilise pas forcément tes propres binaires mais à téléchargé les siens, afin de bruteforcer... > [optionnel: prendre une image de la/des partitions système, pour > analyse post-mortem éventuelle,] un petit coup de forensics permettrait effectivement d'en apprendre un peu plus afin de prendre les mesures nécessaires afin d'éviter que cela recommence. >> Ce port 28011 n'est pas mentionné dans /etc/services (sinon il ne >> serait pas référencé comme "unknown"). comment se fait il que ce port sois ouvert sur ta machine ? tu n'as pas configuré correctement les règles iptables ? netstat et lsof te permettent d'en savoir plus sur les ports ouverts sur ta machine et les processus qui les utilisent. Il se pourrait que ce soit une backdoor. HS: est il possible de "transferer" les inscriptions aux ML vers un autre email ? ou faut il se désinscrire/réinscrire ? Merci :) -- Sébastien BOCAHU - Zecrazytux Mandriva Linux Etraining developper SUPINFO PS2 (51237), Linux Lab www.zecrazytux.net - zecrazytux@im.apinc.org Please avoid sending me files in proprietary formats, such as microsoft word or excel. Please use open standards instead (for example, pdf). --------------------------------- This message and any attachments (hereinafter referred to as the "message") is intended solely for the addressees and is confidential. If you receive this message in error, please delete it and immediately notify the sender at The International Institute of Information Technology (hereinafter referred to as "SUPINFO"). Any use not in accord with its purpose, any dissemination or disclosure, either whole or partial, is prohibited except formal approval. Because the internet can not guarantee the integrity of this message, SUPINFO and its subsidiaries, laboratories and regional branches will not therefore be liable for the message that could only engage his author, not SUPINFO, and only if not modified. --------------------------------- Ce message et toutes les pieces jointes (ci-apres dénommé le "message") sont etablis a l'attention exclusive de ses destinataires et sont donc confidentiels. Si toutefois vous recevez ce message par erreur, nous vous remercions de bien vouloir le detruire et d'en avertir immediatement l'expediteur au sein de l'Ecole Supérieure d'Informatique (ci-après dénommée "SUPINFO"). Toute utilisation de ce message non conforme a sa destination, toute diffusion ou toute publication, totale ou partielle, est interdite, sauf autorisation expresse. Internet ne permettant pas d'assurer l'integrite des messages e-mail en général et donc de ce message en particulier, SUPINFO et ses filiales, sites régionaux, laboratoires ou autres entités attachées, declinent toute responsabilite au titre du présent message qui ne pourrait engager que son auteur et non SUPINFO et seulement dans l'hypothese ou le message n'aurait pas ete modifie par quelque moyen que ce soit. ---------------------------------
begin:vcard fn;quoted-printable:S=C3=A9bastien BOCAHU n;quoted-printable:BOCAHU;S=C3=A9bastien org:SUPINFO - Mandriva Linux;SUPINFO Linux Lab - Mandriva Etraining email;internet:zecrazytux@supinfo.com title:SUPINFO Student - Mandriva developper tel;cell:06 31 75 67 15 note;quoted-printable:Please avoid sending me files in proprietary formats, such as microsoft= word or excel. Please use open standards instead (for example, pdf)=0D=0A= =0D=0A= Jabber: zecrazytux@im.apinc.org=0D=0A= x-mozilla-html:FALSE url:www.zecrazytux.net version:2.1 end:vcard
Attachment:
signature.asc
Description: OpenPGP digital signature