HS attaque ssh

To: debian-user-french@lists.debian.org
Subject: HS attaque ssh
From: luc schimpf <lucdeb@free.fr>
Date: Mon, 09 May 2011 21:07:26 +0200
Message-id: <[🔎] 4DC83B6E.5010207@free.fr>

Bonsoir,

j'ai un petit routeur/serveur sous squeeze.

Aujourd'hui, je vois la diode de ma freebox qui s'affole alors quethéoriquement personne n'est connecté, je fais donc un "netstat -lapute"sur mon serveur et je trouve la ligne suivante:

tcp 0 464 192.168.1.70:ssh 202.190.126.12:54133ESTABLISHED root 12802

que je trouve assez inquiétante, d'autant plus que le serveur ssh estconfigurer pour n'accepter que l'identification par clefs et refuser laconnexion de root.


J'ai fais
# grep -R "202.190.126.12" /var/log/*
sans résultat.

Vous l'aurez sans doute compris, je ne suis pas très calé sur lasécurité réseau, si quelqu'un pouvait m'expliquer comment netstat peuttrouver une connexion ESTABLISHED alors qu'il n'y a rien dans les logs.


Et comment je peux savoir ce que l'attaquant a fait ?
Merci
Luc



--

Luc Schimpf
www.au-ptit-bon-air.eu

Reply to:

Follow-Ups:
- Re: HS attaque ssh
  - From: Basile Starynkevitch <basile@starynkevitch.net>
- Re: HS attaque ssh
  - From: Stephane Bortzmeyer <stephane@sources.org>
- Re: HS attaque ssh
  - From: Ebling Andreas <ebling@free.fr>

Prev by Date: Re: serveurs Debian HS ?
Next by Date: Re: HS attaque ssh
Previous by thread: Re: Grub 2 configuration avec startupmanager
Next by thread: Re: HS attaque ssh
Index(es):
- Date
- Thread