Re: HS attaque ssh
On Mon, May 09, 2011 at 09:07:26PM +0200,
luc schimpf <lucdeb@free.fr> wrote
a message of 41 lines which said:
> tcp 0 464 192.168.1.70:ssh 202.190.126.12:54133
> ESTABLISHED root 12802
La Malaisie. C'est cool, l'Internet, on voyage.
> si quelqu'un pouvait m'expliquer comment netstat
> peut trouver une connexion ESTABLISHED alors qu'il n'y a rien dans
> les logs.
C'est la pile TCP de Linux qui accepte la connexion TCP (qui passe alors
dans l'état ESTABLISHED) avant que le serveur SSH ait vu quoi que ce
soit. Et comme ce dernier tourne sous root, netstat attribue la
connexion à root.
C'est si la connexion reste dans l'état ESTABLISHED plus de quelques
secondes qu'il faut s'inquiéter. Et regarder dans le journal.
PS : arme très efficace contre les attaques SSH, changer de port
<http://www.bortzmeyer.org/sshd-port-alternatif.html>.
Reply to: