Re: HS attaque ssh

To: luc schimpf <lucdeb@free.fr>
Cc: debian-user-french@lists.debian.org
Subject: Re: HS attaque ssh
From: Stephane Bortzmeyer <stephane@sources.org>
Date: Mon, 9 May 2011 21:17:12 +0200
Message-id: <[🔎] 20110509191712.GA28360@sources.org>
In-reply-to: <[🔎] 4DC83B6E.5010207@free.fr>
References: <[🔎] 4DC83B6E.5010207@free.fr>

On Mon, May 09, 2011 at 09:07:26PM +0200,
 luc schimpf <lucdeb@free.fr> wrote 
 a message of 41 lines which said:

> tcp        0    464 192.168.1.70:ssh        202.190.126.12:54133
> ESTABLISHED root       12802

La Malaisie. C'est cool, l'Internet, on voyage.
 
> si quelqu'un pouvait m'expliquer comment netstat
> peut trouver une connexion ESTABLISHED alors qu'il n'y a rien dans
> les logs.

C'est la pile TCP de Linux qui accepte la connexion TCP (qui passe alors
dans l'état ESTABLISHED) avant que le serveur SSH ait vu quoi que ce
soit. Et comme ce dernier tourne sous root, netstat attribue la
connexion à root.

C'est si la connexion reste dans l'état ESTABLISHED plus de quelques
secondes qu'il faut s'inquiéter. Et regarder dans le journal.

PS : arme très efficace contre les attaques SSH, changer de port
<http://www.bortzmeyer.org/sshd-port-alternatif.html>.

Reply to:

References:
- HS attaque ssh
  - From: luc schimpf <lucdeb@free.fr>

Prev by Date: Quel shell pour une connexion SSH ?
Next by Date: Re: serveurs Debian HS ?
Previous by thread: Re:[résolu] HS attaque ssh
Next by thread: Re: HS attaque ssh
Index(es):
- Date
- Thread