Re: HS attaque ssh
Bonsoir,
En fait ta ligne veut juste dire que il y a une connexion, et que le daemon ssh tourne en root.
Jusqu'à la, rien d'anormal.
Bonne soirée,
Andreas
On May 9, 2011, at 9:07 PM, luc schimpf wrote:
> Bonsoir,
>
> j'ai un petit routeur/serveur sous squeeze.
> Aujourd'hui, je vois la diode de ma freebox qui s'affole alors que théoriquement personne n'est connecté, je fais donc un "netstat -lapute" sur mon serveur et je trouve la ligne suivante:
>
> tcp 0 464 192.168.1.70:ssh 202.190.126.12:54133 ESTABLISHED root 12802
>
> que je trouve assez inquiétante, d'autant plus que le serveur ssh est configurer pour n'accepter que l'identification par clefs et refuser la connexion de root.
>
> J'ai fais
> # grep -R "202.190.126.12" /var/log/*
> sans résultat.
>
> Vous l'aurez sans doute compris, je ne suis pas très calé sur la sécurité réseau, si quelqu'un pouvait m'expliquer comment netstat peut trouver une connexion ESTABLISHED alors qu'il n'y a rien dans les logs.
>
> Et comment je peux savoir ce que l'attaquant a fait ?
> Merci
> Luc
>
>
>
> --
>
> Luc Schimpf
> www.au-ptit-bon-air.eu
>
> --
> Lisez la FAQ de la liste avant de poser une question :
> http://wiki.debian.org/fr/FrenchLists
>
> Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
> vers debian-user-french-REQUEST@lists.debian.org
> En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
> Archive: [🔎] 4DC83B6E.5010207@free.fr">http://lists.debian.org/[🔎] 4DC83B6E.5010207@free.fr
>
--
Ebling Andreas
"Photography is a powerful art capable of holding a moment forever..."
http://www.ebling-photo.fr
Reply to: