Le samedi 06 nov 2004 à 17 h 44, François a dit: > Le Sat, 6 Nov 2004 16:54:17 +0100 > dlist <[EMAIL PROTECTED]> a écrit: > > > 1) est-ce une attaque connue? si oui par quel méchant robot? > > pourquoi les logs reportent des ports élevés (genre 44756) alors > > que le service ssh tourne sur le 22? > > > > 2) comment s'en prémunir sachant que je dois avoir un accès ssh de > > l'extérieur? > > > > 3) dois-je me soucier d'autre(s) chose(s) :-) ? > > Réponse pour 1), ça y ressemble et si c'est le cas, ça doit être > connu mais l'essentiel est qu'en général on ne la connait pas... > Pour les ports, from 210.7.65.253 port 54142 signifie que cela > venait du port 54142 de l'IP 210.7.65.253, mais c'est sur ton port > ssh. >
ok. > Réponse pour la 2) > apt-get install ssh > pour avoir la version la plus à jour. le fait tous les 2-3 jours, dont aujourd'hui. > > Réponse pour la 3), oui cela vient sans prévenir dès qu'on est un > peu négligent. Le principe consiste donc à pouvoir détecter une > éventuelle intrusion via analyse des logs et surveillance. J'ai eu > une intrusion chez moi l'année dernière (suite à un wu-ftpd non mis > à jour et un noyau 2.4 avec faille (j'étais en train de compiler la > nouvelle version)), j'avais eu droit à suckit, etc installés en > 1heure et demi. chkrootkit n'avait pas fonctionné et j'ai fait (avec > l'aide de la liste d'ailleurs) un programme assez simple qui teste > si il existe des processus cachés (type trojan): > > Paquet: cacheproc > > Fonctionnement: cf /usr/share/doc/cacheproc/README > > il y a deux programmes: chercheprocess et le même en version > silencieuse(regarde) qui sert pour crontab: > Une ligne > 0 * * * * root /usr/bin/regarde > > enverra un mail à root en cas de processus cachés trouvés. Il y a de > très rares cas de faux processus trouvés (process éphémère > disparaissant lors de sa découverte et sa recherche dans les > processus affichés) mais c'est très rare. Bien sûr, ne pas faire une > confiance aveugle dans ce programme mais j'avoue que ça me rassure > pas mal. > > Tu trouveras le paquet dans > > deb [ftp|http]://boisson.homeip.net/[woody|sarge] ./ > > avec les sources dans > > deb-src [ftp|http]://boisson.homeip.net/source ./ > ok j'irais voir merci. Par ailleurs j'observe présentement des tentatives de connexions sur mon serveurs vsftpd : vsftpd: (pam_unix) authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=68.111.3.35 C'est quoi, une épidémie? > > François Boisson > > > -- > Pensez à lire la FAQ de la liste avant de poser une question : > http://wiki.debian.net/?DebianFrench > > Pensez à rajouter le mot ``spam'' dans vos champs "From" et > "Reply-To:" > > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact > [EMAIL PROTECTED] >