Le jeudi 5 mars 2009 10:25, Matthieu Chauveau a écrit : | Bonjour à tous, Bonjour,
[...] | On remarque ainsi que le service ssh a bien été détecté sur le port 2022 | mais qu'il n'a pas été capable de déterminer la version exact dont il donne | la signature en fin d'analyse. | On retrouve facilement dans la signature la version du service | ssh :OpenSSH_5.1p1 Debian-3ubuntu1 | On peux meme en déduire la version de l'OS (bien que l'option -A soit un peu | plus indiquée) J'ai le même cas sur le port 25 ( * ) de mon serveur de courrier actuel. C'est très instructif. | Sinon concernant le changement de port du service ssh, je considère que ce | n'est pas une nécessité si l'on utilise un système tel que denyhost qui va | bannir les IP qui ont fait trop de tentatives de connection en échec (3 par | défaut). Oui, je vais travailler dessus un peu plus tard. C'est l'une des étapes que j'ai recencée parmi toutes celles qui m'ont été indiquées ici sur cette liste il y a un mois. | Mais en considérant que les attaques sont réalisées par des robot qui ne | vont pas chercher ssh sur un autre port que le port 22 on peut estimer que | cela réduit tout de meme les risques liés à une éventuelle faille de ssh par | ex. C'est la première mesure que j'ai prise. Je l'ai appliquée directement sur la box. Le résultat a été instantané. Il y avait 20 à 22 tentatives à la minute. C'est tombé à zéro. Je ne vais pas me contenter de ce résultat. Je vais mettre en pratique ce qui m'a été conseillé ici, même si dès à présent c'est plus une question d'améliorer mon savoir faire que la nécessité de sécuriser absolument la machine qui est actuellement encore l'objet des attaques. Pour mémoire, c'est une machine qui est utilisée par de très grands débutants et que j'administre à distance. | J'espere avoir éclairé un peu la chose. Tout à fait et je te remercie pour les explications détaillées. Au travers d'un simple exemple concret, elles me permettent de consolider ce que j'absorbe au compte goutte. ( * ) L'exemple chez moi avec la complicité de nmapfe ;-) $ nmap -sT -sV -PT 192.168.3.111 Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-03-05 10:56 CET Interesting ports on 192.168.3.111: Not shown: 1672 closed ports PORT STATE SERVICE VERSION 21/tcp open ftp ProFTPD 1.3.0 25/tcp open smtp? 80/tcp open http Apache httpd 2.2.3 ((Debian) PHP/5.2.0-8+etch13) 110/tcp open pop3 Qpopper pop3d 4.0.5 143/tcp open imap UW Imapd 2003.339 221/tcp open ssh OpenSSH 3.8.1p1 Debian 8.sarge.6 (protocol 2.0) 993/tcp open ssl/imap UW Imapd 2003.339 4559/tcp open hylafax HylaFAX 4.3.1 1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cgi-bin/servicefp-submit.cgi : SF-Port25-TCP:V=4.11%I=7%D=3/5%Time=49AFA1E4%P=i686-pc-linux-gnu%r(NULL,A, SF:"220\x20hum\?\r\n")%r(Help,33,"220\x20hum\?\r\n502\x205\.5\.2\x20Error: SF:\x20command\x20not\x20recognized\r\n")%r(GenericLines,44,"220\x20hum\?\ SF:r\n500\x205\.5\.2\x20Error:\x20bad\x20syntax\r\n500\x205\.5\.2\x20Error SF::\x20bad\x20syntax\r\n")%r(GetRequest,3D,"220\x20hum\?\r\n221\x202\.7\. SF:0\x20Error:\x20I\x20can\x20break\x20rules,\x20too\.\x20Goodbye\.\r\n")% SF:r(HTTPOptions,50,"220\x20hum\?\r\n502\x205\.5\.2\x20Error:\x20command\x SF:20not\x20recognized\r\n500\x205\.5\.2\x20Error:\x20bad\x20syntax\r\n")% SF:r(RTSPRequest,50,"220\x20hum\?\r\n502\x205\.5\.2\x20Error:\x20command\x SF:20not\x20recognized\r\n500\x205\.5\.2\x20Error:\x20bad\x20syntax\r\n")% SF:r(RPCCheck,A,"220\x20hum\?\r\n")%r(DNSVersionBindReq,A,"220\x20hum\?\r\ SF:n")%r(DNSStatusRequest,A,"220\x20hum\?\r\n")%r(SSLSessionReq,33,"220\x2 SF:0hum\?\r\n502\x205\.5\.2\x20Error:\x20command\x20not\x20recognized\r\n" SF:)%r(SMBProgNeg,A,"220\x20hum\?\r\n")%r(X11Probe,A,"220\x20hum\?\r\n")%r SF:(FourOhFourRequest,3D,"220\x20hum\?\r\n221\x202\.7\.0\x20Error:\x20I\x2 SF:0can\x20break\x20rules,\x20too\.\x20Goodbye\.\r\n")%r(LPDString,33,"220 SF:\x20hum\?\r\n502\x205\.5\.2\x20Error:\x20command\x20not\x20recognized\r SF:\n")%r(LDAPBindReq,A,"220\x20hum\?\r\n")%r(LANDesk-RC,A,"220\x20hum\?\r SF:\n")%r(TerminalServer,A,"220\x20hum\?\r\n")%r(NCP,A,"220\x20hum\?\r\n") SF:%r(NotesRPC,A,"220\x20hum\?\r\n")%r(NessusTPv10,33,"220\x20hum\?\r\n502 SF:\x205\.5\.2\x20Error:\x20command\x20not\x20recognized\r\n")%r(WMSReques SF:t,A,"220\x20hum\?\r\n")%r(oracle-tns,A,"220\x20hum\?\r\n"); Service Info: Host: localhost.localdomain; OSs: Unix, Linux, unix Nmap finished: 1 IP address (1 host up) scanned in 104.253 seconds -- Cordialement Alain Vaugham -------------------------------------------------------- [PUB] Signature numérique GPG de ce courrier: 0xD26D18BC
pgps2ltYZ5mye.pgp
Description: PGP signature
_________________________________ Linux mailing list [email protected] http://lists.parinux.org/mailman/listinfo/linux
