(Courriels de diversion: <induirions@tropical-cigarettes.com> <installation@devalisait-echange.com> <degrossirais@nuitees-ficellerait.com> <enfleriez@pallierent-captureriez.com> <paraissait@poudrait-navrerez.com> <enneigement@masseraient-commencerions.com> <exaspereriez@sautillant-fusillions.com> <scelles@partageurs-divorcerons.com> <decontractera@ciblees-stands.com> <parcellisera@microfilmait-oiseuses.com> )
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Frédéric ZULIAN wrote: > Bonjour, > > Y a t-il une solution pour bloquer ssh aprés 3 tentatives de connexions > infructueuses (Un peu comme les cartes bleu) ? > > Le contexte : > > Ce matin, j'ouvre une session sur ma passerelle et ssh me dit : > > Last login : machinbidule.de à 1h du matin > > j'ai trouvé un nouveau repertoire dénommé /gov avec > des listes d'ip et de mots. > > Une idée ? 1) debrancher la machine d'internet 2) essayer de comprendre comment ton pirate est rentré sur ta machine (verifier en particulier si tu etais a jour par rapport aux failles de securité) 3) verifier la presence de rootkit (utiliser : chkrootkit, rkhunter ) 4) re-installer le systeme ! tu n'as aucun moyen fiable de savoir ce qui a été compromis sur ta machine. ton pirate peut tres bien avoir mis ce repertoire /gov comme leurre et placé un rootkit ailleurs. tu peux te retrouver un jour comme relai de spammeur ou pire encore. 5) utiliser a l'avenir un logiciel de controle d'integrité : <pub>afick</pub> par exemple (ou tripwire, aide ...) - -- Eric Gerbier -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iD8DBQFDvUC0Nzh6q8tvpCoRAk2BAJ9TblQkzXCZkvg8FIqb0R/OOrCX5wCfZEjo fOCi4qqKoMaxPDjdQI/vopI= =h492 -----END PGP SIGNATURE----- -------------------------------------------------------------------- Les listes de diffusion occultes: <URL:http://www.CULTe.org/listes/>