(Courriels de diversion: <blessants@desinfectees-anicroche.com> <truffons@ristournez-impair.com> <ramenerais@tapisserent-embarquerais.com> <falsifieraient@fillettes-reclament.com> <aigrissant@residerons-chretiente.com> <emboîtement@nommeriez-brevetees.com> <spoliiez@detraquerais-forons.com> <causiez@detraquiez-projectionnistes.com> <bouleverseriez@sequencage-pleutre.com> <emacies@clandestinement-casse-croute.com> )
Salut Ce serait intéressant que tu proposes un recapitulatif sous forme de conf pour les débutants, ex avec chkrootkit et tripwire sur sarge Le 12/01/06, Frédéric ZULIAN<zulian@free.fr> a écrit :> Le Thu, Jan 05, 2006 at 04:52:20PM +0100, GERBIER Eric écrivait : > > -----BEGIN PGP SIGNED MESSAGE----- > > Hash: SHA1 > > > > Frédéric ZULIAN wrote: > > > Bonjour, > > > > > > Y a t-il une solution pour bloquer ssh aprés 3 tentatives de connexions > > > infructueuses (Un peu comme les cartes bleu) ? > > > > > > > > > > Le contexte : > > > > > > Ce matin, j'ouvre une session sur ma passerelle et ssh me dit : > > > > > > Last login : machinbidule.de à 1h du matin > > > > > > j'ai trouvé un nouveau repertoire dénommé /gov avec > > > des listes d'ip et de mots. > > > > > > Une idée ? > > > > 1) debrancher la machine d'internet > > > > 2) essayer de comprendre comment ton pirate est rentré sur ta machine > > (verifier en particulier si tu etais a jour par rapport aux failles de securité) > > En regardant les logs : Il est rentré avec ssh via un compte > utilisateur dont il a réussi à trouver le mot de passe. > > Puis il a installé un répertoire avec une série de scripts. > > Ensuite il a tenté de se connecter en root. D'aprés les logs il n'a pas > réussi. > > J'ai cepenadnt préféré procéder à une réinstallation compléte à partir > de mes archives. > > > 3) verifier la presence de rootkit (utiliser : chkrootkit, rkhunter ) > > chkrootkit : Désormais il est lancé quotidiennement via cron. > > > > 4) re-installer le systeme ! > > tu n'as aucun moyen fiable de savoir ce qui a été compromis sur ta machine. ton > > pirate peut tres bien avoir mis ce repertoire /gov comme leurre et placé un > > rootkit ailleurs. tu peux te retrouver un jour comme relai de spammeur ou pire > > encore. > > Effectivement, c'est fait, j'ai préféré ne pas prendre de risque. > > > > 5) utiliser a l'avenir un logiciel de controle d'integrité : <pub>afick</pub> > > par exemple (ou tripwire, aide ...) > > > > afick est sur sourceforge mais je ne l'ai pas trouvé dans les > paquets officiels "Debian". Tout au moins aptitude ne me le trouve pas > alors que j'ai les sources stable/testing/unstable via http://ftp.info.iut-tlse3.fr/debian/ > > il y a une raison technique pour qu'il ne soit pas intégré aux sources > officielles ( Je ne voudrais pas rendre plus "instable" ma Debian unstable) ? > > > Donc, J'ai provisoirement installé tripwire. Le seul problème est que je n'ai pas encore > trouvé le moyen de lui faire envoyé un mail lorsqu'il trouve une différence. > J'en suis encore à la méthode "manuelle" :-) > > Damned !, au premier passage sur http://afick.sourceforge.net/ je n'avais pas vu qu'afick avait une interface graphique. > Une bonne raison de l'essayer. je vais le "tenter". > > -- > Frédéric Zulian > f1sxo > http://www.zulian.com/ > > -------------------------------------------------------------------- > Les listes de diffusion occultes: <URL:http://www.CULTe.org/listes/> > > -------------------------------------------------------------------- Les listes de diffusion occultes: <URL:http://www.CULTe.org/listes/>