(Courriels de diversion: <carrellera@presageras-blessants.com> <desinfectees@anicroche-truffons.com> <ristournez@impair-ramenerais.com> <tapisserent@embarquerais-falsifieraient.com> <fillettes@reclament-aigrissant.com> <residerons@chretiente-emboîtement.com> <nommeriez@brevetees-spoliiez.com> <detraquerais@forons-causiez.com> <detraquiez@projectionnistes-bouleverseriez.com> <sequencage@pleutre-emacies.com> )
Le Thu, Jan 05, 2006 at 04:52:20PM +0100, GERBIER Eric écrivait : > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA1 > > Frédéric ZULIAN wrote: > > Bonjour, > > > > Y a t-il une solution pour bloquer ssh aprés 3 tentatives de connexions > > infructueuses (Un peu comme les cartes bleu) ? > > > > > > Le contexte : > > > > Ce matin, j'ouvre une session sur ma passerelle et ssh me dit : > > > > Last login : machinbidule.de à 1h du matin > > > > j'ai trouvé un nouveau repertoire dénommé /gov avec > > des listes d'ip et de mots. > > > > Une idée ? > > 1) debrancher la machine d'internet > > 2) essayer de comprendre comment ton pirate est rentré sur ta machine > (verifier en particulier si tu etais a jour par rapport aux failles de securité) En regardant les logs : Il est rentré avec ssh via un compte utilisateur dont il a réussi à trouver le mot de passe. Puis il a installé un répertoire avec une série de scripts. Ensuite il a tenté de se connecter en root. D'aprés les logs il n'a pas réussi. J'ai cepenadnt préféré procéder à une réinstallation compléte à partir de mes archives. > 3) verifier la presence de rootkit (utiliser : chkrootkit, rkhunter ) chkrootkit : Désormais il est lancé quotidiennement via cron. > 4) re-installer le systeme ! > tu n'as aucun moyen fiable de savoir ce qui a été compromis sur ta machine. ton > pirate peut tres bien avoir mis ce repertoire /gov comme leurre et placé un > rootkit ailleurs. tu peux te retrouver un jour comme relai de spammeur ou pire > encore. Effectivement, c'est fait, j'ai préféré ne pas prendre de risque. > 5) utiliser a l'avenir un logiciel de controle d'integrité : <pub>afick</pub> > par exemple (ou tripwire, aide ...) > afick est sur sourceforge mais je ne l'ai pas trouvé dans les paquets officiels "Debian". Tout au moins aptitude ne me le trouve pas alors que j'ai les sources stable/testing/unstable via http://ftp.info.iut-tlse3.fr/debian/ il y a une raison technique pour qu'il ne soit pas intégré aux sources officielles ( Je ne voudrais pas rendre plus "instable" ma Debian unstable) ? Donc, J'ai provisoirement installé tripwire. Le seul problème est que je n'ai pas encore trouvé le moyen de lui faire envoyé un mail lorsqu'il trouve une différence. J'en suis encore à la méthode "manuelle" :-) Damned !, au premier passage sur http://afick.sourceforge.net/ je n'avais pas vu qu'afick avait une interface graphique. Une bonne raison de l'essayer. je vais le "tenter". -- Frédéric Zulian f1sxo http://www.zulian.com/ -------------------------------------------------------------------- Les listes de diffusion occultes: <URL:http://www.CULTe.org/listes/>