HS attaque ssh

Le
luc schimpf
Bonsoir,

j'ai un petit routeur/serveur sous squeeze.
Aujourd'hui, je vois la diode de ma freebox qui s'affole alors que
théoriquement personne n'est connecté, je fais donc un "netstat -lapute"
sur mon serveur et je trouve la ligne suivante:

tcp 0 464 192.168.1.70:ssh 202.190.126.12:54133
ESTABLISHED root 12802

que je trouve assez inquiétante, d'autant plus que le serveur ssh est
configurer pour n'accepter que l'identification par clefs et refuser la
connexion de root.

J'ai fais
# grep -R "202.190.126.12" /var/log/*
sans résultat.

Vous l'aurez sans doute compris, je ne suis pas très calé sur la
sécurité réseau, si quelqu'un pouvait m'expliquer comment netstat peut
trouver une connexion ESTABLISHED alors qu'il n'y a rien dans les logs.

Et comment je peux savoir ce que l'attaquant a fait ?
Merci
Luc



--

Luc Schimpf
www.au-ptit-bon-air.eu

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4DC83B6E.5010207@free.fr
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Stephane Bortzmeyer
Le #23347691
On Mon, May 09, 2011 at 09:07:26PM +0200,
luc schimpf a message of 41 lines which said:

tcp 0 464 192.168.1.70:ssh 202.190.126.12:54133
ESTABLISHED root 12802



La Malaisie. C'est cool, l'Internet, on voyage.

si quelqu'un pouvait m'expliquer comment netstat
peut trouver une connexion ESTABLISHED alors qu'il n'y a rien dans
les logs.



C'est la pile TCP de Linux qui accepte la connexion TCP (qui passe alors
dans l'état ESTABLISHED) avant que le serveur SSH ait vu quoi que ce
soit. Et comme ce dernier tourne sous root, netstat attribue la
connexion à root.

C'est si la connexion reste dans l'état ESTABLISHED plus de quelques
secondes qu'il faut s'inquiéter. Et regarder dans le journal.

PS : arme très efficace contre les attaques SSH, changer de port

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Basile Starynkevitch
Le #23347701
On Mon, 09 May 2011 21:07:26 +0200
luc schimpf
Bonsoir,

j'ai un petit routeur/serveur sous squeeze.
Vous l'aurez sans doute compris, je ne suis pas très calé sur la
sécurité réseau, si quelqu'un pouvait m'expliquer comment netstat p eut
trouver une connexion ESTABLISHED alors qu'il n'y a rien dans les logs.



Regardes dans le fichier /var/log/auth.log

et installes fail2ban

Cordialement
--
Basile STARYNKEVITCH http://starynkevitch.net/Basile/
email: basile<at>starynkevitch<dot>net mobile: +33 6 8501 2359
8, rue de la Faiencerie, 92340 Bourg La Reine, France
*** opinions {are only mine, sont seulement les miennes} ***

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Ebling Andreas
Le #23347681
Bonsoir,

En fait ta ligne veut juste dire que il y a une connexion, et que le daemon ssh tourne en root.
Jusqu'à la, rien d'anormal.

Bonne soirée,
Andreas

On May 9, 2011, at 9:07 PM, luc schimpf wrote:

Bonsoir,

j'ai un petit routeur/serveur sous squeeze.
Aujourd'hui, je vois la diode de ma freebox qui s'affole alors que théoriquement personne n'est connecté, je fais donc un "netstat -lapute" sur mon serveur et je trouve la ligne suivante:

tcp 0 464 192.168.1.70:ssh 202.190.126.12:54133 ESTABLISHED root 12802

que je trouve assez inquiétante, d'autant plus que le serveur ssh est configurer pour n'accepter que l'identification par clefs et refuser la connexion de root.

J'ai fais
# grep -R "202.190.126.12" /var/log/*
sans résultat.

Vous l'aurez sans doute compris, je ne suis pas très calé sur la sécurité réseau, si quelqu'un pouvait m'expliquer comment netstat peut trouver une connexion ESTABLISHED alors qu'il n'y a rien dans les logs.

Et comment je peux savoir ce que l'attaquant a fait ?
Merci
Luc



--

Luc Schimpf
www.au-ptit-bon-air.eu

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/




--
Ebling Andreas
"Photography is a powerful art capable of holding a moment forever..."
http://www.ebling-photo.fr

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
luc schimpf
Le #23347661
Le 09/05/2011 21:13, Basile Starynkevitch a écrit
Regardes dans le fichier /var/log/auth.log

et installes fail2ban

Cordialement


À priori, la commande "grep -R 202.190.126.12 /var/log/*" passe
/var/log/auth.log en revu, par acquis de conscience, j'ai vérifié
manuellement mais non, il n'y a rien.
Quant à fail2ban, il tourne depuis 3 ans sur cette machine mais aucun
log pour aujourd'hui.

Mais les réponses de Ebling Andreas et Stéphane Bortzmeyer m'ont rassurées.
Merci à tous pour ces réponses très rapides.
Luc


--

Luc Schimpf
www.au-ptit-bon-air.eu

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme