j'ai un petit routeur/serveur sous squeeze.
Aujourd'hui, je vois la diode de ma freebox qui s'affole alors que
théoriquement personne n'est connecté, je fais donc un "netstat -lapute"
sur mon serveur et je trouve la ligne suivante:
tcp 0 464 192.168.1.70:ssh 202.190.126.12:54133
ESTABLISHED root 12802
que je trouve assez inquiétante, d'autant plus que le serveur ssh est
configurer pour n'accepter que l'identification par clefs et refuser la
connexion de root.
J'ai fais
# grep -R "202.190.126.12" /var/log/*
sans résultat.
Vous l'aurez sans doute compris, je ne suis pas très calé sur la
sécurité réseau, si quelqu'un pouvait m'expliquer comment netstat peut
trouver une connexion ESTABLISHED alors qu'il n'y a rien dans les logs.
Et comment je peux savoir ce que l'attaquant a fait ?
Merci
Luc
--
Luc Schimpf
www.au-ptit-bon-air.eu
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4DC83B6E.5010207@free.fr
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Stephane Bortzmeyer
On Mon, May 09, 2011 at 09:07:26PM +0200, luc schimpf wrote a message of 41 lines which said:
tcp 0 464 192.168.1.70:ssh 202.190.126.12:54133 ESTABLISHED root 12802
La Malaisie. C'est cool, l'Internet, on voyage.
si quelqu'un pouvait m'expliquer comment netstat peut trouver une connexion ESTABLISHED alors qu'il n'y a rien dans les logs.
C'est la pile TCP de Linux qui accepte la connexion TCP (qui passe alors dans l'état ESTABLISHED) avant que le serveur SSH ait vu quoi que ce soit. Et comme ce dernier tourne sous root, netstat attribue la connexion à root.
C'est si la connexion reste dans l'état ESTABLISHED plus de quelques secondes qu'il faut s'inquiéter. Et regarder dans le journal.
PS : arme très efficace contre les attaques SSH, changer de port <http://www.bortzmeyer.org/sshd-port-alternatif.html>.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
On Mon, May 09, 2011 at 09:07:26PM +0200,
luc schimpf <lucdeb@free.fr> wrote
a message of 41 lines which said:
tcp 0 464 192.168.1.70:ssh 202.190.126.12:54133
ESTABLISHED root 12802
La Malaisie. C'est cool, l'Internet, on voyage.
si quelqu'un pouvait m'expliquer comment netstat
peut trouver une connexion ESTABLISHED alors qu'il n'y a rien dans
les logs.
C'est la pile TCP de Linux qui accepte la connexion TCP (qui passe alors
dans l'état ESTABLISHED) avant que le serveur SSH ait vu quoi que ce
soit. Et comme ce dernier tourne sous root, netstat attribue la
connexion à root.
C'est si la connexion reste dans l'état ESTABLISHED plus de quelques
secondes qu'il faut s'inquiéter. Et regarder dans le journal.
PS : arme très efficace contre les attaques SSH, changer de port
<http://www.bortzmeyer.org/sshd-port-alternatif.html>.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20110509191712.GA28360@sources.org
On Mon, May 09, 2011 at 09:07:26PM +0200, luc schimpf wrote a message of 41 lines which said:
tcp 0 464 192.168.1.70:ssh 202.190.126.12:54133 ESTABLISHED root 12802
La Malaisie. C'est cool, l'Internet, on voyage.
si quelqu'un pouvait m'expliquer comment netstat peut trouver une connexion ESTABLISHED alors qu'il n'y a rien dans les logs.
C'est la pile TCP de Linux qui accepte la connexion TCP (qui passe alors dans l'état ESTABLISHED) avant que le serveur SSH ait vu quoi que ce soit. Et comme ce dernier tourne sous root, netstat attribue la connexion à root.
C'est si la connexion reste dans l'état ESTABLISHED plus de quelques secondes qu'il faut s'inquiéter. Et regarder dans le journal.
PS : arme très efficace contre les attaques SSH, changer de port <http://www.bortzmeyer.org/sshd-port-alternatif.html>.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Basile Starynkevitch
On Mon, 09 May 2011 21:07:26 +0200 luc schimpf wrote:
Bonsoir,
j'ai un petit routeur/serveur sous squeeze. Vous l'aurez sans doute compris, je ne suis pas très calé sur la sécurité réseau, si quelqu'un pouvait m'expliquer comment netstat p eut trouver une connexion ESTABLISHED alors qu'il n'y a rien dans les logs.
Regardes dans le fichier /var/log/auth.log
et installes fail2ban
Cordialement -- Basile STARYNKEVITCH http://starynkevitch.net/Basile/ email: basile<at>starynkevitch<dot>net mobile: +33 6 8501 2359 8, rue de la Faiencerie, 92340 Bourg La Reine, France *** opinions {are only mine, sont seulement les miennes} ***
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
On Mon, 09 May 2011 21:07:26 +0200
luc schimpf <lucdeb@free.fr> wrote:
Bonsoir,
j'ai un petit routeur/serveur sous squeeze.
Vous l'aurez sans doute compris, je ne suis pas très calé sur la
sécurité réseau, si quelqu'un pouvait m'expliquer comment netstat p eut
trouver une connexion ESTABLISHED alors qu'il n'y a rien dans les logs.
Regardes dans le fichier /var/log/auth.log
et installes fail2ban
Cordialement
--
Basile STARYNKEVITCH http://starynkevitch.net/Basile/
email: basile<at>starynkevitch<dot>net mobile: +33 6 8501 2359
8, rue de la Faiencerie, 92340 Bourg La Reine, France
*** opinions {are only mine, sont seulement les miennes} ***
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20110509211300.3315faf8.basile@starynkevitch.net
On Mon, 09 May 2011 21:07:26 +0200 luc schimpf wrote:
Bonsoir,
j'ai un petit routeur/serveur sous squeeze. Vous l'aurez sans doute compris, je ne suis pas très calé sur la sécurité réseau, si quelqu'un pouvait m'expliquer comment netstat p eut trouver une connexion ESTABLISHED alors qu'il n'y a rien dans les logs.
Regardes dans le fichier /var/log/auth.log
et installes fail2ban
Cordialement -- Basile STARYNKEVITCH http://starynkevitch.net/Basile/ email: basile<at>starynkevitch<dot>net mobile: +33 6 8501 2359 8, rue de la Faiencerie, 92340 Bourg La Reine, France *** opinions {are only mine, sont seulement les miennes} ***
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Ebling Andreas
Bonsoir,
En fait ta ligne veut juste dire que il y a une connexion, et que le daemon ssh tourne en root. Jusqu'à la, rien d'anormal.
Bonne soirée, Andreas
On May 9, 2011, at 9:07 PM, luc schimpf wrote:
Bonsoir,
j'ai un petit routeur/serveur sous squeeze. Aujourd'hui, je vois la diode de ma freebox qui s'affole alors que théoriquement personne n'est connecté, je fais donc un "netstat -lapute" sur mon serveur et je trouve la ligne suivante:
tcp 0 464 192.168.1.70:ssh 202.190.126.12:54133 ESTABLISHED root 12802
que je trouve assez inquiétante, d'autant plus que le serveur ssh est configurer pour n'accepter que l'identification par clefs et refuser la connexion de root.
J'ai fais # grep -R "202.190.126.12" /var/log/* sans résultat.
Vous l'aurez sans doute compris, je ne suis pas très calé sur la sécurité réseau, si quelqu'un pouvait m'expliquer comment netstat peut trouver une connexion ESTABLISHED alors qu'il n'y a rien dans les logs.
Et comment je peux savoir ce que l'attaquant a fait ? Merci Luc
--
Luc Schimpf www.au-ptit-bon-air.eu
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
-- Ebling Andreas "Photography is a powerful art capable of holding a moment forever..." http://www.ebling-photo.fr
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Bonsoir,
En fait ta ligne veut juste dire que il y a une connexion, et que le daemon ssh tourne en root.
Jusqu'à la, rien d'anormal.
Bonne soirée,
Andreas
On May 9, 2011, at 9:07 PM, luc schimpf wrote:
Bonsoir,
j'ai un petit routeur/serveur sous squeeze.
Aujourd'hui, je vois la diode de ma freebox qui s'affole alors que théoriquement personne n'est connecté, je fais donc un "netstat -lapute" sur mon serveur et je trouve la ligne suivante:
tcp 0 464 192.168.1.70:ssh 202.190.126.12:54133 ESTABLISHED root 12802
que je trouve assez inquiétante, d'autant plus que le serveur ssh est configurer pour n'accepter que l'identification par clefs et refuser la connexion de root.
J'ai fais
# grep -R "202.190.126.12" /var/log/*
sans résultat.
Vous l'aurez sans doute compris, je ne suis pas très calé sur la sécurité réseau, si quelqu'un pouvait m'expliquer comment netstat peut trouver une connexion ESTABLISHED alors qu'il n'y a rien dans les logs.
Et comment je peux savoir ce que l'attaquant a fait ?
Merci
Luc
--
Luc Schimpf
www.au-ptit-bon-air.eu
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4DC83B6E.5010207@free.fr
--
Ebling Andreas
"Photography is a powerful art capable of holding a moment forever..."
http://www.ebling-photo.fr
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/EAF5AE4B-E48D-48AA-AB47-2987D8FF599C@free.fr
En fait ta ligne veut juste dire que il y a une connexion, et que le daemon ssh tourne en root. Jusqu'à la, rien d'anormal.
Bonne soirée, Andreas
On May 9, 2011, at 9:07 PM, luc schimpf wrote:
Bonsoir,
j'ai un petit routeur/serveur sous squeeze. Aujourd'hui, je vois la diode de ma freebox qui s'affole alors que théoriquement personne n'est connecté, je fais donc un "netstat -lapute" sur mon serveur et je trouve la ligne suivante:
tcp 0 464 192.168.1.70:ssh 202.190.126.12:54133 ESTABLISHED root 12802
que je trouve assez inquiétante, d'autant plus que le serveur ssh est configurer pour n'accepter que l'identification par clefs et refuser la connexion de root.
J'ai fais # grep -R "202.190.126.12" /var/log/* sans résultat.
Vous l'aurez sans doute compris, je ne suis pas très calé sur la sécurité réseau, si quelqu'un pouvait m'expliquer comment netstat peut trouver une connexion ESTABLISHED alors qu'il n'y a rien dans les logs.
Et comment je peux savoir ce que l'attaquant a fait ? Merci Luc
--
Luc Schimpf www.au-ptit-bon-air.eu
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
-- Ebling Andreas "Photography is a powerful art capable of holding a moment forever..." http://www.ebling-photo.fr
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
luc schimpf
Le 09/05/2011 21:13, Basile Starynkevitch a écrit
Regardes dans le fichier /var/log/auth.log
et installes fail2ban
Cordialement
À priori, la commande "grep -R 202.190.126.12 /var/log/*" passe /var/log/auth.log en revu, par acquis de conscience, j'ai vérifié manuellement mais non, il n'y a rien. Quant à fail2ban, il tourne depuis 3 ans sur cette machine mais aucun log pour aujourd'hui.
Mais les réponses de Ebling Andreas et Stéphane Bortzmeyer m'ont rassurées. Merci à tous pour ces réponses très rapides. Luc
--
Luc Schimpf www.au-ptit-bon-air.eu
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Le 09/05/2011 21:13, Basile Starynkevitch a écrit
Regardes dans le fichier /var/log/auth.log
et installes fail2ban
Cordialement
À priori, la commande "grep -R 202.190.126.12 /var/log/*" passe
/var/log/auth.log en revu, par acquis de conscience, j'ai vérifié
manuellement mais non, il n'y a rien.
Quant à fail2ban, il tourne depuis 3 ans sur cette machine mais aucun
log pour aujourd'hui.
Mais les réponses de Ebling Andreas et Stéphane Bortzmeyer m'ont rassurées.
Merci à tous pour ces réponses très rapides.
Luc
--
Luc Schimpf
www.au-ptit-bon-air.eu
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4DC83FF3.5060203@free.fr
À priori, la commande "grep -R 202.190.126.12 /var/log/*" passe /var/log/auth.log en revu, par acquis de conscience, j'ai vérifié manuellement mais non, il n'y a rien. Quant à fail2ban, il tourne depuis 3 ans sur cette machine mais aucun log pour aujourd'hui.
Mais les réponses de Ebling Andreas et Stéphane Bortzmeyer m'ont rassurées. Merci à tous pour ces réponses très rapides. Luc
--
Luc Schimpf www.au-ptit-bon-air.eu
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/