j'ai peur d'avoir =E9t=E9 hack=E9 sur ma machine Debian maison, et je voudr=
ais bien
des conseils car je n'y connais rien en s=E9curit=E9 (et d'ailleurs, j'aime=
rais
continuer =E0 ne rien y conna=EEtre ;-):
- premi=E8re chose suspecte dans sshd.log:
Jul 25 16:35:24 vernoupiac sshd[4417]: Accepted publickey for didier from=
62.39.139.1 port 46088 ssh2
Rien =E0 voir avec moi, puisque j'=E9tais devant ma machine =E0 ce moment=
l=E0. J'ai
aussit=F4t coup=E9 sshd. Je pense qu'il va falloir que je refasse mes cl=
=E9s ssh.
La question que je me pose est: est-ce que le message ci-dessus indique q=
ue
le type a pu se loguer ou pas forc=E9ment (car une passphrase est requise=
pour
ma cl=E9).
- ensuite, je suis maintenant flood=E9 de requ=EAtes par une IP =E9trangeme=
nt
proche, comme le montre tcpdump:
La partie "vernoupiac.local" me laisse penser que cette attaque est une
cons=E9quence de mon installation r=E9cente de Avahi (pour communiquer plus
facilement avec mon Mac Book). Maintenant, je me demande si en installant d=
es
trucs sur celui-ci (genre ssh-agent pour Mac), je n'ai pas install=E9 des
chevaux de troie par la m=EAme occasion.
Toute aide sur les mesures =E0 prendre sera la bienvenue !
Toujours "tcpdump -n" sinon, on est dépendant du DNS et de votre /etc/hosts.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On Tue, Jul 25, 2006 at 05:21:25PM +0200,
Didier Verna <didier@lrde.epita.fr> wrote
a message of 46 lines which said:
La question que je me pose est: est-ce que le message ci-dessus
indique que le type a pu se loguer
Toujours "tcpdump -n" sinon, on est dépendant du DNS et de votre
/etc/hosts.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Toujours "tcpdump -n" sinon, on est dépendant du DNS et de votre /etc/hosts.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Didier Verna
I wrote:
- ensuite, je suis maintenant floodé de requêtes par une IP étrange ment proche, comme le montre tcpdump:
Pire: je viens de me rendre compte qu'à partir d'un terminal dans lequel il y avait une session ssh sur une autre machine, cette ligne apparaissait à chaque fois que je tapais un charactère. Est-ce que ça sent le sniffer ? Est-ce que mon installation de ssh est compromise ?
Pire: je viens de me rendre compte qu'à partir d'un terminal dans
lequel il y avait une session ssh sur une autre machine, cette ligne
apparaissait à chaque fois que je tapais un charactère. Est-ce que ça sent le
sniffer ? Est-ce que mon installation de ssh est compromise ?
Pire: je viens de me rendre compte qu'à partir d'un terminal dans lequel il y avait une session ssh sur une autre machine, cette ligne apparaissait à chaque fois que je tapais un charactère. Est-ce que ça sent le sniffer ? Est-ce que mon installation de ssh est compromise ?
Pire: je viens de me rendre compte qu'à partir d'un terminal dans lequel il y avait une session ssh sur une autre machine, cette ligne apparaissait à chaque fois que je tapais un charactère. Est-ce que ça sent le sniffer ? Est-ce que mon installation de ssh est compromise ?
Merci
tu l'as installé comment ton système ? ton ssh ? tu as fait un md5 de tes fichiers système pour comparer ? tu as fait un scan rkhunter , chkrootkit .... tu as des comptes inconnus sur ton système ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Didier Verna wrote:
I wrote:
- ensuite, je suis maintenant floodé de requêtes par une IP étrangement
proche, comme le montre tcpdump:
Pire: je viens de me rendre compte qu'à partir d'un terminal dans
lequel il y avait une session ssh sur une autre machine, cette ligne
apparaissait à chaque fois que je tapais un charactère. Est-ce que ça sent le
sniffer ? Est-ce que mon installation de ssh est compromise ?
Merci
tu l'as installé comment ton système ?
ton ssh ?
tu as fait un md5 de tes fichiers système pour comparer ?
tu as fait un scan rkhunter , chkrootkit ....
tu as des comptes inconnus sur ton système ?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Pire: je viens de me rendre compte qu'à partir d'un terminal dans lequel il y avait une session ssh sur une autre machine, cette ligne apparaissait à chaque fois que je tapais un charactère. Est-ce que ça sent le sniffer ? Est-ce que mon installation de ssh est compromise ?
Merci
tu l'as installé comment ton système ? ton ssh ? tu as fait un md5 de tes fichiers système pour comparer ? tu as fait un scan rkhunter , chkrootkit .... tu as des comptes inconnus sur ton système ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Jul 25 16:35:24 vernoupiac sshd[4417]: Accepted publickey for didier from 62.39.139.1 port 46088 ssh2
Ton compte shell est "didier" ? L'ip en question est-elle la tienne? Comment est ta liaison? As-tu ouvert une session ssh à ce moment-là ? As-tu des programmes qui font ça ?
Jul 25 16:35:24 vernoupiac sshd[4417]: Accepted publickey for
didier from 62.39.139.1 port 46088 ssh2
Ton compte shell est "didier" ? L'ip en question est-elle la tienne?
Comment est ta liaison? As-tu ouvert une session ssh à ce moment-là ?
As-tu des programmes qui font ça ?
Jul 25 16:35:24 vernoupiac sshd[4417]: Accepted publickey for didier from 62.39.139.1 port 46088 ssh2
Ton compte shell est "didier" ? L'ip en question est-elle la tienne? Comment est ta liaison? As-tu ouvert une session ssh à ce moment-là ? As-tu des programmes qui font ça ?
tu as fait un md5 de tes fichiers système pour comparer ? tu as fait un scan rkhunter , chkrootkit ....
Ouaip. Il y avait quelques trucs bizarres mais pas l'air méchants (fichie rs suspects genre .java, vides, que j'ai viré). Autres trucs signalés: des différences dans /etc/passwd comme des /var/lib qui deviennent /var/run ( mais j'avais surement fait des upgrades entre temps).
Autre chose qui m'a plus inquiété: que sont les caractères * et ! à la place du mot de passe ? Certaines entrées avaient l'air d'avoir changé.
La première fois que j'ai lancé rkhunter, il a dit « possible LKM tro jan », mais je suis incapable de dire si il avait repéré quelque chose de vrai ment louche, ou si il a vu des différences dues à des upgrades dans l'interv alle.
Après reboot (et fraîche upgrade), il ne dit plus rien (sauf qu'il ne c onnait pas ma version de sshd: openssh-server 4.3p2), ni chkrootkit.
tu as des comptes inconnus sur ton système ?
'pas l'air.
Sinon, maintenant que j'ai rebooté, je ne peux plus lancer Xorg (R7) avec les drivers nvidia. Aucune erreur dans les logs, juste ça plante.
EPITA / LRDE, 14-16 rue Voltaire Tel.+33 (1) 44 08 01 85 94276 Le Kremlin-Bicêtre, France Fax.+33 (1) 53 14 59 22 s.org
Arnaud Landry <ada@ezequiel25.com> wrote:
tu l'as installé comment ton système ?
ton ssh ?
Il y a longtemps par CD, puis apt.
tu as fait un md5 de tes fichiers système pour comparer ?
tu as fait un scan rkhunter , chkrootkit ....
Ouaip. Il y avait quelques trucs bizarres mais pas l'air méchants (fichie rs
suspects genre .java, vides, que j'ai viré). Autres trucs signalés: des
différences dans /etc/passwd comme des /var/lib qui deviennent /var/run ( mais
j'avais surement fait des upgrades entre temps).
Autre chose qui m'a plus inquiété: que sont les caractères * et ! à la place
du mot de passe ? Certaines entrées avaient l'air d'avoir changé.
La première fois que j'ai lancé rkhunter, il a dit « possible LKM tro jan »,
mais je suis incapable de dire si il avait repéré quelque chose de vrai ment
louche, ou si il a vu des différences dues à des upgrades dans l'interv alle.
Après reboot (et fraîche upgrade), il ne dit plus rien (sauf qu'il ne c onnait
pas ma version de sshd: openssh-server 4.3p2), ni chkrootkit.
tu as des comptes inconnus sur ton système ?
'pas l'air.
Sinon, maintenant que j'ai rebooté, je ne peux plus lancer Xorg (R7) avec les
drivers nvidia. Aucune erreur dans les logs, juste ça plante.
tu as fait un md5 de tes fichiers système pour comparer ? tu as fait un scan rkhunter , chkrootkit ....
Ouaip. Il y avait quelques trucs bizarres mais pas l'air méchants (fichie rs suspects genre .java, vides, que j'ai viré). Autres trucs signalés: des différences dans /etc/passwd comme des /var/lib qui deviennent /var/run ( mais j'avais surement fait des upgrades entre temps).
Autre chose qui m'a plus inquiété: que sont les caractères * et ! à la place du mot de passe ? Certaines entrées avaient l'air d'avoir changé.
La première fois que j'ai lancé rkhunter, il a dit « possible LKM tro jan », mais je suis incapable de dire si il avait repéré quelque chose de vrai ment louche, ou si il a vu des différences dues à des upgrades dans l'interv alle.
Après reboot (et fraîche upgrade), il ne dit plus rien (sauf qu'il ne c onnait pas ma version de sshd: openssh-server 4.3p2), ni chkrootkit.
tu as des comptes inconnus sur ton système ?
'pas l'air.
Sinon, maintenant que j'ai rebooté, je ne peux plus lancer Xorg (R7) avec les drivers nvidia. Aucune erreur dans les logs, juste ça plante.
Sinon, maintenant que j'ai rebooté, je ne peux plus lancer Xorg (R7) av ec les drivers nvidia. Aucune erreur dans les logs, juste ça plante.
aucune erreur dans Xorg.0.log ?
-- Max
Max
Le 25/07/06, Didier Verna a écrit :
Pire: je viens de me rendre compte qu'à partir d'un terminal da ns lequel il y avait une session ssh sur une autre machine, cette ligne apparaissait à chaque fois que je tapais un charactère. Est-ce que ça sent le sniffer ? Est-ce que mon installation de ssh est compromise ?
Je ne vois rien d'étrange. Tu es connecté par ssh sur une autre machine et apparemment tu écoutes sur l'interface utilisée pour cela, donc si tu tapes un caractère, ça va être transmis à l'autre machin e, tcpdump va donc capturer des paquets qui correspondent à cette activité.
-- Max
Le 25/07/06, Didier Verna a écrit :
Pire: je viens de me rendre compte qu'à partir d'un terminal da ns
lequel il y avait une session ssh sur une autre machine, cette ligne
apparaissait à chaque fois que je tapais un charactère. Est-ce que ça sent le
sniffer ? Est-ce que mon installation de ssh est compromise ?
Je ne vois rien d'étrange. Tu es connecté par ssh sur une autre
machine et apparemment tu écoutes sur l'interface utilisée pour cela,
donc si tu tapes un caractère, ça va être transmis à l'autre machin e,
tcpdump va donc capturer des paquets qui correspondent à cette
activité.
Pire: je viens de me rendre compte qu'à partir d'un terminal da ns lequel il y avait une session ssh sur une autre machine, cette ligne apparaissait à chaque fois que je tapais un charactère. Est-ce que ça sent le sniffer ? Est-ce que mon installation de ssh est compromise ?
Je ne vois rien d'étrange. Tu es connecté par ssh sur une autre machine et apparemment tu écoutes sur l'interface utilisée pour cela, donc si tu tapes un caractère, ça va être transmis à l'autre machin e, tcpdump va donc capturer des paquets qui correspondent à cette activité.