j'ai chez moi un PC qui me sert de serveur/passerelle ADSL
j'ai installé ssh pour pouvoir me connecter à distance..... (le PC n'
pas d'écran)
aujourd'hui je me logge en root pour voir 2-3 trucs
et je me rends compte que parmis les dernières commandes entrées par
ROOT il y a l'installation de psyBNC
je n'ai jamais installé ce truc....
j'en conclus que qqun a trouvé mon mot de passe root ?
où est le fichier log qui me permet de savoir qui a fait ça, et la liste
des actions qu'il a fait...
apparemment, rien d'autre.. donc ça voudrait dire que le lancement de psyBNC n'a été fait qu'une fois ..... et que donc, il ne se lance pas à chaque fois que je démarre mon serveur ? au fait, ça sert à quoi psyBNC ?
voici la liste des commandes que je n'ai pas entré moi-même
- startx (j'ai pas de serveur X sur cette machine)
- echo "hosts allow = 192.168.115.0/24 127.0.0.1" >> /etc/samba/smb.conf
echo "hosts deny = 0.0.0.0/0" >> /etc/samba/smb.conf
killall -9 nmbd
killall -9 smbd
nmbd -D
smbd -Decho "hosts allow = 192.168.115.0/24 127.0.0.1"
apparemment, rien d'autre.. donc ça voudrait dire que le lancement de
psyBNC n'a été fait qu'une fois ..... et que donc, il ne se lance pas à
chaque fois que je démarre mon serveur ?
au fait, ça sert à quoi psyBNC ?
apparemment, rien d'autre.. donc ça voudrait dire que le lancement de psyBNC n'a été fait qu'une fois ..... et que donc, il ne se lance pas à chaque fois que je démarre mon serveur ? au fait, ça sert à quoi psyBNC ?
Stéphane ACOUNIS
Le Thu, 21 Aug 2003 14:12:52 +0200, Yannick F. a écrit:
voici la liste des commandes que je n'ai pas entré moi-même
- startx (j'ai pas de serveur X sur cette machine) - echo "hosts allow = 192.168.115.0/24 127.0.0.1" >> /etc/samba/smb.conf echo "hosts deny = 0.0.0.0/0" >> /etc/samba/smb.conf killall -9 nmbd killall -9 smbd nmbd -D smbd -Decho "hosts allow = 192.168.115.0/24 127.0.0.1"
apparemment, rien d'autre.. donc ça voudrait dire que le lancement de psyBNC n'a été fait qu'une fois ..... et que donc, il ne se lance pas à chaque fois que je démarre mon serveur ? au fait, ça sert à quoi psyBNC ?
Ça m'a tout l'air d'un root-kit. AU fait, ça sert à quoi Samba sur un firewall ? M'est d'avis qu'il est rentré par là, a modifié la config puis a installé ce que je pense être un relais IRC.
Comme suggéré par Arnaud, déconnecte ta machine puis réinstalle le système en prenant soin de ne laisser que ce qui est utile. Un firewall se doit d'être à jour et d'avoir un système light.
-- Stéphane ACOUNIS Q: "Are we not men?" A: "We are DEVO"
Le Thu, 21 Aug 2003 14:12:52 +0200, Yannick F. a écrit:
voici la liste des commandes que je n'ai pas entré moi-même
- startx (j'ai pas de serveur X sur cette machine) - echo "hosts allow
= 192.168.115.0/24 127.0.0.1" >> /etc/samba/smb.conf
echo "hosts deny = 0.0.0.0/0" >> /etc/samba/smb.conf killall -9 nmbd
killall -9 smbd
nmbd -D
smbd -Decho "hosts allow = 192.168.115.0/24 127.0.0.1"
apparemment, rien d'autre.. donc ça voudrait dire que le lancement de
psyBNC n'a été fait qu'une fois ..... et que donc, il ne se lance pas à
chaque fois que je démarre mon serveur ? au fait, ça sert à quoi psyBNC
?
Ça m'a tout l'air d'un root-kit. AU fait, ça sert à quoi Samba sur un
firewall ? M'est d'avis qu'il est rentré par là, a modifié la config puis
a installé ce que je pense être un relais IRC.
Comme suggéré par Arnaud, déconnecte ta machine puis réinstalle le
système en prenant soin de ne laisser que ce qui est utile. Un firewall
se doit d'être à jour et d'avoir un système light.
--
Stéphane ACOUNIS
Q: "Are we not men?"
A: "We are DEVO"
apparemment, rien d'autre.. donc ça voudrait dire que le lancement de psyBNC n'a été fait qu'une fois ..... et que donc, il ne se lance pas à chaque fois que je démarre mon serveur ? au fait, ça sert à quoi psyBNC ?
Ça m'a tout l'air d'un root-kit. AU fait, ça sert à quoi Samba sur un firewall ? M'est d'avis qu'il est rentré par là, a modifié la config puis a installé ce que je pense être un relais IRC.
Comme suggéré par Arnaud, déconnecte ta machine puis réinstalle le système en prenant soin de ne laisser que ce qui est utile. Un firewall se doit d'être à jour et d'avoir un système light.
-- Stéphane ACOUNIS Q: "Are we not men?" A: "We are DEVO"
Xavier Teyssier
On Thu, 21 Aug 2003 14:12:52 +0200
Bonjour !
au fait, ça sert à quoi psyBNC ?
Google est ton ami : http://www.netknowledgebase.com/tutorials/psybnc.html (C'est le premier lien donné par Google !!!)
Cordialement, -- Xavier Teyssier
On Thu, 21 Aug 2003 14:12:52 +0200
Bonjour !
au fait, ça sert à quoi psyBNC ?
Google est ton ami :
http://www.netknowledgebase.com/tutorials/psybnc.html
(C'est le premier lien donné par Google !!!)
Google est ton ami : http://www.netknowledgebase.com/tutorials/psybnc.html (C'est le premier lien donné par Google !!!)
Cordialement, -- Xavier Teyssier
Shamil
Yannick F. said the following on 21.08.2003 14:12:
apparemment, rien d'autre.. donc ça voudrait dire que le lancement de psyBNC n'a été fait qu'une fois ..... et que donc, il ne se lance pas à chaque fois que je démarre mon serveur ? au fait, ça sert à quoi psyBNC ?
lance un nmap IP_DE_TON_PC pour voir qu'il n'y a pas de un suspecte. regarde /etc/hosts.allow et /etc/hosts.deny, si tu connais l'IP (ou la masque de reseau) de machine à partir de la quelle tu te connecte en ssh il faut autoriser que celle-la. Enfait, ce sujet est tellement enorme, qu'un mail ne suffit pas. Sur www.tldp.org dans la rubrique tutirials il y a un manuel de securisation de Linux.
-- Virtuellement votre
Yannick F. said the following on 21.08.2003 14:12:
apparemment, rien d'autre.. donc ça voudrait dire que le lancement de
psyBNC n'a été fait qu'une fois ..... et que donc, il ne se lance pas à
chaque fois que je démarre mon serveur ?
au fait, ça sert à quoi psyBNC ?
lance un nmap IP_DE_TON_PC pour voir qu'il n'y a pas de un suspecte.
regarde /etc/hosts.allow et /etc/hosts.deny, si tu connais l'IP (ou la
masque de reseau) de machine à partir de la quelle tu te connecte en ssh
il faut autoriser que celle-la. Enfait, ce sujet est tellement enorme,
qu'un mail ne suffit pas. Sur www.tldp.org dans la rubrique tutirials il
y a un manuel de securisation de Linux.
Yannick F. said the following on 21.08.2003 14:12:
apparemment, rien d'autre.. donc ça voudrait dire que le lancement de psyBNC n'a été fait qu'une fois ..... et que donc, il ne se lance pas à chaque fois que je démarre mon serveur ? au fait, ça sert à quoi psyBNC ?
lance un nmap IP_DE_TON_PC pour voir qu'il n'y a pas de un suspecte. regarde /etc/hosts.allow et /etc/hosts.deny, si tu connais l'IP (ou la masque de reseau) de machine à partir de la quelle tu te connecte en ssh il faut autoriser que celle-la. Enfait, ce sujet est tellement enorme, qu'un mail ne suffit pas. Sur www.tldp.org dans la rubrique tutirials il y a un manuel de securisation de Linux.
-- Virtuellement votre
Yannick F.
Ça m'a tout l'air d'un root-kit. AU fait, ça sert à quoi Samba sur un firewall ?
le serveur héberge tous mes fichiers perso.... avec samba, je les utilise depuis mon PC ou celui de ma femme.... ( qui sont sous windows d'où l'interet de samba)
M'est d'avis qu'il est rentré par là, a modifié la config puis a installé ce que je pense être un relais IRC.
Comme suggéré par Arnaud, déconnecte ta machine puis réinstalle le système en prenant soin de ne laisser que ce qui est utile. Un firewall se doit d'être à jour et d'avoir un système light.
le système est une debian recente minimaliste , j'ai fais un apt-get update il y a 1 semaine, et l'intrusion est apparu après .... le système est hyperléger : ssh2 samba webmin serveur d'impression (j'ai plus le nom en tete)
c'est tout !
-- Yannick F. enlever toto_ pour me répondre....
Ça m'a tout l'air d'un root-kit. AU fait, ça sert à quoi Samba sur un
firewall ?
le serveur héberge tous mes fichiers perso.... avec samba, je les
utilise depuis mon PC ou celui de ma femme.... ( qui sont sous windows
d'où l'interet de samba)
M'est d'avis qu'il est rentré par là, a modifié la config puis
a installé ce que je pense être un relais IRC.
Comme suggéré par Arnaud, déconnecte ta machine puis réinstalle le
système en prenant soin de ne laisser que ce qui est utile. Un firewall
se doit d'être à jour et d'avoir un système light.
le système est une debian recente minimaliste , j'ai fais un apt-get
update il y a 1 semaine, et l'intrusion est apparu après ....
le système est hyperléger :
ssh2
samba
webmin
serveur d'impression (j'ai plus le nom en tete)
Ça m'a tout l'air d'un root-kit. AU fait, ça sert à quoi Samba sur un firewall ?
le serveur héberge tous mes fichiers perso.... avec samba, je les utilise depuis mon PC ou celui de ma femme.... ( qui sont sous windows d'où l'interet de samba)
M'est d'avis qu'il est rentré par là, a modifié la config puis a installé ce que je pense être un relais IRC.
Comme suggéré par Arnaud, déconnecte ta machine puis réinstalle le système en prenant soin de ne laisser que ce qui est utile. Un firewall se doit d'être à jour et d'avoir un système light.
le système est une debian recente minimaliste , j'ai fais un apt-get update il y a 1 semaine, et l'intrusion est apparu après .... le système est hyperléger : ssh2 samba webmin serveur d'impression (j'ai plus le nom en tete)
c'est tout !
-- Yannick F. enlever toto_ pour me répondre....
Yannick F.
Pas bien ça! C'est dangereux et tu viens d'en faire les frais.
c'est sur ! mais ...
Un
firewall/routeur ne fait que ça. Si tu veux un serveur de fichiers, prend un autre PC qui sera sur ton LAN et ne sera pas accessible de l'extérieur.
mais je ne suis pas Cresus, je n'ai rien de confidentiel sur mon PC !
mon serveur est un vieux Pc de récup, ça fait donc 3 PC pour moi et ma femme, je ne vais quand même pas en mettre un 4e...
je vais quand même supprimer quelques portes d'entrées :webmin etc... mais j'ai quand même besoin du serveur de fichiers !
-- Yannick F. enlever toto_ pour me répondre....
Pas bien ça! C'est dangereux et tu viens d'en faire les frais.
c'est sur ! mais ...
Un
firewall/routeur ne fait que ça.
Si tu veux un serveur de fichiers, prend un autre PC qui sera sur ton LAN
et ne sera pas accessible de l'extérieur.
mais je ne suis pas Cresus, je n'ai rien de confidentiel sur mon PC !
mon serveur est un vieux Pc de récup, ça fait donc 3 PC pour moi et ma
femme, je ne vais quand même pas en mettre un 4e...
je vais quand même supprimer quelques portes d'entrées :webmin etc...
mais j'ai quand même besoin du serveur de fichiers !
