[Linux-bruxelles] Signaler un abus

[Etienne Besançon]

Bonjour,

Je réagit un peu tard (désolé), mais j'ai du mal à comprendre comment 
l'attaque brute force a pu marcher... N'y a-t-il pas un délai de 
quelques secondes entre chaque essai de connection ? S'il faut faire 
passer tout le dictionnaire, ça ne devrait pas coller.
Sinon pour le login même question, comment a fait la personne pour le 
récupérer ? parce qu'en général après coup, pour des non-informatitiens, 
le passwd est souvent le même que le login !

++Etienne

Eric Hanuise a écrit :
> Christophe Aubry wrote:
>> Bonsoir,
>>
>> Il y a deux jours une personne s’est introduite sur mon serveur linux 
>> en utilisant une attaque brute force, via un dictionnaire, sur le 
>> service ssh. La partie net-id de l’IP correspond au réseau tpnet.pl 
>> (provider polonais) j’ais également 4 kilomètres de logs remplis de 
>> tentatives de login avec des adresses provenant de se réseau.
>>
>> Je me demandais si il était utile que je demande à mon provider de 
>> faire quelque chose contre cette personne, et j’aurais aussi aimé 
>> savoir comment détecter de manière fiable un rootkit.
>>
>
> 1) via un ping-a ou une requete dig d.c.b.a.in-addr.arpa (pour une 
> addresse a.b.c.d) tu identifies la source
> 2) tu remonte sur le whois de  internic pouravoir le contact technique 
> du provider
> 3) tu envoie une explication courte en anglais avec un log au 
> responsable technique du provider, avec une copie a 
> abuse@(provider.com)qui est une addresse standard.
> 4) éventuellement tu notifie les handlers ISC (isc.sans.org) qui te 
> diront si c'est isolé ou si cette attaque fait partie d'un mouvement 
> massif
>
>
> pour le rootkit, apt-get install chkrootkit et puis tu le lance :)
>