[Linux-bruxelles] Signaler un abus
Etienne Besançon
besancon.etienne at wanadoo.fr
Lun 3 Avr 12:48:31 CEST 2006
Bonjour,
Je réagit un peu tard (désolé), mais j'ai du mal à comprendre comment
l'attaque brute force a pu marcher... N'y a-t-il pas un délai de
quelques secondes entre chaque essai de connection ? S'il faut faire
passer tout le dictionnaire, ça ne devrait pas coller.
Sinon pour le login même question, comment a fait la personne pour le
récupérer ? parce qu'en général après coup, pour des non-informatitiens,
le passwd est souvent le même que le login !
++Etienne
Eric Hanuise a écrit :
> Christophe Aubry wrote:
>> Bonsoir,
>>
>> Il y a deux jours une personne s’est introduite sur mon serveur linux
>> en utilisant une attaque brute force, via un dictionnaire, sur le
>> service ssh. La partie net-id de l’IP correspond au réseau tpnet.pl
>> (provider polonais) j’ais également 4 kilomètres de logs remplis de
>> tentatives de login avec des adresses provenant de se réseau.
>>
>> Je me demandais si il était utile que je demande à mon provider de
>> faire quelque chose contre cette personne, et j’aurais aussi aimé
>> savoir comment détecter de manière fiable un rootkit.
>>
>
> 1) via un ping-a ou une requete dig d.c.b.a.in-addr.arpa (pour une
> addresse a.b.c.d) tu identifies la source
> 2) tu remonte sur le whois de internic pouravoir le contact technique
> du provider
> 3) tu envoie une explication courte en anglais avec un log au
> responsable technique du provider, avec une copie a
> abuse@(provider.com)qui est une addresse standard.
> 4) éventuellement tu notifie les handlers ISC (isc.sans.org) qui te
> diront si c'est isolé ou si cette attaque fait partie d'un mouvement
> massif
>
>
> pour le rootkit, apt-get install chkrootkit et puis tu le lance :)
>
Plus d'informations sur la liste de diffusion Linux-bruxelles