[Linux-bruxelles] Signaler un abus

[Christophe Aubry]

Eric Hanuise a écrit :
> Christophe Aubry wrote:
>> Bonsoir,
>>
>> Il y a deux jours une personne s’est introduite sur mon serveur linux 
>> en utilisant une attaque brute force, via un dictionnaire, sur le 
>> service ssh. La partie net-id de l’IP correspond au réseau tpnet.pl 
>> (provider polonais) j’ais également 4 kilomètres de logs remplis de 
>> tentatives de login avec des adresses provenant de se réseau.
>>
>> Je me demandais si il était utile que je demande à mon provider de 
>> faire quelque chose contre cette personne, et j’aurais aussi aimé 
>> savoir comment détecter de manière fiable un rootkit.
>>
>
> 1) via un ping-a ou une requete dig d.c.b.a.in-addr.arpa (pour une 
> addresse a.b.c.d) tu identifies la source
> 2) tu remonte sur le whois de  internic pouravoir le contact technique 
> du provider
> 3) tu envoie une explication courte en anglais avec un log au 
> responsable technique du provider, avec une copie a 
> abuse@(provider.com)qui est une addresse standard.
> 4) éventuellement tu notifie les handlers ISC (isc.sans.org) qui te 
> diront si c'est isolé ou si cette attaque fait partie d'un mouvement 
> massif
>
>
> pour le rootkit, apt-get install chkrootkit et puis tu le lance :)
>
Pour le rootkit j'ai utilisé chkrootkit et rkhunter apparemment tout est 
ok, Merci bien.

-- 
Aubry Christophe
christophe.aubry at belgacom.net