Bonjour
depuis plusieur jour mon serveur sert de paserelle a un hacher qui s'est sert pour faire des Brute Force SSH.
Meme qu'un mes m'a appeler (il a trouver mon num en fesant un reverse dns pluis un whois sur mon nom de domaine) en menacant de porter plainte.
est ce que quelqun pourai me donner les commande pour kiker un connection du serv et un autre truc pour établire les lien entre les port oouvert ds le netstat et la liste des prog en cour d'execution.
donc le programme qui foutai le bordelle étai un dénomer pscan2
et un autre ./ssh-san .
comme j'ai instller avg pour linux et clamav je pense que les fichiers on étés suprimer mais je n'en suis pas sure.
j'ai encore quelque prosessus qui m'on l'air louche:
22954 ? Ss 0:00 /bin/sh /command/svscanboot
22956 ? S 0:00 svscan /service
22957 ? S 0:00 readproctitle service errors: .......................
a votre avis cela pourai etre quoi
et ds netstat il y a des connection bizare a des port que je ne connai pas
tcp 0 0 www:54775 82.211.16.17:6669 ESTABLISHED
Merci de votre aide
Thomas
# man iptables
Posté par Obsidian . Évalué à 3.
[^] # Re: man iptables
Posté par Bonnefille Guilhem (site web personnel) . Évalué à 2.
Moi, j'utilise shorewall. Il permet de spécifier quelques règles de façon (plus) simple. Puis, c'est lui qui génère les règles iptables.
Un bon point de départ, c'est de faire le point sur les services que tu veux rendre accessibles à l'extérieur. Ensuite,
- tu désactive tout ce qui ne sert à rien,
- tu spécifie ce que tu veux conserver dans /etc/host.allow et /etc/host.deny.
Bref, moins y'a de services accessibles, moins y'a de chance de se faire rentrer dedans (AMHA de débutant dans le domaine).
Sinon, y'a des paranoiaques dans l'assemblée ? Comment vous faites vous ? Vous utilisez plusieurs machines ? Comment vous organisez le merdier ?
# svscanboot => daemontools
Posté par sedget (site web personnel) . Évalué à 2.
tu as peut etre installé qmail sur ta machine ?
[^] # Re: svscanboot => daemontools
Posté par 桃白白 . Évalué à 1.
daemon, c'est un maichant alors ???
# Réintallation de machine
Posté par Kaos . Évalué à 9.
Si ta machine a été compromise (apparemment, c'est le cas) ou même si tu as un doute, il faut l'isoler et la réinstaller complètement. Le reste est dangereux et ne reste que de la bidouille.
Je te conseille aussi de sécuriser les services proposés par ta machine. SSH (puisque c'est ce que tu utilises apparemment), c'est mieux quand ça n'accepte que le protocole SSH2, les utilisateurs disposant de clefs et refuse toute connection de clients demandant un login root direct. Evite aussi les mots de passe triviaux genre admin/admin. Tu trouveras des infos ici : http://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-serv(...) (rubrique 5.1)
Ensuite, sache qu'effectivement iptables est ton ami mais ne te protège pas de tout.
# pour repondre a une question
Posté par briaeros007 . Évalué à 1.
aussi non tout a fait d'accord avec Kaos, et ne pas oublier de regarder les logs.
[^] # Re: pour repondre a une question
Posté par netsurfeur . Évalué à 5.
Néanmoins, cette machine étant déjà utilisée pour attaquer d'autres machines, il est urgent de faire cesser cela rapidement plutôt que de jouer à cache-cache avec le hacker au risque d'engager ta responsabilité. Comme conseillé plus haut, il est urgent que tu déconnectes ton serveur du réseau et que tu le réinstalles.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.