Forum Linux.debian/ubuntu Hacking in progress...

Posté par  .
Étiquettes : aucune
0
13
sept.
2005
Bonjour

depuis plusieur jour mon serveur sert de paserelle a un hacher qui s'est sert pour faire des Brute Force SSH.
Meme qu'un mes m'a appeler (il a trouver mon num en fesant un reverse dns pluis un whois sur mon nom de domaine) en menacant de porter plainte.

est ce que quelqun pourai me donner les commande pour kiker un connection du serv et un autre truc pour établire les lien entre les port oouvert ds le netstat et la liste des prog en cour d'execution.

donc le programme qui foutai le bordelle étai un dénomer pscan2
et un autre ./ssh-san .
comme j'ai instller avg pour linux et clamav je pense que les fichiers on étés suprimer mais je n'en suis pas sure.

j'ai encore quelque prosessus qui m'on l'air louche:

22954 ? Ss 0:00 /bin/sh /command/svscanboot
22956 ? S 0:00 svscan /service
22957 ? S 0:00 readproctitle service errors: .......................

a votre avis cela pourai etre quoi
et ds netstat il y a des connection bizare a des port que je ne connai pas

tcp 0 0 www:54775 82.211.16.17:6669 ESTABLISHED


Merci de votre aide
Thomas
  • # man iptables

    Posté par  . Évalué à 3.

    iptables est redoutable contre tous les vilains hachés !
    • [^] # Re: man iptables

      Posté par  (site web personnel) . Évalué à 2.

      c'est un peu brutal comme conseil, non ?
      Moi, j'utilise shorewall. Il permet de spécifier quelques règles de façon (plus) simple. Puis, c'est lui qui génère les règles iptables.

      Un bon point de départ, c'est de faire le point sur les services que tu veux rendre accessibles à l'extérieur. Ensuite,
      - tu désactive tout ce qui ne sert à rien,
      - tu spécifie ce que tu veux conserver dans /etc/host.allow et /etc/host.deny.
      Bref, moins y'a de services accessibles, moins y'a de chance de se faire rentrer dedans (AMHA de débutant dans le domaine).

      Sinon, y'a des paranoiaques dans l'assemblée ? Comment vous faites vous ? Vous utilisez plusieurs machines ? Comment vous organisez le merdier ?
  • # svscanboot => daemontools

    Posté par  (site web personnel) . Évalué à 2.

    svscanboot c'est daemontools a lire ici http://www.fr.linuxfromscratch.org/view/blfs-5.0-fr/basicnet/daemontools.html

    tu as peut etre installé qmail sur ta machine ?
  • # Réintallation de machine

    Posté par  . Évalué à 9.

    Si tu veux avoir un petit état des lieux et avoir une petite idée sur ce qui a rendu ta machine "malade", je te conseille rkhunter http://www.rootkit.nl/(...)

    Si ta machine a été compromise (apparemment, c'est le cas) ou même si tu as un doute, il faut l'isoler et la réinstaller complètement. Le reste est dangereux et ne reste que de la bidouille.

    Je te conseille aussi de sécuriser les services proposés par ta machine. SSH (puisque c'est ce que tu utilises apparemment), c'est mieux quand ça n'accepte que le protocole SSH2, les utilisateurs disposant de clefs et refuse toute connection de clients demandant un login root direct. Evite aussi les mots de passe triviaux genre admin/admin. Tu trouveras des infos ici : http://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-serv(...) (rubrique 5.1)

    Ensuite, sache qu'effectivement iptables est ton ami mais ne te protège pas de tout.
  • # pour repondre a une question

    Posté par  . Évalué à 1.

    Pour faire le lien entre un port (ou un fichier ouvert) et un programme tu utilise fuser ou lsof .

    aussi non tout a fait d'accord avec Kaos, et ne pas oublier de regarder les logs.
    • [^] # Re: pour repondre a une question

      Posté par  . Évalué à 5.

      L'option -p de netstat permet aussi de faire le lien entre port et process.

      Néanmoins, cette machine étant déjà utilisée pour attaquer d'autres machines, il est urgent de faire cesser cela rapidement plutôt que de jouer à cache-cache avec le hacker au risque d'engager ta responsabilité. Comme conseillé plus haut, il est urgent que tu déconnectes ton serveur du réseau et que tu le réinstalles.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.