[gull] Attaque ssh-scan sur serveur debian
Marc SCHAEFER
schaefer at alphanet.ch
Wed Aug 30 15:25:33 CEST 2006
On Wed, Aug 30, 2006 at 10:18:55AM +0200, J-A Eberhard - Open Net Sàrl wrote:
> Je viens de tuer une trentaine de process de ssh-scan sur un serveur debian.
> Ce qui m'inquiète maintenant, c'est que si je fais un TOP, il y a 2 users
> qui sont connectés...
taper `w' pour voir les utilisateurs connectés
Il ne s'agit peut-être que de l'utilisateur spécial ssh qui sert au
login.
Mais s'il y a soupçon de compromission d'un compte, ça se gâte:
> Comment virer le deuxième...
Il faut se rappeler que si un utilisateur a réussi à se connecter, cela
signifie, en vrac:
1. un login local signifie que toutes les attaques strictement
locales sont maintenant possibles.
2. en conséquence les fichiers systèmes, les logs, les sorties
de `w', `top', `ls' et autres ne sont pas forcément fiables
> Merci d'avance
Pour prévenir:
- meilleurs mots de pase
- interdire l'accès SSH aux utilisateurs non strictement nécessaires
(en particulier à tous ceux qui l'entrent en clair d'une manière
ou d'une autre p.ex. FTP; via DenyUsers ou DenyGroups)
- limiter l'accès SSH par firewall au strict nécessaire
- utiliser un système d'IDS à firewalling automatisé (complexe,
dangereux)
- changer le numéro de port du serveur SSH (ne diminuera que les
attaques les plus simples)
More information about the gull
mailing list