HS attaque ssh
Bonsoir,
j'ai un petit routeur/serveur sous squeeze.
Aujourd'hui, je vois la diode de ma freebox qui s'affole alors que
théoriquement personne n'est connecté, je fais donc un "netstat -lapute"
sur mon serveur et je trouve la ligne suivante:
tcp 0 464 192.168.1.70:ssh 202.190.126.12:54133
ESTABLISHED root 12802
que je trouve assez inquiétante, d'autant plus que le serveur ssh est
configurer pour n'accepter que l'identification par clefs et refuser la
connexion de root.
J'ai fais
# grep -R "202.190.126.12" /var/log/*
sans résultat.
Vous l'aurez sans doute compris, je ne suis pas très calé sur la
sécurité réseau, si quelqu'un pouvait m'expliquer comment netstat peut
trouver une connexion ESTABLISHED alors qu'il n'y a rien dans les logs.
Et comment je peux savoir ce que l'attaquant a fait ?
Merci
Luc
--
Luc Schimpf
www.au-ptit-bon-air.eu
Reply to: