Author: Reveret Julien Date: To: Guilde liste Subject: Re: paranoïa
On Sat, Apr 26, 2003 at 11:03:30PM +0200, Nicolas Rougnon-Glasson wrote: > à force de lire des histoires d'intrusion et de changement de mot de
> passe root, je vire parano...
>
> Hier soir je fais un "apt-get -u dist-upgrade", pour passer de Woody à
> Sarge. Première frayeur lorsqu'on me demande s'il faut remplacer ou
> conserver les fichiers /etc/pam.d/other, /etc/pam.d/login,
> /etc/pam.d/passwd, qui ont été modifié soit à la main soit par un
> script. Apparemment sans gravité.
C'est tout à fait normal. Comme ces fichiers ont été modifiés par
d'anciennes mises à jours des packages en question, il te demande s'il
peut les écraser ou pas.
> Aujourd'hui, je démarre ma bécane, et après quelques minutes je vais
> faire un tour dans /var/log/syslog, pour constater d'éventuels dégats
> causés par l'opération de la veille. Et là je trouve ça :
>
>
> Apr 26 19:10:09 gronkymachine identd[473]: started
> Apr 26 19:10:09 gronkymachine in.telnetd[481]: connect from 66.140.25.156
> Apr 26 19:10:12 gronkymachine in.telnetd[482]: connect from 66.140.25.156
> Apr 26 19:10:38 gronkymachine telnetd[482]: ttloop: peer died: EOF
> Apr 26 19:10:38 gronkymachine telnetd[481]: ttloop: peer died: EOF
>
>
> Et d'abord c'est qui ce "66.140.25.156" ?
> Sur ce, je fais une recherche dans tout /var/log/syslog de "connect".
> Après filtrage de tous les messages sans intérêt, il reste ça :
Qui est ce méchant monsieur qui se connecte sur mon telnetd ?
Tu as fait host 66.140.25.156 ? non sûrement pas, mais tu devrais, et tu
devrais aussi :
1/ lire tes logs plus souvent, ca évite les mauvaises surprises.
2/ lire le motd des serveurs irc auxquels tu te connectes.
Par contre, il y a bien des jean-kevin qui ont tenté quelque chose sur
ton qpopper, mais bon, rien de grave.
> Comme mesure de rétorsion, j'ai rien trouvé de mieux que de "purger"
> telnetd, ftpd, fingerd et qpopper.
> Vos avis sur tout ça ? Je psychote ou y a du danger ?
S'ils ne te servent à rien, vire les. Plutot que de prendre peur à la
moindre ligne dans les logs, chercher à comprendre, c'est
parfois^Wsouvent un comportement normal, il ne faut pas s'affoler, sinon
on finit par croire que le net est peuplé de malfrats.
--
We are the knights who say
echo '16i[q]sa[ln0=aln100%Pln100/snlbx]sbA0D4D465452snlbxq'|dc