Pas de panique, si tu tapes dans google "martian source", tu pourras te rendre compte que ça n'est pas dû dans la grande majorité des cas à des attaques malveillantes.

Poste le Monday 8 May 2006 10:08:55

Je rec=çois presque tous les jours des tentatives d’intrusion par ssh. Et si tu utilises un mot de passe faible avec un compte au nom un peu évident, tu as plus de chances de te faire pirater. Le problème de Windows n’est pas seulement l’OS, mais aussi l’interface chaise-clavier.
Cela dit, les logs nous intéressent. Utilise aussi rkhunter et chkrootkit pour voir quel genre de truc ta machine a chopé. Tu peux aussi réinstaller les paquets de base de ta distribution (qui contiennent ps, top et compagnie), en général les rootkits n’aiment pas trop.

--
On ne prête qu’aux riches, et on a bien raison, parce que les autres remboursent difficilement.
-+- Tristan Bernard (1866-1947) -+-

Poste le Monday 8 May 2006 10:09:33

Citation
nicola
l’interface chaise-clavier.

Qu'est-ce que tu entends par "interface chaise-clavier" ? ?-(

_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
Question: Lorsque Bill Gates a déclaré: "Avec Windows 98, on a fait un grand pas en avant !" Qu'a-t-il oublié de préciser ?
Réponse: "Avec Windows 95, on était au bord du précipice !"

Poste le Monday 8 May 2006 10:37:06

De la tête aux pieds !^^D-*

Poste le Monday 8 May 2006 10:43:13

Ah ... d'accord ! Mais je ne savais pas qu'un ordinateur avait une tête et des pieds. #%b

_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
Question: Lorsque Bill Gates a déclaré: "Avec Windows 98, on a fait un grand pas en avant !" Qu'a-t-il oublié de préciser ?
Réponse: "Avec Windows 95, on était au bord du précipice !"

Poste le Monday 8 May 2006 10:46:18

bonjour,
merci de vos réponses.

- lapipao: le log m'a donné l'ip de la "martian source" et je doute de la bienveillance de cette attaque.
- nicola: le chkrootkit est la première chose que j'ai faite après la lecture des logs et il n'a rien détecté. Je ne connais pas rkhunter, je vais essayer, enfin quand je rebooterai sous linux...
Oui, je peux tout réinstaller mais ça ne servirait à rien puisque je garderai toujours ce sentiment d'incertitude. La seule solution est que je parvienne à comprendre ce qui s'est passé pour m'assurer que ça ne se reproduira pas.
- Silver Blade: je pense que nicola désigne ainsi l'utilisateur, moi en l'occurrence...

Poste le Monday 8 May 2006 11:00:10

Tu peux poster les logs en question ?

Poste le Monday 8 May 2006 11:06:32

interface chaise clavier
C'ette semaine j'ai eu le droit a:
"le problème c'est la couche 8 du model OSI"

je l'a trouve plus original

$ uptime
19:28:06 up 12 days, 20:46,  2 users,  load average: 213.96, 212.37, 208.44

Poste le Monday 8 May 2006 11:32:57

Citation
écoeurée
- Silver Blade: je pense que nicola désigne ainsi l'utilisateur, moi en l'occurrence...

Oui, si tu as laissé un mot de passe faible. Par exemple au boulot une machine Windows a un mot de passe vide, l’autre a un mot de passe qui est l’identifiant. Il ne vaut mieux pas en changer sinon les collègues vont être paumés.

--
On ne prête qu’aux riches, et on a bien raison, parce que les autres remboursent difficilement.
-+- Tristan Bernard (1866-1947) -+-

Poste le Monday 8 May 2006 12:31:23

- lapipao : je posterai les logs le week-end prochain, c'est à dire quand j'aurai un peu de temps à moi. (et aussi quand je serai un peu plus calme car pour le moment j'ai envie de mettre mon PC à la poubelle).
- nicola: je crois que mon mot de passe n'est pas en cause.

merci à vous deux.
Bonne semaine à tous.

Poste le Monday 8 May 2006 14:14:22

celà étant, je considère que des tentatives d'intrusion par ssh sont normales (et il faut donc s'en méfier et prendre les précautions usuelles, y compris la surveillance des logs). Par exemple, dans mon /var/log/auth.log j'ai

May  8 12:43:23 hector sshd[19918]: Did not receive identification string from 212.83.250.204
May  8 13:39:22 hector sshd[20729]: User root from ftp.elkaprint.nl not allowed because not listed in AllowUsers
May  8 13:39:24 hector sshd[20733]: User postgres from ftp.elkaprint.nl not allowed because not listed in AllowUsers
May  8 13:39:28 hector sshd[20737]: Invalid user accept from 212.83.250.204
May  8 13:39:30 hector sshd[20741]: Invalid user leo from 212.83.250.204
May  8 13:39:32 hector sshd[20745]: Invalid user zeppelin from 212.83.250.204
May  8 13:39:33 hector sshd[20749]: Invalid user hacker from 212.83.250.204
May  8 13:39:35 hector sshd[20753]: Invalid user olga from 212.83.250.204
May  8 13:49:35 hector sshd[20757]: fatal: Timeout before authentication for 212.83.250.204

----

Basile STARYNKEVITCH

Membre de l'APRIL « promouvoir et défendre le logiciel libre » - adhérez vous aussi à l'APRIL!

Projet logiciel libre: RefPerSys

Poste le Monday 8 May 2006 14:24:57

Tu reçois sur ton interface réseau des trames, qui sont transmis à ton firewall, qui les accepte ou les bloque.

Les martians sources sont des trames IP qui sont détectées et logguées en tant que tel dès le départ par le noyau. Si ma mémoire est bonne, elles sont jetées directement, après être loggué (si l'option est mise).

Ces trames arriveront sur ton poste dans tous les cas. Que tu mettes un OpenBSD, un Windows, un linux ou ce que tu veux, tu auras toujours ces trames qui vont arriver jusque ton ordi.

Il me semble que tu as déjà pris assez de précautions pour ne pas avoir à être inquiétée (pour une machine perso). Si tu veux passer au stade supérieur pour la protection, il ne te reste qu'à mettre en place chroot pour tes services (tout en lisant bien la doc "comment casser un chroot en 2 leçons" pour éviter de laisser les outils qui permettent de le faire dans la prison). Mais comme tu as déjà interdit tous les accès d'internet sur ta machine, je ne suis pas sûr que ça soit utile.

Un tout petit peu de lecture : [www.derkeiler.com]

Tu as lu les docs. Tu es devenu un informaticien. Que tu le veuilles
ou non. Lire la doc, c'est le Premier et Unique Commandement de
l'informaticien.
-+- TP in: Guide du Linuxien pervers - "L'évangile selon St Thomas"

Poste le Monday 8 May 2006 16:40:00

Bonjour,

une "martian source" est un pacquet provenant d'une route improbable. En gros le noyau Linux fait la remarque "il vient d'ou ce pacquet, de mars?". Cela peu provenir d'une attaque avec adresse IP spoofée ou d'un poste de ton réseau local privé mal configuré. Pour savoir la cause réèlle il faudrait avoir le message exact du log.

Remarque: En laissant de coté le débat totalement inutile et stérile "Linux ou Windows, lequel le plus sécurisé, etc...", si c'est une attaque, le fait d'être sous Linux ou Windows ne changera rien. Mais quand tu es sous Linux, le noyau log automatiquement ce type d'attaque (d'ou ce mesage qui te tracasse), ce qui fait que tu te rend compte de ces attaques alors que tu n'en avait pas du tout conscience sous Windows.

Tchesmeli Serge
Portail francophone slackware -> [slackfr.org]

Which is worse: ignorance or apathy? Don't know. Don't care.

(ex président fondateur de lea-linux)

Poste le Tuesday 9 May 2006 14:35:23