Bonjour,
sur mon serveur Debian Sarge perso, j'ai installé un prog (je crois que la commande c'est logcheck) pour envoyer les log sur l'adresse root (renvoyé à un utilisateur non root) et chkrootkit pour detecter cles rootkits.
Je ne consulte pas souvent les mails de mon domaine et aujourd'hui je me suis aperçu que:
->Un certain nombre d'adresse IP tente de trouver un nom d'utilisateur valable pour accéder à mon ssh.
Aug 12 11:52:05 localhost sshd[17027]: Illegal user admin from ::ffff:xx.xx.xx.xx
(si quelqu'un d'entre vous est capable d'accéder à son ssh, ce qui est TRES difficile ou si au moins il est possible de "passer" l'identification http de son site pour lui communiquer mon agacement, je vous balance son IP en mp :p )
->Le log de chkrootkit me signale la présence d'un rootkit
/etc/cron.daily/chkrootkit:
INFECTED (PORTS: 4000)
eth0: PACKET SNIFFER(/usr/sbin/dhcpd3[1326])
eth1: PACKET SNIFFER(/sbin/dhclient[891])
-J'utilise aussi mldonkey sur le serveur et j'ai vu quelque part qu'il était possible que chkrootkit prenne le P2P pour un rootkit, je doute un peu car je n'ai nullement ouvert le port 4000 de ma machine.
-Est-il possible ce rootkit provienne d'un pc m$ de mon réseau local et qu'ils soit juste detecté par chkrootkit sans que cela pause problème au serveur ?
Maintenant que j'ai réussit à mettre en place un serveur Web/mail/ftp/ssh/samba(bien sur ouvert qu'au réseau interne)/serveur de jeu(occasionellement) relativement sécurisé (via iptables et ssh pour l'accès admin)je commence à m'attaquer serieusement à la sécurité.Est-ce que quelqu'un pourrait m'aiguiller sur ce sujet, surtout concernant les logs que j'ai sur ma machine ?
(dsl si j'en demande un peu beaucoup
)
Poste le Saturday 12 August 2006 13:15:02