Tom's Guide > Forum > Accès Internet & Réseaux > serveur piraté?

serveur piraté?

Forum Accès Internet & Réseaux : serveur piraté?

TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !

Contenu relatif
Forum
Actualités
Dossiers
Téléchargement

Voir tous les sujets correspondants à "serveur pirate"

Créer un nouveau sujet Répondre

Bas de page Chercher dans ce sujet

Bonjour à tous,

Mon serveur tourne sous Red Hat 7.2 sur une ligne adsl Freebox.
Celui ci n'etais plus accessible de l'exterieur depuis hier.
Je me suis connecté en SSH avec le compte ROOT et j'ai vu un message de type: last connection 10.10.06 from nom.aol.com

Je ne me suis jamais connecté via aol...
Est-ce une personne qui c'est connectée sur mon compte root ou simplement un programme utilisant le compte root?

Merci pour vos reponses...

PS: Une partie des logs que je viens de trouver pour le compte ROOT:

LE 8:

Oct 8 23:07:02 hostux sshd[28973]: input_userauth_request: illegal user admin
Oct 8 23:07:02 hostux sshd[28973]: Failed password for illegal user admin from 210.66.221.203
port 44341 ssh2
Oct 8 23:07:03 hostux sshd[28973]: Received disconnect from 210.66.221.203: 11:
Bye Bye
Oct 8 23:07:06 hostux sshd[28974]: input_userauth_request: illegal user user
Oct 8 23:07:06 hostux sshd[28974]: Failed password for illegal user user from 210.66.221.203
port 44422 ssh2
Oct 8 23:07:06 hostux sshd[28974]: Received disconnect from 210.66.221.203: 11:
Bye Bye
Oct 8 23:07:12 hostux sshd[28975]: Failed password for ROOT from 210.66.221.203
port 44505 ssh2
Oct 8 23:07:12 hostux sshd[28975]: Received disconnect from 210.66.221.203: 11:
Bye Bye
Oct 8 23:07:17 hostux sshd[28976]: Failed password for ROOT from 210.66.221.203
port 44645 ssh2
Oct 8 23:07:18 hostux sshd[28976]: Received disconnect from 210.66.221.203: 11:
Bye Bye

LE 9:

---------------- Connections (secure-log) Begin -------------------

**Unmatched Entries**
Oct 9 16:33:07 hostux sshd[31598]: Could not reverse map address 89.35.65.130.
Oct 9 16:33:08 hostux sshd[31598]: Accepted password for ROOT from 89.35.65.130
port 3298 ssh2
Oct 9 20:31:59 hostux sshd[32137]: Accepted password for ROOT from 172.166.125.83
port 1157 ssh2

Message édité par dopi le 10-10-2006 à 10:04:24

Répondre

Inscrivez-vous ou connectez-vous pour masquer ceci.

Bonjour , oui en effet c'est bizard , peut etre que tu partage ou qu'un programme utilise le serveur d'aol , mais quand je vois password failed ou encore illegal user ca demande reflexion , je ne peux t'aider davantage je connais pas assez linux pour t'en dire plus ...

alex

Répondre à beydylove

si je ne me trompe pas, c'est en fait un petit malin qui essaye de s'introduire sur ton serveur FTP en testant les logins basics (root, admin, ...)
En ce qui concerne l'accès SSH... sais-tu a qui sont ces deux IP? si non... change vite ton pass root.

------------------------------ Réseau IRC Francophone | g33k-zone
Défiez-moi donc !
Répondre à crazycat@idn

oui je dirasi plutot l'avis de crazycat , quelqu'un doit essayer d'infiltrer ton serveur

Répondre à beydylove

Merci beaucoups pour vos reponses.
Apparement la personne doit y etre arrivée: Oct 9 16:33:08 hostux sshd[31598]: Accepted password for ROOT from 89.35.65.130

Pour repondres a crazycat, j'ai pingé les adresses qui ne repondent pas, surement une ip dynamique.
J'ai changé mon mot de passe par securité, mais comment une personne peut trouver un mot de passe codé de cette facon:
Une lettre majuscule, deux chiffres, 3 lettres minuscules, 2 chiffres, une lettre majuscule?

Meme en Brute force je vois pas... Meme en me connaissant personnelement...

Encore merci !

Répondre à dopi

je ne connais pas les logs RedHat, donc il faudrait savoir si "accepted password" signifie que le système a accepté l'entrée du password ou si le password entré était bon.

Tu devrais voir dans le fichier auth.log* qui donne la liste des connexions réussies (du moins je crois).

Et tu sais, en force brute avec de la patience, on peut tout faire, mais tes logs seraient conséquents

------------------------------ Réseau IRC Francophone | g33k-zone
Défiez-moi donc !
Répondre à crazycat@idn

tu peux aussi mettre en place Iptables et autoriser uniquement certaines IP...
et changer aussi ton num de port (bon je sais c'est pas top top ca mais bon...)

------------------------------ sudo make me a sandwich

Répondre à BaCcHuSs@IDN

déjà, s'il se fait attaquer par un aol, iptables ne servira à rien: chez aol, il suffit de se déco/reco pour avoir une nouvelle IP, et les plages d'attributions sont très grandes... très très grandes.

------------------------------ Réseau IRC Francophone | g33k-zone
Défiez-moi donc !
Répondre à crazycat@idn

ben si en faisant un allow plutot qu'un deny ...

------------------------------ sudo make me a sandwich

Répondre à BaCcHuSs@IDN

oui effectivement, tout dépend ce qu'il fait avec son serveur

------------------------------ Réseau IRC Francophone | g33k-zone
Défiez-moi donc !
Répondre à crazycat@idn

Je vais surveiller ca, merci beaucoup pour toutes vos reponses!

Répondre à dopi

bjr svp jé un gros problème : jé un certain willpolo en fait c'est un hacker franchmt il apparait sur toutes mes pages c'est un pirate et il fé du hacking et franchmt je ne c pas cmt le détruire svp aidez moi !

merci d'avance !

Répondre à tyresy

plutot un scan fait avec nmap a mon avis. :pt1cable:

Répondre à bsdishers

Ne pas activer le compte root ^^

Répondre à XE85M

Créer un nouveau sujet Répondre

Tom's Guide > Forum > Accès Internet & Réseaux > serveur piraté?

Aller à :

Aide |
Règles du forum

Il y a 380 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Contenu relatif
Forum
Actualités
Dossiers
Téléchargement

Voir tous les sujets correspondants à "serveur pirate"

Page générée en 0,312 secondes

Attention

Vous allez répondre sur un sujet resté inactif pendant plus de 6 mois.
Assurez-vous d'apporter des éléments nouveaux à la discussion avant de poursuivre.

Répondre Annuler

Liens