Exploit SSH : Me suis-je fait rooté ?
Exploit SSH : Me suis-je fait rooté ? - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 16-09-2003 à 22:33:24
Le message que tu obtiens signifie que le client a répondu n'importe quoi à la bannière initiale envoyée par le serveur.
Marsh Posté le 16-09-2003 à 22:36:59
C'est ce que je me suis dit la première fois que j'ai vu ces logs...
Mais comme l'exploit en question est un buffer overflow, ca peut coller !
Marsh Posté le 16-09-2003 à 22:49:05
pour vérifier si tu as un rootkit :
http://www.chkrootkit.org/
---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. | Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Sujets relatifs:
- [SSH] c'est simple ,mais pourtant !!! [résolu]
- [SSH] Permission denied
- SSH X fowarding: compression?
- [RESOLU] Problème de connexion SSH ...
- VNC à travers SSH , how to et explication theorique ? (putty inside)
- NFS over SSH c possible??
- [Cinéma] Ssh in Matrix Reloaded
- Probleme tunnel SSH pour faire passer du FTP
- modif de la config de SSH
- [SSH] Logger les tentatives de connection ?
Marsh Posté le 16-09-2003 à 22:21:24
Un doute affreux m'étreint suite à celà : http://slashdot.org/articles/03/09 [...] 26&tid=172
je me suis reposé des question sur des logs bizarres de mon FW :
Sep 15 07:11:08 baal -- MARK --
Sep 15 07:16:34 baal sshd[28956]: Bad protocol version identification '?=' from 193.252.221.167
Sep 15 07:16:36 baal sshd[28957]: Bad protocol version identification '?5' from 217.16.232.21
Sep 15 07:16:37 baal sshd[28958]: Bad protocol version identification '?=' from 193.252.221.167
Sep 15 07:16:38 baal sshd[28959]: Bad protocol version identification '?5' from 217.16.232.21
Sep 15 07:16:39 baal sshd[28960]: Bad protocol version identification '?5' from 217.16.232.21
Sep 15 07:16:40 baal sshd[28962]: Bad protocol version identification '?=' from 193.252.221.167
Sep 15 07:31:08 baal -- MARK --
et
Sep 16 00:31:04 baal -- MARK --
Sep 16 00:47:37 baal sshd[28121]: Bad protocol version identification '?5' from 217.16.232.21
Sep 16 00:47:40 baal sshd[28124]: Bad protocol version identification '?5' from 217.16.232.21
Sep 16 00:47:43 baal sshd[28125]: Bad protocol version identification '?5' from 217.16.232.21
Sep 16 01:11:04 baal -- MARK --
Je n'ai par contre rien remarqué d'autre...
Comment procéder ensuite ?
J'ai bloqué le port SSH en attendant, mais si le rootkit est déjà en place, c'est fini...
Que regarder d'autre ?
EDIT : orthographe !
Message édité par marcj le 16-09-2003 à 22:23:12