Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
894 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Exploit SSH : Me suis-je fait rooté ?

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Exploit SSH : Me suis-je fait rooté ?

n°326136
marcj
Posté le 16-09-2003 à 22:21:24  profilanswer
 

Un doute affreux m'étreint suite à celà : http://slashdot.org/articles/03/09 [...] 26&tid=172
je me suis reposé des question sur des logs bizarres de mon FW :  


Sep 15 07:11:08 baal -- MARK --
Sep 15 07:16:34 baal sshd[28956]: Bad protocol version identification '?=' from 193.252.221.167
Sep 15 07:16:36 baal sshd[28957]: Bad protocol version identification '?5' from 217.16.232.21
Sep 15 07:16:37 baal sshd[28958]: Bad protocol version identification '?=' from 193.252.221.167
Sep 15 07:16:38 baal sshd[28959]: Bad protocol version identification '?5' from 217.16.232.21
Sep 15 07:16:39 baal sshd[28960]: Bad protocol version identification '?5' from 217.16.232.21
Sep 15 07:16:40 baal sshd[28962]: Bad protocol version identification '?=' from 193.252.221.167
Sep 15 07:31:08 baal -- MARK --


et


Sep 16 00:31:04 baal -- MARK --
Sep 16 00:47:37 baal sshd[28121]: Bad protocol version identification '?5' from 217.16.232.21
Sep 16 00:47:40 baal sshd[28124]: Bad protocol version identification '?5' from 217.16.232.21
Sep 16 00:47:43 baal sshd[28125]: Bad protocol version identification '?5' from 217.16.232.21
Sep 16 01:11:04 baal -- MARK --


 
Je n'ai par contre rien remarqué d'autre...  
Comment procéder ensuite ?
J'ai bloqué le port SSH en attendant, mais si le rootkit est déjà en place, c'est fini...
Que regarder d'autre ?
 
EDIT : orthographe !


Message édité par marcj le 16-09-2003 à 22:23:12
mood
Publicité
Posté le 16-09-2003 à 22:21:24  profilanswer
 

n°326145
axey
http://www.00f.net
Posté le 16-09-2003 à 22:33:24  profilanswer
 

Le message que tu obtiens signifie que le client a répondu n'importe quoi à la bannière initiale envoyée par le serveur.

n°326147
marcj
Posté le 16-09-2003 à 22:36:59  profilanswer
 

C'est ce que je me suis dit la première fois que j'ai vu ces logs...
Mais comme l'exploit en question est un buffer overflow, ca peut coller !

n°326158
Mjules
Modérateur
Parle dans le vide
Posté le 16-09-2003 à 22:49:05  profilanswer
 

pour vérifier si tu as un rootkit :
http://www.chkrootkit.org/


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Exploit SSH : Me suis-je fait rooté ?

 

Sujets relatifs
[SSH] c'est simple ,mais pourtant !!! [résolu][SSH] Permission denied
SSH X fowarding: compression?[RESOLU] Problème de connexion SSH ...
VNC à travers SSH , how to et explication theorique ? (putty inside)NFS over SSH c possible??
[Cinéma] Ssh in Matrix ReloadedProbleme tunnel SSH pour faire passer du FTP
modif de la config de SSH[SSH] Logger les tentatives de connection ?
Plus de sujets relatifs à : Exploit SSH : Me suis-je fait rooté ?

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.030 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR