Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 23/11/2009, à 13:13

fredo25

Syslogd et Klogd se sont désactivés: attaque?

Bonjour,
Ce matin mon ubuntu 8.02 n'était plus accessible en ssh, du coup je l'ai éteint avec le bouton power off( vu qu'il n'a ri ecran ni clavier).
au reboot cool j'ai de nouveau acces à la machine, mais curieusement les log ne tournent plus.
pourquoi?
merci.

[PS] je viens de modifier le titre car il était plus très clair ni juste.

Dernière modification par fredo25 (Le 25/11/2009, à 21:16)

Hors ligne

#2 Le 23/11/2009, à 14:09

fredo25

Re : Syslogd et Klogd se sont désactivés: attaque?

en fait il reste quand même: lastlog, wtmp,dmesg et udev qui se mettent à jour (date supérieure à l'arrêt de la machine)
le dernier de syslog
"Proxy exited with status 1
Suspend rejected by proxy
Suspending now"

Hors ligne

#3 Le 23/11/2009, à 20:06

fredo25

Re : Syslogd et Klogd se sont désactivés: attaque?

Bon j'ai relancé syslogd à la main (un reboot ne le relance pas à priori)
Et j'ai ça en permanence:

pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.168.227.12  user=root
: Failed password for root from 61.168.227.12 port 55382 ssh2
: Address 61.168.227.12 maps to pc12.zz.ha.cn, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!

mon problème viendrait de là => une attaque? et sinon le port arête pas de changer mais ma freebox devrait faire passer que le 22?

Hors ligne

#4 Le 23/11/2009, à 20:22

Ungars

Re : Syslogd et Klogd se sont désactivés: attaque?

C' est un truc Chinois ça non ?

Des annonces et un forum pour trouver un associé

Hors ligne

#5 Le 23/11/2009, à 20:38

fredo25

Re : Syslogd et Klogd se sont désactivés: attaque?

oui mais le reste c'est du chinois pour moi!
Hier pour tester différentes choses j'avais mis sur ma freebox mon ubuntu en dmz.. pas bien surement. En tout cas j'ai des tonnes de log samba par exemple.

Hors ligne

#6 Le 23/11/2009, à 22:30

feeatmod

Re : Syslogd et Klogd se sont désactivés: attaque?

Bonsoir,

Je vais potasser un peu sur tes logs

en attendant ce qui est sûr c'est que passer en dmz sa freebox ( ou tout autre routeur pourvu d'un pare-feu)
le pc devient  alors vulnérable puisque la box laisse passer

feeatmod

Dernière modification par feeatmod (Le 23/11/2009, à 22:32)

"Mourir c'est juste connaitre une dernière fin de MOI difficile" dp ch'ti grain de folie
Membre de l'april  http://www.april.org/
Dell precision 490-deux quad xeons- nvidia quadro 4000 - Raid 5 matériel- UBUNTU studio 64 bits

Hors ligne

#7 Le 23/11/2009, à 23:05

fredo25

Re : Syslogd et Klogd se sont désactivés: attaque?

merci,
la même ip est restée environ 1h à raison de 30 requetes par minutes. Depuis que j'ai relancé mes log je n'ai évidemment pas d'info avant.
en gros toujours la même requete (avec le port qui changent).

ça ne m'inquièterait pas plus que cela  s'il n'avait pas eu en même temps la perte de connexion au ssh et ping ainsi que l'arrêt du service syslogd, même après redémarrage.
En attendant j'ai isolé mon ubuntu des deux autres PC.

Hors ligne

#8 Le 23/11/2009, à 23:38

feeatmod

Re : Syslogd et Klogd se sont désactivés: attaque?

Re,

au fait la raison de ta configuration de dmz
c'était  pour:

rendre ton pc ubuntu acccessible à tous  depuis le net ???? ( serveur ftp...)

en dehors de cela sur le net tu navigues en ip public,  derrière un proxy ??? depuis ton réseau local bien entendu

enfin à distance en ssh, c'est pour franchir un proxy de société ou universitaire?
ou simplement pour connection sécurisé cryptée, ou les deux?

je ne suis pas simplement curieux je cherche à me faire une idée de l'environnement réseau
feeatmod

Dernière modification par feeatmod (Le 23/11/2009, à 23:58)

"Mourir c'est juste connaitre une dernière fin de MOI difficile" dp ch'ti grain de folie
Membre de l'april  http://www.april.org/
Dell precision 490-deux quad xeons- nvidia quadro 4000 - Raid 5 matériel- UBUNTU studio 64 bits

Hors ligne

#9 Le 24/11/2009, à 08:52

fredo25

Re : Syslogd et Klogd se sont désactivés: attaque?

C'était pour accéder à mon ssh et me garder l'option depuis ssh de lancer un serveur vnc et y avoir accès.
on navigue avec l'ip fixe de ma box free.
le ssh c'est pour accéder depuis l'extérieur au pc ubuntu. Il me sert à faire un peu de domotique, en fait c'est ma seul utilisation sous linux, sinon je suis encore sous window$ donc ma connaissance d'ubuntu est assez faible.

Hors ligne

#10 Le 24/11/2009, à 12:09

Ungars

Re : Syslogd et Klogd se sont désactivés: attaque?

Salut, tu as ouvert tous les ports de ta box ou seulement ceux nécessaires aux ssh et vnc ?

Des annonces et un forum pour trouver un associé

Hors ligne

#11 Le 24/11/2009, à 13:58

fredo25

Re : Syslogd et Klogd se sont désactivés: attaque?

tous (les ports)? vu que j'avais mis l'ip de mon pc en dmz non?
en temps normal y'a juste ssh (port22).
Bref mon problème c'est que si je reboute la machine syslogd ne démarre plus.
je fais sudo /etc/init.d/syslogd restart et c'est bon. avant il démarrait tout seul, là je comprends pas.

Dernière modification par fredo25 (Le 24/11/2009, à 13:59)

Hors ligne

#12 Le 25/11/2009, à 20:41

fredo25

Re : Syslogd et Klogd se sont désactivés: attaque?

bon j'ai fini par ouvrir en mode graphique "service-admin" (je ne sais pas si c'est la connexion wifi, le vieux pII 450Mhz, mais lancer vnc c'est affreux de lenteur!!) et j'ai vu que syslog et klog s'étaient désactivé tout seul roll.
bon j'ai réactivé.
et sinon j'ai une question: acpid et apmd c'est utile si on est pas sur un portable?
merci
Sinon j'ai installé fail2ban: a défaut de comprendre les subtilités de la bête, la config de base semble suffisante pour bannir les requêtes multiples d'une même ip.

Dernière modification par fredo25 (Le 25/11/2009, à 20:58)

Hors ligne

#13 Le 25/11/2009, à 23:52

feeatmod

Re : Syslogd et Klogd se sont désactivés: attaque?

Bonsoir,

Sans jeter plus d'inquiétude chacun sait que les hackers peuvent  se planquer derrière d'autres ip

un coup d'oeil à iptracer donne sur l'ip mentionnée

http://www.ip-adress.com/ip_tracer/61.168.227.12


tu te connectes en ssh depuis là???
effectivement c'est chinois

feeatmod

"Mourir c'est juste connaitre une dernière fin de MOI difficile" dp ch'ti grain de folie
Membre de l'april  http://www.april.org/
Dell precision 490-deux quad xeons- nvidia quadro 4000 - Raid 5 matériel- UBUNTU studio 64 bits

Hors ligne

#14 Le 26/11/2009, à 08:49

fredo25

Re : Syslogd et Klogd se sont désactivés: attaque?

feeatmod a écrit :

Bonsoir,

Sans jeter plus d'inquiétude chacun sait que les hackers peuvent  se planquer derrière d'autres ip
un coup d'oeil à iptracer donne sur l'ip mentionnée
http://www.ip-adress.com/ip_tracer/61.168.227.12
tu te connectes en ssh depuis là???
effectivement c'est chinois
feeatmod

j'avais aussi fait cette recherche..
des attaques pourquoi pas mais ce que je me demande c'est le lien entre le passage du pc en dmz, la perte du ping et aussi ssh la désactivation du syslogd et klogd, et l'augmentation très significative du nombre de tentatives de connexion ssh depuis ce jour (là avec le temps et peut être fail2ban c'est enfin retombé à 1 ou 2  dans la journée).

Hors ligne

Pages : 1