Comment vérifier les sniffers dans Ubuntu?

Quelqu'un m'accuse que ma machine Linux Ubuntu puisse être la source d'une attaque de server.

Leur technique remplace le ssh original par ce ssh patché et, en tant que tel, supprime toutes les informations de journalisation et de debugging de sshd tout en permettant à tout count d'user d'être connecté à un mot de passe spécial; De plus, dans certains cas, ils ont fait des liens entre ce ssh2 invraisemblable et le ssh original. Cela explique pourquoi, sur, j'ai trouvé la key hôte ssh changée. En outre, ils ont mis d'autres choses dans / tmp /, / var / tmp /, /dev/.lib1/ et / dev / shm /, /dev/.lib1/ et / dev / shm /
, /dev/.lib1/ et / dev / shm /

Toute idée si cela peut être possible. Je n'avais pas d'autres rapports et je me connecte via ssh à au less une douzaine d'autres servers. Comment vérifier les sniffers dans Ubuntu? Comment puis-je vérifier si mon ssh est toujours valide?

6 Solutions collect form web for “Comment vérifier les sniffers dans Ubuntu?”

Essayez-vous de vérifier votre sshd?

Si oui, vous pouvez facilement faire deux choses 1) Vérifiez la sum de contrôle officielle et la vôtre (quelqu'un l'a dit avant) 2) utilisez le lsof pour vérifier quels files le sshd a ouvert. Une chose courante est de modifier sshd, de garder quelque part les passwords et les users en utilisant une délocking pour retirer le file.

En règle générale, ce que je suggère, c'est de replace temporairement le sshd par une autre version, mais conservez la version «piratée» pour tester davantage (si elle est piratée et que vous n'avez rien changé dans votre système, vous êtes encore vulnérable, alors examinez sshd peut vous aider)

Mais, au cas où, regardez les backdoors possibles. Avez-vous gardé des journaux de l'attaque?

Est-ce quelque chose comme rkhunter ( http://www.rootkit.nl/ ) que vous searchz? Il est disponible sous forme de package deb (aptitude install rkhunter)

Comme l'a dit Pehrs, vous ne souhaitez pas détecter un sniffer. (Même si quelqu'un renifle votre réseau, il ne sera pas logique parce que votre stream est chiffré. Il doit effectuer une parsing hors ligne, ce qui prendra du time / semaines / mois / années selon votre mot de passe).

Mais, dans le cas où vous requestz comment vous pouvez détecter si quelque chose est changé, regardez ossec . C'est vraiment un bon outil pour détecter les intrusions. Il peut être utilisé pour beaucoup de choses.

PS dans le cas où vous êtes vraiment intéressé à détecter le sniffer, regardez Find Sniffer sur LAN

à votre santé

Toute idée si cela peut être possible.

Oui, c'est possible. 🙂

Je n'avais pas d'autres rapports et je me connecte via ssh à au less une douzaine d'autres servers.

Avec un ssh piraté? Yikes!

Comment vérifier les sniffers dans Ubuntu?

Voulez-vous chercher des rootkits, des files remplacés ou un logiciel de numérisation en réseau?

Si votre process ssh est piraté, il n'y a qu'une seule solution pour cela: ARRÊTEZ LA MACHINE MAINTENANT! Il suffit de tirer la fiche, afin d'éviter que les scripts d'arrêt ne soient exécutés. et détendez-vous encore 🙂

Vous ne pouvez pas réellement essayer de réparer un système piraté, car vous ne pouvez pas indiquer quelles autres parties de la machine sont infectées et permettre au hack de continuer. La seule manière judicieuse est de faire une nouvelle installation et de copyr vos documents à partir de l'ancien disque.

L'ancien disque peut être utilisé pour l'inspection (à partir d'un système différent) et la comparaison des files binarys avec les files que votre gestionnaire de packageage a installés.

L'option la plus sûre est de sauvegarder vos configurations, de formater le système, de faire une nouvelle installation et de vous assurer qu'elle soit entièrement mise à jour dès que possible, de preference hors ligne.

Cependant, il semble que ce ne soit qu'une accusation de quelqu'un sur Internet. Quelles preuves ont-ils? Y at-il quelque chose de suspect que vous voyez sur votre machine?

Quoi qu'il en soit, une chose que vous pouvez essayer est de passer votre connection réseau à travers un autre système et de surveiller le trafic qui en va et vient. Quelque chose comme ntop ou etherape peut aider.

Vous souhaitez créer un CD avec un système de files racine, des outils de search de rootkit et (si vous l'avez) une database sortingpwire à partir de votre système, à partir d'un moment où vous savez qu'il n'a pas été piraté.

Bien que, dans une certaine mesure, les sums de contrôle d'un binary ssh installé à partir du même référentiel soient assez convenables, je suppose.

  • lier la délégation
  • Comment configurer le server de démarrage PXE dans CentOS
  • Comment savoir dans quel package Ubuntu un outil est disponible?
  • rvm ne peut installer aucun rbuy
  • Dois-je rafraîchir ou redémarrer quelque chose après avoir ajouté / mis à jour un crontab dans Ubuntu Server 8.04?
  • get le statut de job lp en utilisant lpstat
  • Récupérer de l'arrêt lors de la mise à niveau de la dissortingbution Ubuntu
  • Contre le trouble: comment vérifier de manière fiable et portative la version OpenSSL?
  • Combien d'espace de swap pour un server de virtualisation Ubuntu de 32 Go?
  • Un moyen plus simple de sécuriser le port 22 de mon ip "dynamic"?
  • OSSEC ne fonctionne pas
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de réseau.