La question est purement théorique et n'a que pour but d'apprendre (mon serveur est derrière une freebox et je n'ai redirigé que le port 80 donc pas d'accès ssh depuis l'extérieur pour l'instant)
Concernant wireshark je l'utilise dans un but pédagogique mais jamais de façon très poussée...faudrait vraiment que je m'y mette
Fail2ban je connais pour l'avoir testé plus en profondeur et c'est vraiment pas mal mais ça reste du préventif
Après je parle de temps réel mais bon à part fermer les ports utilisés en fait je ne sais pas trop ce qui est faisable....faudrait que je me mette un peu au courant niveau hack car ça reste assez abstrait....]]>https://debian-facile.org/profile.php?id=16842012-06-15T20:17:25Zhttps://debian-facile.org/viewtopic.php?pid=49202#p49202 Quels sont les indices/preuves qui te permettent de dire que tu es attaqués ???
Sais-tu quel protocole réseau est utilisé, l'adresse ip du pirate, la faille utilisée ???
L'idéal dans un premier temps est de sniffer l'activité du pirate en temps réel avec wireshark par exemple. L'outil permet entre autre d'enregistrer l'activité du réseau et donc du pirate.
Dans un registre identique, snort permet de détecter les attaques et de rendre compte sous forme de rapport. C'est un outil trés complet dont une large communauté met à jour régulièrement la base de donnée.
Tu peux également renforcer la sécurité de ton système avec Bastille. En fonction de la configuration, il bloquera certain accés dont on ne pense pas toujours.
fail2ban est une bonne solution.
As-tu un parefeu ???
Passe un coup de chkrootkit aussi (en faisant gaffe aux faux-positifs dans le rapport, c'est d'ailleurs énervant ).
Fait aussi un scan de tes ports réseaux avec Nmap pour voir si il n'y a pas un chemin dérobé.
Il existe aussi les pots de miel (honeypots) pour coincer le pirate, mais je n'ai jamais eu l'occasion d'en utiliser un, donc pas trop d'experience sur le sujet...En gros, tu simules un réseau virtuel qui te laisse tout loisir de déterminer le matricule de l'individu.
Penses à faire des backups si ce n'est déjà fait...(le cas échéant, il faudra vérifier leur intégrité).
En dernier lieu, le shell est ton ami : who, netstat, ps, ...