[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [gulliver] attaque


From Nicolas Ledez <gulliver_ml01 at les-ledez dot com>
Subject Re: [gulliver] attaque
Date Fri, 12 Mar 2004 13:49:04 +0100

Le Fri, Mar 12, 2004 at 11:18:27AM +0100, Arnaud a écrit :
> salut,
> 
> ma gateway a été attaquée dimanche dernier dans la nuit. (je l'ai
> retrouvée eteinte et la machine bloque au reboot lors du mount de
> /var/log). a priori l'attaque a été faite vers 4h du matin (c'est
> l'heure ou je trouver les dernieres traces d'activité sur ma machine).
> 
> est-ce que quelqu'un pourrait me donner un coup de main pour
> l'analyse des logs et/ou retrouver la personne coupable ?
Déja monter ton disque dans une autre machine, et monter les partition
an RO. Il me semble qu'il faut aussi monter les partition en noatime,
cela va te permettre de trouver les derniers fichiers accédés.

Ensuite tu peut essayer de passer un coup de chkrootkit dessus. Je ne
sait pas si cela peut se faire avec un chroot monté en RO.

Sinon analyser les logs en démarant par les derniers modifiés, et y
chercher des choses "louches".
 
-- 
23:16 Comment on fait pour utiliser/configurer une souris de Imac USB
      avec un seul bouton sous X ?
23:59 23.16 : on utilise la touche commande (le trefle) et option ou
      bien 2 touches dupave numerique (0 et ,) lorsque celui ci n'est
      pas en numlock pour simuler les 2 autres boutons
00:01 23:59 Xemacs+Mac = Mortal Kombat :-))

Nicolas Ledez