[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

RE: [gulliver] Une bonne nouvelle


From Yaël Chéenne <yael dot cheenne at wanadoo dot fr>
Subject RE: [gulliver] Une bonne nouvelle
Date Mon, 20 Mar 2006 15:25:25 +0100

Bonjour,

A mon avis, vous prenez le problème à l'envers:

La machine "infectée" :

Connectée à Internet ? Oui / Non
Comment ? Firewall / Proxy
Où ? Accès direct IP / FAI / DynDNS
Quel niveau de firewall (SPI / N3 ou N4 OSI / N7 (ce qui m'étonnerait fort)
?
Qu'y a-t-il dans les logs des protections ?

De toute façon, ce n'est pas l'architecture  qu'il(s) convoitaient, un
UltraSparc 64
n'a rien d'extraordinaire et s'attendai(ent)-ils peut-être à trouver autre
chose qu'un Linux ? (SunOS / Solaris)

Qui te dit que la machine a été infectée ? Ce n'est pas parce qu'un petit
malin est rentré dans un système que ce dernier
est infecté. Il est rentré par une porte qui a peu résisté et même si ta
Debian est à jour (noyau, proto, accès divers et variés),
ce n'est pas cela qui l'empêchera de passer. Il a pris quelque chose ?

Autre chose, il a très bien pu s'introduire par une faille ou un exploit
récemment découvert, alors que ta Debian n'était pas à jour, un
zombie a très bien pu s'installer sans que tu ne voies quoique ce soit, avec
ou sans rootkit.

De plus, si il est un peu malin, il n'aura pas laissé de trace dans /var/*.
A ta place, je regarderai plutôt du côté des piles IP,
et ce de bout en bout, depuis internet jusqu'à la machine, quitte à faire de
la reconstruction de trame en C, czr c'est à partir du dump
IP que tu vas pouvoir débusquer un bout de piste.

Ce que j'en dis ...
Bonne journée.
Y.CHEENNE


-----Message d'origine-----
De: Frederic Lehobey [mailto:Frederic dot Lehobey at free dot fr]
Envoyé: lundi 20 mars 2006 14:42
À: gulliver at listes dot gulliver dot eu dot org
Objet: Re: [gulliver] Une bonne nouvelle


Salut,

On Mon, Mar 20, 2006 at 02:22:15PM +0100, Florent Monnier wrote:

> > > et une fois monté sur un autre système, que faut-il faire ?
> >
> > # chroot -r /le/répertoire/de/montage/du/système

# chkrootkit -r /le/répertoire/de/montage/du/système

  « -r » n'est pas une option de chroot.

Désolé de l'erreur de transcription. Il faut que je me détache de
certains automatismes.  :-)

Librement,
Frédéric


-- 
----------------------------------------
J'utilise la version gratuite SPAMfighter pour utilsateurs privés.
9352 emails spam ont été filtrés jusqu'à présent.
Les utilisateurs payants n'ont pas ce message dans leurs emails.
Essayez www.SPAMfighter.com gratuitement aujourd'hui!
<< Fichier: signature.asc>>

<<attachment: winmail.dat>>