| From | Yaël Chéenne <yael dot cheenne at wanadoo dot fr> |
| Subject | RE: [gulliver] Une bonne nouvelle |
| Date | Mon, 20 Mar 2006 15:25:25 +0100 |
Bonjour, A mon avis, vous prenez le problème à l'envers: La machine "infectée" : Connectée à Internet ? Oui / Non Comment ? Firewall / Proxy Où ? Accès direct IP / FAI / DynDNS Quel niveau de firewall (SPI / N3 ou N4 OSI / N7 (ce qui m'étonnerait fort) ? Qu'y a-t-il dans les logs des protections ? De toute façon, ce n'est pas l'architecture qu'il(s) convoitaient, un UltraSparc 64 n'a rien d'extraordinaire et s'attendai(ent)-ils peut-être à trouver autre chose qu'un Linux ? (SunOS / Solaris) Qui te dit que la machine a été infectée ? Ce n'est pas parce qu'un petit malin est rentré dans un système que ce dernier est infecté. Il est rentré par une porte qui a peu résisté et même si ta Debian est à jour (noyau, proto, accès divers et variés), ce n'est pas cela qui l'empêchera de passer. Il a pris quelque chose ? Autre chose, il a très bien pu s'introduire par une faille ou un exploit récemment découvert, alors que ta Debian n'était pas à jour, un zombie a très bien pu s'installer sans que tu ne voies quoique ce soit, avec ou sans rootkit. De plus, si il est un peu malin, il n'aura pas laissé de trace dans /var/*. A ta place, je regarderai plutôt du côté des piles IP, et ce de bout en bout, depuis internet jusqu'à la machine, quitte à faire de la reconstruction de trame en C, czr c'est à partir du dump IP que tu vas pouvoir débusquer un bout de piste. Ce que j'en dis ... Bonne journée. Y.CHEENNE -----Message d'origine----- De: Frederic Lehobey [mailto:Frederic dot Lehobey at free dot fr] Envoyé: lundi 20 mars 2006 14:42 À: gulliver at listes dot gulliver dot eu dot org Objet: Re: [gulliver] Une bonne nouvelle Salut, On Mon, Mar 20, 2006 at 02:22:15PM +0100, Florent Monnier wrote: > > > et une fois monté sur un autre système, que faut-il faire ? > > > > # chroot -r /le/répertoire/de/montage/du/système # chkrootkit -r /le/répertoire/de/montage/du/système « -r » n'est pas une option de chroot. Désolé de l'erreur de transcription. Il faut que je me détache de certains automatismes. :-) Librement, Frédéric -- ---------------------------------------- J'utilise la version gratuite SPAMfighter pour utilsateurs privés. 9352 emails spam ont été filtrés jusqu'à présent. Les utilisateurs payants n'ont pas ce message dans leurs emails. Essayez www.SPAMfighter.com gratuitement aujourd'hui! << Fichier: signature.asc>>
<<attachment: winmail.dat>>