[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [gulliver] Une bonne nouvelle


From jm <jm dot trivial at gmail dot com>
Subject Re: [gulliver] Une bonne nouvelle
Date Mon, 20 Mar 2006 18:47:39 +0100

Hello,

Frederic Lehobey a écrit :

>
>>Ils avaient profité d'un login / mot de passe trop simple sur le serveur,
>>    
>>
>
>  Ce n'est pas le cas chez moi.  :-)
>
>  
>
Je pensais la même chose, mais j'avais oublié un compte créé pour une
amie, qui n'avait pas changé le mot de passe que je lui avais mis par
défaut...

>  Quels outils as-tu utilisés ? J'imagine que tu as tout réinstallé de
>zéro. Quelles mesures as-tu mis en place par la suite. C'est pour moi
>une excellente leçon. La machine infectée avait l'accés root (par ssh,
>par le système de sauvegarde) sur deux autres machines (une i386, une
>powerpc). J'ignore s'ils s'en sont rendu compte et les ont aussi
>infectées... Je suis obligé pour l'instant de faire comme si. (3
>machines donc à auditer... in fine)
>
>  
>
Comme j'ai changé d'architecture, j'ai tout réinstallé. Ça m'a permi de
repartir sur une base saine.
Je vérifie maintenant régulièrement les comptes de mes users.
On m'a conseiller de faire tourner ssh sur un port non conventionnel (je
connais de nombreuses personnes qui ont choisi cette solution).
Par flemme, je ne l'ai pas fait (se rappeler d'un port, pas simple).

J'ai installé firehol pour gérer iptables, qui est vraiment bien foutu.
Voilà, je pense avoir fait le tour. Le choix de l'architecture non x86
me semblait déjà quelque chose de pertinent. Vu ton histoire, il semble
que non.

>  Qu'y a-t-il exactement dans ton /var/tmp. Ça peut être amusant à
>autopsier.
>
>  
>
Je te l'envoie en privé.

Amicalement,

jm

-- 
jm  .oO ( http://jmtrivial.info )


Attachment: signature.asc
Description: OpenPGP digital signature