| From | jm <jm dot trivial at gmail dot com> |
| Subject | Re: [gulliver] Une bonne nouvelle |
| Date | Mon, 20 Mar 2006 18:47:39 +0100 |
Hello, Frederic Lehobey a écrit : > >>Ils avaient profité d'un login / mot de passe trop simple sur le serveur, >> >> > > Ce n'est pas le cas chez moi. :-) > > > Je pensais la même chose, mais j'avais oublié un compte créé pour une amie, qui n'avait pas changé le mot de passe que je lui avais mis par défaut... > Quels outils as-tu utilisés ? J'imagine que tu as tout réinstallé de >zéro. Quelles mesures as-tu mis en place par la suite. C'est pour moi >une excellente leçon. La machine infectée avait l'accés root (par ssh, >par le système de sauvegarde) sur deux autres machines (une i386, une >powerpc). J'ignore s'ils s'en sont rendu compte et les ont aussi >infectées... Je suis obligé pour l'instant de faire comme si. (3 >machines donc à auditer... in fine) > > > Comme j'ai changé d'architecture, j'ai tout réinstallé. Ça m'a permi de repartir sur une base saine. Je vérifie maintenant régulièrement les comptes de mes users. On m'a conseiller de faire tourner ssh sur un port non conventionnel (je connais de nombreuses personnes qui ont choisi cette solution). Par flemme, je ne l'ai pas fait (se rappeler d'un port, pas simple). J'ai installé firehol pour gérer iptables, qui est vraiment bien foutu. Voilà, je pense avoir fait le tour. Le choix de l'architecture non x86 me semblait déjà quelque chose de pertinent. Vu ton histoire, il semble que non. > Qu'y a-t-il exactement dans ton /var/tmp. Ça peut être amusant à >autopsier. > > > Je te l'envoie en privé. Amicalement, jm -- jm .oO ( http://jmtrivial.info )
Attachment:
signature.asc
Description: OpenPGP digital signature