par JaDiuM » 11 Fév 2004 14:07
bonjour docha,
<BR>
<BR>effectivement un beau rootkit, cepandant le vilain n'a pas réussit à l'intaller (pb de compilation kernel <IMG SRC="images/smiles/icon_smile.gif"> ).
<BR>
<BR>Ceci dit si il s'agit d'un machine de production, il est fortement conseillé de formater !! et de tout reprendre. Car la il a tenté ce rootkit, mais en a certainement placé d'autre !.
<BR>
<BR>Fort à parier qu'il à remplacé les commandes les plus courantes type rm ln ls etc...
<BR>
<BR>Mais avant de relancer une nouvelle install (car la il est corrompu " acces root"), il serait bon d'effectuer un autopsie, pour connaitre son mode operatoire.
<BR>
<BR>dans tout les cas il a certainement utilisé des failles de type nremap ou sur des services de type ftp (proftpd, wuftpd etc), apache ou autre.
<BR>
<BR>Quoi qu'il en soit sur ta nouvelle config je te recommande vivement l'usage de soft de type chkrootkit, tripwire, mettre en place d'environement chroot pour les services proposé, déportation des logs, cryptage, ids, patchs appli et kernel etc.
<BR>
<BR>
<BR>Enfin la liste est longue.
<BR>
<BR>Désolé pour ta mésaventure.
<BR>
<BR>_________________
<BR>----------------------------------
<BR>"Computers are like air conditionners. They stop working properly when you open Windows"
<BR>----------------------------------<BR><BR><font size=-2></font>
" Quand on ne sait pas où l'on va, tous les chemins mènent à nulle part." [Kissinger]