infection par chevaux de troie

[bubar]

bonjour a tous <BR> <BR>bonjour a tous <BR> <BR>suite a un surf "politique" chez des gens pas tres tolerants, que j ai eu le tord de prendre pour des "amis" du moins des "cousins", <BR> <BR>je me retrouve avec divers trojans : <BR>netbus <BR>trin00 <BR>backorifice <BR> <BR>les requetes venant de 82.255.5*.*** pour declencher ces divers trojans se trouvent bloquees par mon firewall. De meme que les requetes de ces trojans vers cette meme ip. <BR> <BR>je souhaiterai avoir des conseils pour eliminer avec elegance ces trojans. <BR> <BR>Merci <BR> <BR>ma config : <BR>mandrake 9.1 <BR>kernel 2.4.0.27mdksecure <BR> <BR> <BR> <BR>[edit] <BR> Bonjour, <BR> <BR>J'ai masqué une partie d'@ ip car il est clairement innaproprié de laisser ce genre de chose sur le forum (cf charte Ixus). <BR> <BR>D'autre part il me semble utile pour toi si tu es sûr de ce que tu avance de voir avec le fai pour signaler l'utilisateur. <BR> <BR>Enfin je n'avais pas encore entendu parler de ces trojan pour linux ... étrange... <BR> <BR>Cdt <BR> <BR>Nem. <BR>[/edit] <BR> <BR><font size=-2></font> <BR> <BR><font size=-2></font><BR><BR><font size=-2></font>

[bubar]

Merci nemesis <BR> <BR>desole pour la charte, j avoue l avoir zapee (lecteur assidue du site ixus mais pas des forums, j ai simplement verifier qu aucune question de ce type n avait ete posee auparavant) <BR> <BR>quant aux trojans, moi aussi je suis particulierment etonne...! <BR>d autant qu il s agit de bon vieux outils... !!! c est pas tres actuel a premiere vue ! <BR> <BR>et pourtant : <BR>(je cache donc les IP) <BR>Log du Firewall, drop paquets <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR> <BR>time:Feb 27 12:18:13 in: out:eth0 port:12346 source:81.220.28.xxx dest:82.255.50.2xx len:44 tos:0x00 protocol:tcp service:netbus <BR>time:Feb 27 12:18:11 in:eth0 out: port:68 source:10.122.0.1 d48.xxx dest:82.255.50.2xx len:44 tos:0x00 protocol:tcp service:netbus <BR> <BR>time:Feb 27 12:25:53 in: out:eth0 port:1524 source:81.220.248.xxx dest:82.255.50.2xx len:44 tos:0x00 protocol:tcp service:trin00 <BR> <BR>time:Feb 27 12:27:47 in: out:eth0 port:31337 source:81.220.248.xxx dest:82.255.50.2xx len:44 tos:0x00 protocol:tcp service:borifice <BR> <BR>bien sur, netstat -taupe ne me donne rien (bloque...) <BR>chkrootkit ne me donne rien non plus (ouf ? pas sur !) <BR>une surveillance permanente sur la tty3 avec iptstate ne donne rien <BR>un tit tour dans dev/kmem et sa comparaison ne me signale rien a vue d oeil <BR> <BR>s il n y avait que des appels de l exterieur vers ces fichiers chez moi, cela ne "m inquieterai pas", mais que ces fichiers tentent d appeller eux memes l exterieur, ca c est + inquietant car cela veut dire qu ils sont operationnels sur mon systeme, non ??? <BR> <BR>bien sur, leurs noms sont lies aux ports utilises... il est fort probable que ces trojans, utilisant les memes ports que les bons vieux cites + haut sur W$, aient ete adaptes... <BR> <BR>UN CONSEIL POUR EFFACER CES TRJANS DE MANIERE ELEGANTE ? <BR>Merci pour vos reponses <BR> <BR>dans tout les cas, qu en pensez vous ?<BR><BR><font size=-2></font>

[anonymeman]

si vous avé d problem avec lé hacker vous pouvé mapeler <BR>moi g lé <IMG SRC="images/smiles/icon_boxe2.gif"> lé hacker parseke g tou les logiciels pour <BR> <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <IMG SRC="images/smiles/icon_up.gif"> dehor lé hackers <BR>

[cain]

Une attention un peu plus prononcée à ton orthographe, anonymeman, pour un message lisible serait la bienvenue. <BR>En passant, tu peux faire de même sur <!-- BBCode u2 Start --><A HREF="http://www.ixus.net/modules.php?op=modload&name=Forum&file=viewtopic&mode=viewtopic&topic=12989&forum=6&start=0" TARGET="_blank">ce topic</A><!-- BBCode u2 End -->. <BR>Par ailleurs, je n'ai pas encore compris l'intérêt de ton post dans ce topic <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>bubar, jette un oeil <!-- BBCode u2 Start --><A HREF="http://www.google.fr/search?hl=fr&ie=UTF-8&oe=UTF-8&q=antivirus+linux&btnG=Recherche+Google&meta=lr%3Dlang_fr" TARGET="_blank">ici</A><!-- BBCode u2 End -->, tu devrais pouvoir trouver ton bonheur <IMG SRC="images/smiles/icon_wink.gif">

[nemesis]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2004-03-06 13:18, anonymeman a écrit: <BR>si vous avé d problem avec lé hacker vous pouvé mapeler <BR>moi g lé <IMG SRC="images/smiles/icon_boxe2.gif"> lé hacker parseke g tou les logiciels pour <BR> <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <IMG SRC="images/smiles/icon_up.gif"> dehor lé hackers <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Alors d'une la typographie style sms c'est pas ici qu'on l'utilise... <BR> <BR>Deux le langage façon adolescent prépubère énervé de même! <BR> <BR>Et trois ce genre de remarque peut tout à fait ce faire via Message Privé car elle n'apporte rien au problème de fond. <BR> <BR>Merci! <BR> <BR>Nemesis

[bubar]

Hum
merci a tout les deux, Cain & Nemesis
j ai essayer depuis KAV workstation, Fprot (et depuis ultimate boot cd), CLAmav et bit defender.
Aussi rkhunter...

Ai upgrade a 2.6.3-0.9mdkcustom.
examine tripwire en ce moment... pour une future proche re install, avec homeserveur updates, contrib; comm & plf...ET AVANT toutes connections au net.

@pluche, encore merci !!

[Zoulou2356]

si vous avé d problem avec lé hacker vous pouvé mapeler
<BR>moi g lé <IMG SRC="images/smiles/icon_boxe2.gif"> lé hacker parseke g tou les logiciels pour
<BR> <IMG SRC="images/smiles/icon_biggrin.gif">
<BR> <IMG SRC="images/smiles/icon_up.gif"> dehor lé hackers
<BR>

Du plus, cher anonymeman, sache que la plupart des "logiciels" que tu pourrais utiliser pour "lé hacker" sont des pièges à c** qui ouvrent des portes dérobées... Tu connais le principe de l'arroseur arrosé ???

A+

Zoulou