Re: Machine vérolée

Fri, 23 Jun 2023 02:35:56 -0700 

Le 2023-06-23 10:30, BERTRAND Joël a écrit :

Très bien. Et quelle est la marche à suivre. Je peux démarrer sur un
liveCD ou autre chose, mais je ne suis pas au fait de ce qu'il faut
faire après cela.



La question est vague, il faut monter les partitions du système, puis y 
rechercher ce qu'il y a d'étrange dessus, voir quelles sont les unités 
lancées par Systemd, voir s'il n'y a pas des répertoires ou des fichiers 
cachés (y compris des répertoires ou fichiers dont le nom ne commence 
pas par un point, mais que le système vérolé ne t'aurait pas montrés).



Mais ça, c'est juste pour comprendre ce qui a pu se passer, parce que, 
en ce qui me concerne, la seule fois où cette mésaventure m'est arrivée, 
je n'ai pas tenté de récupéré le système ou de réutiliser le disque. 
J'ai :
* Utilisé un liveCD pour récupérer mes données (l'indispensable pour 
minimiser le risque de récupérer des trucs vérolés au passage)

* Retiré le disque de mon PC

* Acheté un nouveau disque et réinstallé un système frais dessus (en 
m'interdisant de copier des logiciels ou même des scripts provenant de 
l'ancien système)
* Envoyé le disque à des amis spécialisés en sécurité pour qu'ils en 
fassent l'analyse et m'expliquent comment les attaquants avaient réussi 
leur coup (leur analyse a été très instructive et formatrice pour moi)
* Informé les admin. sys. de tous les serveurs auxquels j'avais accès de 
la compromission de mon PC et potentiellement, de mes clés SSH et GnuPG, 
leur demandant de bloquer immédiatement mon compte et de lui supprimer 
ses éventuels privilèges (sudo)

* Généré de nouvelles clés SSH et GnuPG
* Répudié mes anciennes clés GnuPG

* Informé tous mes contacts qu'ils ne devaient plus faire confiance à 
mes anciennes clés GnuPG (il m'a fallu un an et demi pour reconstruire 
mon réseau de confiance)
* Jeté la webcam qui nécessitait un pilote propriétaire, qui faisait que 
je devais compiler moi-même le noyau au lieu d'utiliser celui fourni par 
Debian, chose que je faisais rarement par flemme (les attaquants avaient 
utilisé une faille d'Apache qui n'avait existé que 3 jours sur Debian – 
pas de bol – puis ils avaient obtenu plus de privilèges en exploitant 
une faille dans le noyau, corrigée depuis bien longtemps par Debian)
* Acheté une webcam fonctionnant avec un pilote libre, supporté par 
Debian


Sébastien

--
Sébastien Dinot
Ne goutez pas au logiciel libre, vous ne pourriez plus vous en passer !
https://www.palabritudes.net/























					Répondre à