Le 2023-06-23 10:30, BERTRAND Joël a écrit :
Très bien. Et quelle est la marche à suivre. Je peux démarrer sur un
liveCD ou autre chose, mais je ne suis pas au fait de ce qu'il faut
faire après cela.
La question est vague, il faut monter les partitions du système, puis y
rechercher ce qu'il y a d'étrange dessus, voir quelles sont les unités
lancées par Systemd, voir s'il n'y a pas des répertoires ou des fichiers
cachés (y compris des répertoires ou fichiers dont le nom ne commence
pas par un point, mais que le système vérolé ne t'aurait pas montrés).
Mais ça, c'est juste pour comprendre ce qui a pu se passer, parce que,
en ce qui me concerne, la seule fois où cette mésaventure m'est arrivée,
je n'ai pas tenté de récupéré le système ou de réutiliser le disque.
J'ai :
* Utilisé un liveCD pour récupérer mes données (l'indispensable pour
minimiser le risque de récupérer des trucs vérolés au passage)
* Retiré le disque de mon PC
* Acheté un nouveau disque et réinstallé un système frais dessus (en
m'interdisant de copier des logiciels ou même des scripts provenant de
l'ancien système)
* Envoyé le disque à des amis spécialisés en sécurité pour qu'ils en
fassent l'analyse et m'expliquent comment les attaquants avaient réussi
leur coup (leur analyse a été très instructive et formatrice pour moi)
* Informé les admin. sys. de tous les serveurs auxquels j'avais accès de
la compromission de mon PC et potentiellement, de mes clés SSH et GnuPG,
leur demandant de bloquer immédiatement mon compte et de lui supprimer
ses éventuels privilèges (sudo)
* Généré de nouvelles clés SSH et GnuPG
* Répudié mes anciennes clés GnuPG
* Informé tous mes contacts qu'ils ne devaient plus faire confiance à
mes anciennes clés GnuPG (il m'a fallu un an et demi pour reconstruire
mon réseau de confiance)
* Jeté la webcam qui nécessitait un pilote propriétaire, qui faisait que
je devais compiler moi-même le noyau au lieu d'utiliser celui fourni par
Debian, chose que je faisais rarement par flemme (les attaquants avaient
utilisé une faille d'Apache qui n'avait existé que 3 jours sur Debian –
pas de bol – puis ils avaient obtenu plus de privilèges en exploitant
une faille dans le noyau, corrigée depuis bien longtemps par Debian)
* Acheté une webcam fonctionnant avec un pilote libre, supporté par
Debian
Sébastien
--
Sébastien Dinot
Ne goutez pas au logiciel libre, vous ne pourriez plus vous en passer !
https://www.palabritudes.net/