Bonjour à tous, > Tu es sûr qu'il s'agit bien de Netbus ?!!
Non. En fait, je ne suis sûr de rien. Tout ce que je sais, c'est que si je fais un "nmap" à partir d'une machine extérieure vers la machine en question, j'obtiens entre autres lignes : 12345 filtered tcp NetBus 12346 filtered tcp NetBus Les nmap, netstat... locaux ne repèrent rien. > À ma connaissance, il s'agit d'un cheval de troie pour Windows... Je > n'ai pas entendu parler d'un portage sous unix (mais c'est vrai que le > support d'un grand nombre d'architectures est l'un des gros points > forts de Debian ;-). D'après ce que j'ai pu lire, NetBus existe pour Windows et Linux. > Tu n'aurais pas plutôt un IDS (portsentry, snort ou autre) qui > tournerait sur ta machine ? Typiquement, ce type de programme ouvre > les ports utilisés par les chevaux de troie connus pour détecter les > tentatives de connection qui y sont faites. Je n'ai pas fakebo, ni portsentry, ni snort. Quels sont les autres programmes qui pourraient être reconnus comme NetBus ? > Un "netstat -taupe" (en tant que root) devrait te permettre de voir > quel est le programme qui utilise le port qui te semble suspect, et si > une connection est active ou non. "netstat -taupe" ne signale rien qui s'appelle NetBus et rien sur les ports 12345 et 12346. Comme je le disais au début, les outils locaux ne repèrent rien. > Même remarque que ci-dessus, et avant de réinstaller, essaie d'abord > un programme comme chkrootkit ou un antivirus pour désinfecter ta > machine (si besoin est). chkrootkit me signale seulement un fichier suspect "/usr/lib/tiger/bin/.bintype" et rien d'autre. Il existe des antivirus efficaces dans la woody ? > C'est beaucoup plus simple que ça. S'il s'agit bien de Netbus, c'est > tout simplement toi qui l'as installé. Moi. Ou quelqu'un qui a pu au moins temporairement être root. Cette machine n'a jamais été très sécurisée (connexion permanente 1 Gbps à Internet, pas de firewall et de nombreux services ouverts et utilisés : rlogin, rsh, telnet, samba, smtp, nfs, ssh, http...). > Il ne s'agit pas d'un ver, il est incapable de se répandre tout seul. Cette information est très importante pour moi. Merci ! > Je ne connais pas "Halte aux hackers Linux". Le dernier numéro de Misc > est consacré aux virus. Je te le conseille. > > Sinon, une recherche sur Netbus sur sans.org me renvoie : > http://www.sans.org/rr/malicious/netbus21.php > Et sur cert.org, à propos des chevaux de troie en général : > http://www.cert.org/advisories/CA-1999-02.html > > Les éditeurs d'antivirus donnent assez souvent des explications > détaillées sur les bestioles : > http://www.sophos.com/virusinfo/ Merci pour toutes ces sources. Je suis un peu submergé de travail maintenant mais j'irai les consulter dès que possible. > Je ne sais pas si ça répondra aux questions que tu te poses... Cela m'aide beaucoup. Je ne peux en effet rien faire d'efficace avant de comprendre ce qui se passe et je n'ai malheureusement pas le temps de me lancer dans une étude documentaire, d'où mes questions sur cette liste... Merci ! [CITATION ALÉATOIRE : La femme est en effet le potage de l'homme ; et quand un homme voit d'autres hommes parfois qui veulent dans sa soupe aller tremper leurs doigts, il en montre une colère extrême. Molière] -- Pierre Crescenzo mailto:[EMAIL PROTECTED] http://www.crescenzo.nom.fr/
