On Wed, 7 Nov 2001 22:17:19 +0100 Laurent COOPER <[EMAIL PROTECTED]> wrote:
> Nessus me dit que j'ai Trin00 qui est install� sur ma machine et que cela > permet de faire des attaques DDoS en utilisant ma machine. V�rifies avec find_ddos que tu peux trouver sur www.nipc.gov, je pense que Nessus suppose qu'il y a trinoo parce que ta machine �coute sur un port particulier (dans les 27000, tu peux confirmer avec nmap lanc� depuis une autre machine). find_ddos n'utilise pas de librarie externe mais il peut se faire blouser par un kernel modifi� ou un module charg�. > Comment je peux faire pour virer ce truc? Nessus me dit de restaurer � partir > de backup, je n'en ai point... La solution la plus s�re est de tout r�installer, tu peux le faire assez rapidement en installant une version minimale sur une autre partition, mettre � jour les packages � partir de ton ancienne machine avec "dpkg --get/set-selections". Si tu a confiance en toi, tu peux aussi r�cup�rer des binaires sur une machine s�re (id�alement une install minimale de debian sur une autre partition), et remplacer les programmes de ta machine (sans booter sur cette partition, le plus simple c'est avec une distribution sur un floppy comme tom..., tu sais le truc impronon�able) qui sont utilis�s dans les rootkits (ls,ps,top,tcpdump,lsof,ifconfig,lsmod,cat ...), md5sums peut t'aider. Il faut que tu te renseignes sur ce que fait trinoo (il y a un doc trinoo.analysis par ailleurs int�ressant � lire, les sources ne circulent pas) pour savoir les modifs qu'il applique. Mais bon je te conseilles quand m�me de partir d'une nouvelle install et de recopier les donn�es, en faisant attention si tu recopies des fichiers de configuration, notamment les scripts lanc�s au d�marrage. Alain
