On Sun, Feb 17, 2008 at 03:14:29PM +0100, Luxpopuli Open source <[EMAIL PROTECTED]> wrote a message of 285 lines which said:
> Petite question: est-ce que lsof -i me permettrait de découvrir un service > ssh caché Pas si le pirate est passé root. Dans ce cas, RIEN n'est sûr, TOUT a pu être modifié (ssh, lsof, md5sum, le kernel, etc). > ou bien ne me reste t-il vraiment que d'envisager de réinstaller ma > machine ? C'est sans doute plus prudent sauf si vous pouvez être SÛR que le pirate n'est pas passé root. Et ce n'est pas évident. Regardez les fichiers modifiés récemment, cherchez dans les logs Apache, peut-être trouverez-vous une certitude sur le moyen d'attaque et peut-être sur le fait que le pirate soit passé root ou pas. C'est risqué, vous pouvez oublier quelque chose. À la dernière analyse que j'ai faite, le pirate avait laissé son .bash_history, qui montrait le lancement d'une vieille exploitation d'une faille du noyau Linux (patché depuis longtemps). Soit c'était le dernier des crétins sortant de l'E...A, soit il était au contraire très sophistiqué et avait fait cela pour que je le prenne pour un crétin et que je ne cherche pas plus loin :-) Le premier cas est de loin le plus fréquent. « Intraçable », c'est du cinoche. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
