On 6/23/23 10:30, BERTRAND Joël wrote:
Sébastien Dinot a écrit :
Le 2023-06-23 10:08, BERTRAND Joël a écrit :
Ma question est donc assez simple ;-) Comment trouver par quoi sont
lancés ces deux processus ?
En pareille circonstance, il n'y a qu'une seule solution : analyse du
disque depuis un système live sur clé USB.
En effet, si un rootkit a été installé sur cette machine, ce qui semble
être le cas, tu ne peux l'observer qu'à travers les lunettes que te
donne le rootkit. :)
Très bien. Et quelle est la marche à suivre. Je peux démarrer sur un
liveCD ou autre chose, mais je ne suis pas au fait de ce qu'il faut
faire après cela.
D'abord et avant tout, isoler la machine du réseau Internet.
(une solution est de débrancher le cable Ethernet par exemple)
Ensuite, j'espère que /home est sur une partition externe (et que les
données des serveurs y sont aussi). Dans cette hypothèse, le copier sur
un disque monté en noeexec.
--
Basile Starynkevitch <bas...@starynkevitch.net>
(only mine opinions / les opinions sont miennes uniquement)
92340 Bourg-la-Reine, France
web page: starynkevitch.net/Basile/
