On Wed, Mar 15, 2006 at 03:28:32PM +0100, Simon Schmidig wrote: > Bonjour, > > J'ai découvert un probablement un ver sur mon serveur WEB (Fedora C 4, > ... > J'ai fait kill 5154 > J'ai redémarre > J'ai changé les mots de passe > > Est-ce que j'ai tous fait ? Certainement pas: Ce qu'un intru à pu faire une fois, il pourra le refaire très facilement, si tu ne supprimes pas la faille qui lui à permi d'entrer...
Dans tous les cas, si ta machine à été pénétrée, son intégrité est désormais nulle: L'intrus à probablement déposé une ou deux porte de secours pour le cas où: - Tu supprimerais ``Son'' répertoire admin - Tu corrigerais la faille qui lui a permis sa première entrée. - Tu supprimerais ``son'' daemon de backdoor perso Pour bien faire, il faudrait valider de manière sûre (ton os éteint, le contenu de ton disque analysé depuis un système sûr: un knoppix connu ou le montage physique de ton disque dur sur une machine saine) tous les binaires éxecutables, librairies et autres scripts pour s'assurer qu'il ne contiennent pas de code parasite. Le plus simple est encore de sauvegarder ton travail, des fichiers que tu connais et que tu peux valider toi-même sur un support extérieur et ré-installer la machine à zéro. -- Félix Hauri - <[EMAIL PROTECTED]> - http://www.f-hauri.ch _______________________________________________ gull mailing list [email protected] http://lists.alphanet.ch/mailman/listinfo/gull
