Ainsi parla DAVID Thomas <[EMAIL PROTECTED]>, le 21 mai de l'an de grâce 2005 : > J'ai remarqué des connexions vers un serveur irc, qui provenait du demon > ssh alors que personne faisait de l'irc. Je pense à du ssh forwarding.
J'ai vu trois machines, récemment, qui avaient été utilisées pour servir de /bouncer/ IRC. Je ne serais donc pas surpris que tu te sois fait pirater. > Gzip segfaultait, je l'ai remplacé par un autre provenant d'une autre > machine, et il fonctionne. Deux pistes : (1) un rootkit mal foutu avec des binaires inadaptés, ou (2) un des rares virus Linux comme RST.A/B. > Vous en pensez quoi ? La préconisation de Fabien est très pertinente. Tu peux aussi essayer rkhunter¹ si chkrootkit ne trouve pas. Pour ce qui est de la désinfection, eh bien le mieux est de réinstaller (désolé), car tu ne sais jamais quelles autres portes dérobées il pourrait y avoir. Maintenant, pour la suite : si tu exploites un serveur Web sur cette machine, vérifie toutes les applications dynamiques (PHP, Perl ou autres). Je serais prêt à parier que les plaisantins qui t'ont flingué la machine histoire de faire les cons sur IRC impunément ont utilisé une quelconque faille dans une de celles-ci pour obtenir un compte avant d'en exploiter une locale pour devenir root. Fermer ce genre de portes d'entrée réduit grandement les risques. Utiliser un kernel avec PaX/grsecurity aide aussi. Bonne chance. ¹ http://www.rootkit.nl/projects/rootkit_hunter.html +++ -- Jacques Caruso | Administrateur système | Laissez-vous pousser [EMAIL PROTECTED] | Webmaster, jeuxdroles.org | les dents. Ne marchez (+33) 493 847 728 | Membre des Minotaures du Sud | pas sur les opossums. PGP : 0x41F5C63D | Membre de Linux-Azur | Mangez des kiwis. Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 **** Pas de message au format HTML, SVP ****
