Merci pour vos réponses ! Mon frère se tape la reinstall ce soir , <mavie> vu que j'ai perdu un HD il y a deux semaines, y a pas grand chose à sauvegarder</mavie>.
Je vous tiens au courant pour la suite ... Thomas On Sun, May 22, 2005 at 02:36:04AM +0200, Jacques Caruso wrote: > Ainsi parla DAVID Thomas <[EMAIL PROTECTED]>, le 21 mai de l'an de > grâce 2005 : > > J'ai remarqué des connexions vers un serveur irc, qui provenait du demon > > ssh alors que personne faisait de l'irc. Je pense à du ssh forwarding. > > J'ai vu trois machines, récemment, qui avaient été utilisées pour servir > de /bouncer/ IRC. Je ne serais donc pas surpris que tu te sois fait > pirater. > > > Gzip segfaultait, je l'ai remplacé par un autre provenant d'une autre > > machine, et il fonctionne. > > Deux pistes : (1) un rootkit mal foutu avec des binaires inadaptés, ou > (2) un des rares virus Linux comme RST.A/B. > > > Vous en pensez quoi ? > > La préconisation de Fabien est très pertinente. Tu peux aussi essayer > rkhunter¹ si chkrootkit ne trouve pas. Pour ce qui est de la > désinfection, eh bien le mieux est de réinstaller (désolé), car tu ne > sais jamais quelles autres portes dérobées il pourrait y avoir. > > Maintenant, pour la suite : si tu exploites un serveur Web sur cette > machine, vérifie toutes les applications dynamiques (PHP, Perl ou > autres). Je serais prêt à parier que les plaisantins qui t'ont flingué > la machine histoire de faire les cons sur IRC impunément ont utilisé une > quelconque faille dans une de celles-ci pour obtenir un compte avant > d'en exploiter une locale pour devenir root. Fermer ce genre de portes > d'entrée réduit grandement les risques. Utiliser un kernel avec > PaX/grsecurity aide aussi. Bonne chance. > > ¹ http://www.rootkit.nl/projects/rootkit_hunter.html > > +++ > -- > Jacques Caruso | Administrateur système | Laissez-vous pousser > [EMAIL PROTECTED] | Webmaster, jeuxdroles.org | les dents. Ne marchez > (+33) 493 847 728 | Membre des Minotaures du Sud | pas sur les opossums. > PGP : 0x41F5C63D | Membre de Linux-Azur | Mangez des kiwis. > > Linux-Azur : http://www.linux-azur.org > Désinscriptions: http://www.linux-azur.org/liste.php3 > **** Pas de message au format HTML, SVP **** > Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 **** Pas de message au format HTML, SVP ****
