Le 27/03/06, Free Mind<[EMAIL PROTECTED]> a écrit :
> J'ai vraiment la confirmation qu'un intrus est entré... J'ai postgresql 8.1
> d'installé via apt-get seulement depuis hier... et hop, j'ai un
> .bash_history avec la liste des commandes et des fichiers qu'il a déposé
> dans /var/tmp/.mr004
>
> Comment a-t-il fait pour entrer en console avec le user postgres? Je n'ai
> encore presque rien changé dans les config de postgres. Quel est le mot de
> passe par défaut à l'install et comment ce fait-il que c'est possible de
> loguer avec ce user??????
>
> J'ai bloqué pour permettre que mon usager d'entrer dans SSH en tous les cas.
Ce n'est pas suffisant. SI le gars est balèze, il a très bien pu
prévoir aussi le coup...
Il faut déconnecter *totalement* la machine du réseau.
Ensuite, il faut être très méticuleux pour chasser l'intrus. Si tu ne
te sens pas assez fort - c'est loin d'être trivial - le mieux est
encore de réinstaller entièrement la machine. Y compris les données
(AVANT l'attaque).
Toutefois, vues les traces laissées, l'attaquant n'a pas l'air d'être
très balèze... tout dépend de toi en fait.
Remarque importante : une machine de prod en unstable (puisque c'est
une Dapper) n'est PAS une bonne sauf si l'on maîtrise PARFAITEMENT son
sujet (et donc que l'on est capable d'assurer soi-même la sécurité de
sa machine, ce qui ne semble pas être ton cas).
Bref, chat échaudé...
PK
--
|\ _,,,---,,_ Patrice KARATCHENTZEFF
ZZZzz /,`.-'`' -. ;-;;,_ mailto:[EMAIL PROTECTED]
|,4- ) )-,_. ,\ ( `'-' http://p.karatchentzeff.free.fr
'---''(_/--' `-'\_)
--
ubuntu-fr mailing list
[email protected]
https://lists.ubuntu.com/mailman/listinfo/ubuntu-fr
