On 30/08/10 12:21, Olivier Pavilla wrote: > Je me suis fait pirater ma boite mail gmail ce week end. Je fait mes > investigations pour connaitre le pourquoi du comment. J'ai 3 machines linux > ubuntu et debian et une sous windows que j'utilise occasionnelement. > > J'ai fait un petit chkrootkit, qui m'a donné, horreur, ça: > checking 'bindshell'... INFECTED (PORTS: 15 24 6667 31337 > > Ensuite, j'ai fait un 'sudo netstat -tupl' qui m'a donné ça, mais comment > éradiquer bindshell? (snip) > tcp 0 0 *:31337 *:* LISTEN > 4450/portsentry (snip) > udp 0 0 *:31337 *:* > 4454/portsentry
Il faut faire ses devoirs ... quand portsentry est installé ... chkrootkit fait des faux positifs sur bindshell ... portsentry ouvre des ports pour détecter des portscans, ces ouvertures sont détectées par chkrootkit comme des bindshell ... de mémoire rkhunter ne fait pas cette confusion. http://www.chkrootkit.org/faq/#7 En bref, un excès de mesures de sécurité sans politique globale de sécurité est souvent contre-productive ... Bonne continuation Ju -- Meddle not in the affairs of dragons, for you are crunchy, and good with mustard. -- ubuntu-fr mailing list [email protected] https://lists.ubuntu.com/mailman/listinfo/ubuntu-fr
