En général, quand une machine Linux/Unix a été "défoncé" c'est parce que l'attaquant a deviné un mot de passe. (soit root, soit l'usager 'gilbert') Il y a aussi la possibilité qu'un trou de sécurité existe parmis les logiciels qui écoute sur le réseau.
Je commencerais par rebooter l'ordi avec un Live-CD. Il existe quelques utilitaires Linux pour scanner les virus (ClamAV par example). Il y a aussi des services comme VirusTotal qui sont très pratique pour identifier les fichiers: http://www.virustotal.com/ Et très important: une fois qu'une machine est compromise, il est impossible de savoir à 100% si tout a été nettoyé. C'est beaucoup plus sur de ré-installer. Un simple backup de /home suffit... Mais avant de réinstaller, est-ce qu'il serrait possible d'avoir la liste des fichiers en question? Je suis curieux de savoir ce que l'attaquant tente d'installer... David Montminy Gilbert Dion wrote: > Il est apparu sur mon portable relié par câble à mon routeur, dans > home/gilbert, un répertoire nommé «newbots», qui contient un répertoire > du même nom, lequel contient un répertoire nommé «r» et plusieurs > fichiers, dont le programme bash, des scripts (autorun, start, > update...), des fichiers portant l'extension .seen contenant des logs et > d'autres choses aussi inquiétantes! > > Comment cela a-t-il pu se produire? Que dois-je faire pour sécuriser cet > appareil? Je n'ai rien de tel sur mon desktop principal. Mon coupe-feu > Firestarter doit-il être en fonction pour bloquer les connexions > indésirées ou si elles le sont par défaut? Je viens de démarrer > Firestarter et je constate qu'il bloque des connexions provenant de mon > ordi desktop. > > J'aime pas ça du tout, pas besoin de le dire. Mais c'est pas brillant de > la part de ces intrus (je vois des noms: Matsukata, Pallara, Schmitt, > Innis, Nardone, dans LinkEvents - Firestarter a beau rouler, ce fichier > se met à jour régulièrement!) de s'installer dans mon /home, ça se > constate rapidement, en même temps que je comprends qu'ils ne peuvent > pas se placer ailleurs, vu les permissions restreintes. Mais ils ont > trouvé mon home. C'est dans les logs.Et j'ai l'impression que cette > installation est en train de balayer des adresses. Que faire à part > éteindre la machine ou la débrancher? > > Gilbert > -- Ubuntu-quebec mailing list [email protected] https://lists.ubuntu.com/mailman/listinfo/ubuntu-quebec
