la pas de problème je remplace les commandes...mais pour :
<Possible t0rn v8 \(or variation\) rootkit installed
<Possible Ambient's rootkit \(ark\) installed
<Possible LPD worm installed
<Possible ShKit rootkit installed
<You have 1 process hidden for readdir command
<You have 4 process hidden for ps command
<SIGINVISIBLE Adore found
<Warning: Possible LKM Trojan installed
là comment on fait ? la réinstalle complète est - elle obligatoire ?
ou y a t 'il des scripts pour virer ses saletées ?
d'ailleur le 'possible' devant chaque signifie t'il qu'il y a une chance
pour que les
worms et autres gentilles bestiolles ne soit pas réèlement là ?
Que de questions sans réponses....:-((
a+
--
Fr@nck
Apprentit linuxien, informaticien, et tous les trucs en IENs. :-)
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Cedric Blancher
Dans sa prose, news.wanadoo.fr nous ecrivait :
<Checking `ifconfig'... INFECTED <Checking `inetdconf'... INFECTED <Checking `login'... INFECTED <Checking `pstree'... INFECTED la pas de problème je remplace les commandes...mais pour :
Oui, mais... Chkrootkit ne contrôle pas tous les fichiers susceptibles d'être modifiés, juste ceux qui le sont le plus fréquemment. Bref, Chkrootkit ne te fournit pas une liste exhaustive ce qui a été touché, mais des signaux d'alertes quant à la présence d'un rootkit.
<Possible t0rn v8 (or variation) rootkit installed <Possible Ambient's rootkit (ark) installed <Possible LPD worm installed <Possible ShKit rootkit installed <You have 1 process hidden for readdir command <You have 4 process hidden for ps command <SIGINVISIBLE Adore found <Warning: Possible LKM Trojan installed
Ah ouais. Comme on dit chez moi : "c'est la merde !". Rien que la présence d'Adore est un mauvais signe...
là comment on fait ? la réinstalle complète est - elle obligatoire ? ou y a t 'il des scripts pour virer ses saletées ?
Il faut réinstaller la machine, parce que tu ne sais pas jusqu'où le pirate a pu aller.
d'ailleur le 'possible' devant chaque signifie t'il qu'il y a une chance pour que les worms et autres gentilles bestiolles ne soit pas réèlement là ?
C'est effectivement possible que toutes ces joyeusetés ne soient pas là, mais je ne compterais pas trop là-dessus.
Toujours est-il que tu ne peux plus avoir confiance en ton système. Il faut donc le réinstaller complètement. Mais cela ne suffit pas pour autant. Il va te falloir faire une grosse opération de forensic pour savoir comment le mec est entré et a pu obtenir un shell root pour installer ses outils. Sinon, tu risques de te refaire pirater exactement comme la première fois.
Donc tu prends le disque dur, tu le garde au chaud pour le remonter sur un autre système et analyser tout ce qui y traine, en particulier les logs. Tu rassembles tous les logs qui traînent sur les équipements réseau (routeurs, switches, firewalls, etc.) et autres serveurs pour analyse. Tant que tu ne sauras pas ce qui s'est exactement passé, tu ne pourras pas remettre en ligne un système sûr.
Bref, gook luck, Jim !
-- BOFH excuse #125:
we just switched to Sprint.
Dans sa prose, news.wanadoo.fr nous ecrivait :
<Checking `ifconfig'... INFECTED
<Checking `inetdconf'... INFECTED
<Checking `login'... INFECTED
<Checking `pstree'... INFECTED
la pas de problème je remplace les commandes...mais pour :
Oui, mais...
Chkrootkit ne contrôle pas tous les fichiers susceptibles d'être
modifiés, juste ceux qui le sont le plus fréquemment. Bref, Chkrootkit
ne te fournit pas une liste exhaustive ce qui a été touché, mais des
signaux d'alertes quant à la présence d'un rootkit.
<Possible t0rn v8 (or variation) rootkit installed
<Possible Ambient's rootkit (ark) installed
<Possible LPD worm installed
<Possible ShKit rootkit installed
<You have 1 process hidden for readdir command
<You have 4 process hidden for ps command
<SIGINVISIBLE Adore found
<Warning: Possible LKM Trojan installed
Ah ouais. Comme on dit chez moi : "c'est la merde !".
Rien que la présence d'Adore est un mauvais signe...
là comment on fait ? la réinstalle complète est - elle obligatoire ?
ou y a t 'il des scripts pour virer ses saletées ?
Il faut réinstaller la machine, parce que tu ne sais pas jusqu'où le
pirate a pu aller.
d'ailleur le 'possible' devant chaque signifie t'il qu'il y a une chance
pour que les worms et autres gentilles bestiolles ne soit pas réèlement là ?
C'est effectivement possible que toutes ces joyeusetés ne soient pas là,
mais je ne compterais pas trop là-dessus.
Toujours est-il que tu ne peux plus avoir confiance en ton système. Il
faut donc le réinstaller complètement. Mais cela ne suffit pas pour
autant. Il va te falloir faire une grosse opération de forensic pour
savoir comment le mec est entré et a pu obtenir un shell root pour
installer ses outils. Sinon, tu risques de te refaire pirater exactement
comme la première fois.
Donc tu prends le disque dur, tu le garde au chaud pour le remonter sur un
autre système et analyser tout ce qui y traine, en particulier les logs.
Tu rassembles tous les logs qui traînent sur les équipements réseau
(routeurs, switches, firewalls, etc.) et autres serveurs pour analyse.
Tant que tu ne sauras pas ce qui s'est exactement passé, tu ne pourras
pas remettre en ligne un système sûr.
<Checking `ifconfig'... INFECTED <Checking `inetdconf'... INFECTED <Checking `login'... INFECTED <Checking `pstree'... INFECTED la pas de problème je remplace les commandes...mais pour :
Oui, mais... Chkrootkit ne contrôle pas tous les fichiers susceptibles d'être modifiés, juste ceux qui le sont le plus fréquemment. Bref, Chkrootkit ne te fournit pas une liste exhaustive ce qui a été touché, mais des signaux d'alertes quant à la présence d'un rootkit.
<Possible t0rn v8 (or variation) rootkit installed <Possible Ambient's rootkit (ark) installed <Possible LPD worm installed <Possible ShKit rootkit installed <You have 1 process hidden for readdir command <You have 4 process hidden for ps command <SIGINVISIBLE Adore found <Warning: Possible LKM Trojan installed
Ah ouais. Comme on dit chez moi : "c'est la merde !". Rien que la présence d'Adore est un mauvais signe...
là comment on fait ? la réinstalle complète est - elle obligatoire ? ou y a t 'il des scripts pour virer ses saletées ?
Il faut réinstaller la machine, parce que tu ne sais pas jusqu'où le pirate a pu aller.
d'ailleur le 'possible' devant chaque signifie t'il qu'il y a une chance pour que les worms et autres gentilles bestiolles ne soit pas réèlement là ?
C'est effectivement possible que toutes ces joyeusetés ne soient pas là, mais je ne compterais pas trop là-dessus.
Toujours est-il que tu ne peux plus avoir confiance en ton système. Il faut donc le réinstaller complètement. Mais cela ne suffit pas pour autant. Il va te falloir faire une grosse opération de forensic pour savoir comment le mec est entré et a pu obtenir un shell root pour installer ses outils. Sinon, tu risques de te refaire pirater exactement comme la première fois.
Donc tu prends le disque dur, tu le garde au chaud pour le remonter sur un autre système et analyser tout ce qui y traine, en particulier les logs. Tu rassembles tous les logs qui traînent sur les équipements réseau (routeurs, switches, firewalls, etc.) et autres serveurs pour analyse. Tant que tu ne sauras pas ce qui s'est exactement passé, tu ne pourras pas remettre en ligne un système sûr.
Bref, gook luck, Jim !
-- BOFH excuse #125:
we just switched to Sprint.
patpro
In article <bqaium$unp$, "news.wanadoo.fr" wrote:
Bon voila mon serveur est plein de saletés [chrootkit] me l'a dit oui mais après ?
<Checking `ifconfig'... INFECTED
là comment on fait ? la réinstalle complète est - elle obligatoire ? ou y a t 'il des scripts pour virer ses saletées ? d'ailleur le 'possible' devant chaque signifie t'il qu'il y a une chance pour que les worms et autres gentilles bestiolles ne soit pas réèlement là ? Que de questions sans réponses....:-((
en toute logique la procédure est la suivante :
- éteindre la machine - démonter le disque et le ranger apres avoir écrit la date dessus - installer un nouveau disque et un systeme propre - restaurer les données a partir de backup dont tu es sur qu'elles ne sont pas compromise.
j'imagine que t'as pas de disques a enfermer dans un placard, donc dans ces cas là : formatage, reinstall.
patpro
-- je cherche un poste d'admin UNIX/Mac http://patpro.net/cv.php
In article <bqaium$unp$1@news-reader1.wanadoo.fr>,
"news.wanadoo.fr" <cybercintre@wanadoo.fr> wrote:
Bon voila mon serveur est plein de saletés [chrootkit] me l'a dit oui mais
après ?
<Checking `ifconfig'... INFECTED
là comment on fait ? la réinstalle complète est - elle obligatoire ?
ou y a t 'il des scripts pour virer ses saletées ?
d'ailleur le 'possible' devant chaque signifie t'il qu'il y a une chance
pour que les
worms et autres gentilles bestiolles ne soit pas réèlement là ?
Que de questions sans réponses....:-((
en toute logique la procédure est la suivante :
- éteindre la machine
- démonter le disque et le ranger apres avoir écrit la date dessus
- installer un nouveau disque et un systeme propre
- restaurer les données a partir de backup dont tu es sur qu'elles ne
sont pas compromise.
j'imagine que t'as pas de disques a enfermer dans un placard, donc dans
ces cas là : formatage, reinstall.
patpro
--
je cherche un poste d'admin UNIX/Mac
http://patpro.net/cv.php
Bon voila mon serveur est plein de saletés [chrootkit] me l'a dit oui mais après ?
<Checking `ifconfig'... INFECTED
là comment on fait ? la réinstalle complète est - elle obligatoire ? ou y a t 'il des scripts pour virer ses saletées ? d'ailleur le 'possible' devant chaque signifie t'il qu'il y a une chance pour que les worms et autres gentilles bestiolles ne soit pas réèlement là ? Que de questions sans réponses....:-((
en toute logique la procédure est la suivante :
- éteindre la machine - démonter le disque et le ranger apres avoir écrit la date dessus - installer un nouveau disque et un systeme propre - restaurer les données a partir de backup dont tu es sur qu'elles ne sont pas compromise.
j'imagine que t'as pas de disques a enfermer dans un placard, donc dans ces cas là : formatage, reinstall.
patpro
-- je cherche un poste d'admin UNIX/Mac http://patpro.net/cv.php
Xavier Roche
news.wanadoo.fr wrote:
là comment on fait ? la réinstalle complète est - elle obligatoire ?
Oui. En cas d'intrusion, la réinstallation est toujours un passage obligé.
ou y a t 'il des scripts pour virer ses saletées ?
Non. Si le kernel a été patché, nous ne verrez potentiellement même pas le plus gros du problème.
Donc shutdown, boot sur CD, réinstallation complète, restauration des backups (s'il y en a) Option: démontage des disques pour post-analyse
.. et mise à niveau de la machine et des services, pour éviter que cela ne se reproduise ..
news.wanadoo.fr wrote:
là comment on fait ? la réinstalle complète est - elle obligatoire ?
Oui. En cas d'intrusion, la réinstallation est toujours un passage
obligé.
ou y a t 'il des scripts pour virer ses saletées ?
Non. Si le kernel a été patché, nous ne verrez potentiellement même
pas le plus gros du problème.
Donc shutdown, boot sur CD, réinstallation complète, restauration des
backups (s'il y en a)
Option: démontage des disques pour post-analyse
.. et mise à niveau de la machine et des services, pour éviter que cela
ne se reproduise ..
la pas de problème je remplace les commandes...mais pour :
<Possible t0rn v8 (or variation) rootkit installed <Possible Ambient's rootkit (ark) installed <Possible LPD worm installed <Possible ShKit rootkit installed <You have 1 process hidden for readdir command <You have 4 process hidden for ps command <SIGINVISIBLE Adore found <Warning: Possible LKM Trojan installed
là comment on fait ? la réinstalle complète est - elle obligatoire ? ou y a t 'il des scripts pour virer ses saletées ? d'ailleur le 'possible' devant chaque signifie t'il qu'il y a une chance pour que les worms et autres gentilles bestiolles ne soit pas réèlement là ?
Le rootkit paraît assez probable (les « 4 process hidden for ps » ne sont pas significatifs, le reste est plus inquiétant). Il doit y avoir des fichiers cachés supplémentaires planqués dans /tmp et autres /var/je_sais_plus_quoi. Démarrer avec un CD de secours (rescue) pour aller voir.
Le plus prudent est de sauvegarder les données et de réinstaller tout le système :
- avec la dernière version de la distribution, en faisant les mises à jour de sécurité et en désactivant les services inutiles ;
- en essayant de voir comment le rootkit a été installé (sniffer qui a récupéré le mot de passe root, faille dans un service), mais il est probable que les logs auront été trafiqués. Donner plutôt ici des renseignement supplémentaires sur l'OS (distribution et noyau) et les versions de logiciels utilisés ;
- en gardant si possible le disque avec le système compromis pour analyse ultérieure ;
- en testant avec nessus http://www.nessus.org/ avant remise en service ;
- en utilisant un contrôleur d'intégrité comme aide http://www.cs.tut.fi/~rammer/aide.html
Si c'est un serveur personnel, il n'y aura pas à prévenir les chefs et les utilisateurs, c'est toujours ça de gagné.
JFB
NB Certains antivirus détectent les rootkits Unix. Voir par exemple f-prot pour linux : ftp://ftp.f-prot.com/pub/linux/
-- All syllogisms have three parts, therefore this is not a syllogism.
scripsit news.wanadoo.fr :
Bonjour a tous !!
Bonsoir,
Bon voila mon serveur est plein de saletés [chrootkit] me l'a dit oui mais
après ?
la pas de problème je remplace les commandes...mais pour :
<Possible t0rn v8 (or variation) rootkit installed
<Possible Ambient's rootkit (ark) installed
<Possible LPD worm installed
<Possible ShKit rootkit installed
<You have 1 process hidden for readdir command
<You have 4 process hidden for ps command
<SIGINVISIBLE Adore found
<Warning: Possible LKM Trojan installed
là comment on fait ? la réinstalle complète est - elle obligatoire ?
ou y a t 'il des scripts pour virer ses saletées ?
d'ailleur le 'possible' devant chaque signifie t'il qu'il y a une chance
pour que les
worms et autres gentilles bestiolles ne soit pas réèlement là ?
Le rootkit paraît assez probable (les « 4 process hidden for ps »
ne sont pas significatifs, le reste est plus inquiétant).
Il doit y avoir des fichiers cachés supplémentaires planqués
dans /tmp et autres /var/je_sais_plus_quoi.
Démarrer avec un CD de secours (rescue) pour aller voir.
Le plus prudent est de sauvegarder les données et de réinstaller tout
le système :
- avec la dernière version de la distribution, en faisant les mises
à jour de sécurité et en désactivant les services inutiles ;
- en essayant de voir comment le rootkit a été installé (sniffer qui a
récupéré le mot de passe root, faille dans un service), mais il est
probable que les logs auront été trafiqués. Donner plutôt ici des
renseignement supplémentaires sur l'OS (distribution et noyau) et les
versions de logiciels utilisés ;
- en gardant si possible le disque avec le système compromis pour
analyse ultérieure ;
- en testant avec nessus http://www.nessus.org/ avant remise en service ;
- en utilisant un contrôleur d'intégrité comme aide
http://www.cs.tut.fi/~rammer/aide.html
Si c'est un serveur personnel, il n'y aura pas à prévenir les chefs
et les utilisateurs, c'est toujours ça de gagné.
JFB
NB Certains antivirus détectent les rootkits Unix. Voir par exemple
f-prot pour linux : ftp://ftp.f-prot.com/pub/linux/
--
All syllogisms have three parts, therefore this is not a syllogism.
la pas de problème je remplace les commandes...mais pour :
<Possible t0rn v8 (or variation) rootkit installed <Possible Ambient's rootkit (ark) installed <Possible LPD worm installed <Possible ShKit rootkit installed <You have 1 process hidden for readdir command <You have 4 process hidden for ps command <SIGINVISIBLE Adore found <Warning: Possible LKM Trojan installed
là comment on fait ? la réinstalle complète est - elle obligatoire ? ou y a t 'il des scripts pour virer ses saletées ? d'ailleur le 'possible' devant chaque signifie t'il qu'il y a une chance pour que les worms et autres gentilles bestiolles ne soit pas réèlement là ?
Le rootkit paraît assez probable (les « 4 process hidden for ps » ne sont pas significatifs, le reste est plus inquiétant). Il doit y avoir des fichiers cachés supplémentaires planqués dans /tmp et autres /var/je_sais_plus_quoi. Démarrer avec un CD de secours (rescue) pour aller voir.
Le plus prudent est de sauvegarder les données et de réinstaller tout le système :
- avec la dernière version de la distribution, en faisant les mises à jour de sécurité et en désactivant les services inutiles ;
- en essayant de voir comment le rootkit a été installé (sniffer qui a récupéré le mot de passe root, faille dans un service), mais il est probable que les logs auront été trafiqués. Donner plutôt ici des renseignement supplémentaires sur l'OS (distribution et noyau) et les versions de logiciels utilisés ;
- en gardant si possible le disque avec le système compromis pour analyse ultérieure ;
- en testant avec nessus http://www.nessus.org/ avant remise en service ;
- en utilisant un contrôleur d'intégrité comme aide http://www.cs.tut.fi/~rammer/aide.html
Si c'est un serveur personnel, il n'y aura pas à prévenir les chefs et les utilisateurs, c'est toujours ça de gagné.
JFB
NB Certains antivirus détectent les rootkits Unix. Voir par exemple f-prot pour linux : ftp://ftp.f-prot.com/pub/linux/
-- All syllogisms have three parts, therefore this is not a syllogism.
