J'ai manifestement un probl=E8me d'intrusion et quelqu'un lance, =E0 partir=
de
ma machine, des attaques SSH. Au moins deux personnes (une aux USA l'autre
en espagne) m'ont fait parvenir des logs prouvant que des tentatives de
connection SSH sont r=E9alis=E9es depuis ma machine.
Pour ne pas avoir de probl=E8mes avec mon FAI qui m'a =E9galement envoy=E9 =
un mail
me mena=E7ant de "faire le n=E9cessaire" (!) si je ne r=E9solvais pas le pr=
obl=E8me,
j'ai commenc=E9 par supprimer tous les packages li=E9s =E0 SSH
Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un
premier, temps r=E9soudre d=E9finitivement le probl=E8me. Mais est-ce si s=
=FBr ?!
Avant de comprendre comment remttre en fonctionnement un client et un
serveur SSH sur ma machine, je voudrais r=E9soudre ce premier point:
j'ai lanc=E9 un scan de tous les ports de ma machine avec nmapfe. La comman=
de
=E9quivalente lanc=E9e est:
Discovered open port 28011/tcp on 82.67.66.131
28011/tcp open unknown
1 service unrecognized despite returning data. If you know the
service/version, please submit the following fingerprint at
http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
SF-Port28011-TCP:V=3D4.53%I=3D7%D=3D2/17%Time=3D47B830B8%P=3Di686-pc-linux-=
gnu%r(RPC
SF:Check,2,"\x05\0")%r(DNSVersionBindReq,2,"\x05\0")%r(DNSStatusRequest,2,
SF:"\x05\0")%r(SSLSessionReq,2,"\x05\0")%r(SMBProgNeg,2,"\x05\0")%r(X11Pro
SF:be,2,"\x05\0")%r(LDAPBindReq,2,"\x05\0")%r(TerminalServer,2,"\x05\0")%r
SF:(NotesRPC,2,"\x05\0")%r(WMSRequest,2,"\x05\0");
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.17 - 2.6.21
OS Fingerprint:
OS:SCAN(V=3D4.53%D=3D2/17%OT=3D25%CT=3D1%CU=3D43223%PV=3DN%DS=3D0%G=3DY%TM=
=3D47B830D8%P=3Di686-
OS:pc-linux-gnu)SEQ(SP=3DC2%GCD=3D1%ISR=3DC6%TI=3DZ%II=3DI%TS=3DA)OPS(O1=3D=
M400CST11NW7%O
OS:2=3DM400CST11NW7%O3=3DM400CNNT11NW7%O4=3DM400CST11NW7%O5=3DM400CST11NW7%=
O6=3DM400C
OS:ST11)WIN(W1=3D8000%W2=3D8000%W3=3D8000%W4=3D8000%W5=3D8000%W6=3D8000)ECN=
(R=3DY%DF=3DY%T=3D
OS:40%W=3D8018%O=3DM400CNNSNW7%CC=3DN%Q=3D)T1(R=3DY%DF=3DY%T=3D40%S=3DO%A=
=3DS+%F=3DAS%RD=3D0%Q=3D)T
OS:2(R=3DN)T3(R=3DY%DF=3DY%T=3D40%W=3D8000%S=3DO%A=3DS+%F=3DAS%O=3DM400CST1=
1NW7%RD=3D0%Q=3D)T4(R=3D
OS:Y%DF=3DY%T=3D40%W=3D0%S=3DA%A=3DZ%F=3DR%O=3D%RD=3D0%Q=3D)T5(R=3DY%DF=3DY=
%T=3D40%W=3D0%S=3DZ%A=3DS+%F=3DA
OS:R%O=3D%RD=3D0%Q=3D)T6(R=3DY%DF=3DY%T=3D40%W=3D0%S=3DA%A=3DZ%F=3DR%O=3D%R=
D=3D0%Q=3D)T7(R=3DY%DF=3DY%T=3D4
OS:0%W=3D0%S=3DZ%A=3DS+%F=3DAR%O=3D%RD=3D0%Q=3D)U1(R=3DY%DF=3DN%T=3D40%TOS=
=3DC0%IPL=3D164%UN=3D0%RIPL
OS:=3DG%RID=3DG%RIPCK=3DG%RUCK=3DG%RUL=3DG%RUD=3DG)IE(R=3DY%DFI=3DN%T=3D40%=
TOSI=3DS%CD=3DS%SI=3DS%D
OS:LI=3DS)
Ce port 28011 n'est pas mentionn=E9 dans /etc/services (sinon il ne serait =
pas
r=E9f=E9renc=E9 comme "unknown").
Comment ou que dois-je faire pour avoir des informations sur ce ports ? Que=
l
logiciel l'ouvre, depuis quand, pour faire quoi, comment le fermer, etc... =
?
Un autre port est ouvert: le 7741 dont voici la signalisation par nmap:
7741/tcp open tcpwrapped
Qu'est-ce donc que ce tcpwrapped ? A quel service est-il li=E9 et puis-je l=
e
stopper ?
Je vous remercie pour votre aide
Pascal
--=20
http://www.luxpopuli.fr - documentation de eZ Publish traduite en fran=E7ai=
s
<p>Bonjour,</p><p>J'ai manifestement un probl=E8me d'intrusion et q=
uelqu'un lance, =E0 partir de ma machine, des attaques SSH. Au moins de=
ux personnes (une aux USA l'autre en espagne) m'ont fait parvenir d=
es logs prouvant que des tentatives de connection SSH sont r=E9alis=E9es de=
puis ma machine.</p>
<p>Pour ne pas avoir de probl=E8mes avec mon FAI qui m'a =E9galement en=
voy=E9 un mail me mena=E7ant de "faire le n=E9cessaire" (!) si je=
ne r=E9solvais pas le probl=E8me, j'ai commenc=E9 par supprimer tous l=
es packages li=E9s =E0 SSH</p>
<p>Donc plus de client ni de serveur sur ma machine. Ca devrait, dans un pr=
emier, temps r=E9soudre d=E9finitivement le probl=E8me. Mais est-ce si s<sp=
an>=FBr ?!</span></p><p>Avant de comprendre comment remttre en fonctionneme=
nt un client et un serveur SSH sur ma machine, je voudrais r=E9soudre ce pr=
emier point:</p>
<p>j'ai lanc=E9 un scan de tous les ports de ma machine avec nmapfe. La=
commande =E9quivalente lanc=E9e est:</p><p>nmap -sS -sR -sV -O -p- -PI -PT=
-vv <a href=3D"http://82.67.66.131">82.67.66.131</a></p><p>Dans la r=E9pon=
se renvoy=E9e je peux lire ceci:</p>
<p>=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D</p><p>Di=
scovered open port 28011/tcp on <a href=3D"http://82.67.66.131">82.67.66.13=
1</a><br>28011/tcp open unknown<br>1 service unrecognized despite returnin=
g data. If you know the service/version, please submit the following finger=
print at <a href=3D"http://www.insecure.org/cgi-bin/servicefp-submit.cgi">h=
ttp://www.insecure.org/cgi-bin/servicefp-submit.cgi</a> :<br>
SF-Port28011-TCP:V=3D4.53%I=3D7%D=3D2/17%Time=3D47B830B8%P=3Di686-pc-linux-=
gnu%r(RPC<br>SF:Check,2,"\x05\0")%r(DNSVersionBindReq,2,"\x0=
5\0")%r(DNSStatusRequest,2,<br>SF:"\x05\0")%r(SSLSessionReq,=
2,"\x05\0")%r(SMBProgNeg,2,"\x05\0")%r(X11Pro<br>
SF:be,2,"\x05\0")%r(LDAPBindReq,2,"\x05\0")%r(TerminalS=
erver,2,"\x05\0")%r<br>SF:(NotesRPC,2,"\x05\0")%r(WMSRe=
quest,2,"\x05\0");<br>Device type: general purpose<br>Running: Li=
nux 2.6.X<br>
OS details: Linux 2.6.17 - 2.6.21<br>OS Fingerprint:<br>OS:SCAN(V=3D4.53%D=
=3D2/17%OT=3D25%CT=3D1%CU=3D43223%PV=3DN%DS=3D0%G=3DY%TM=3D47B830D8%P=3Di68=
6-<br>OS:pc-linux-gnu)SEQ(SP=3DC2%GCD=3D1%ISR=3DC6%TI=3DZ%II=3DI%TS=3DA)OPS=
(O1=3DM400CST11NW7%O<br>OS:2=3DM400CST11NW7%O3=3DM400CNNT11NW7%O4=3DM400CST=
11NW7%O5=3DM400CST11NW7%O6=3DM400C<br>
OS:ST11)WIN(W1=3D8000%W2=3D8000%W3=3D8000%W4=3D8000%W5=3D8000%W6=3D8000)ECN=
(R=3DY%DF=3DY%T=3D<br>OS:40%W=3D8018%O=3DM400CNNSNW7%CC=3DN%Q=3D)T1(R=3DY%D=
F=3DY%T=3D40%S=3DO%A=3DS+%F=3DAS%RD=3D0%Q=3D)T<br>OS:2(R=3DN)T3(R=3DY%DF=3D=
Y%T=3D40%W=3D8000%S=3DO%A=3DS+%F=3DAS%O=3DM400CST11NW7%RD=3D0%Q=3D)T4(R=3D<=
br>
OS:Y%DF=3DY%T=3D40%W=3D0%S=3DA%A=3DZ%F=3DR%O=3D%RD=3D0%Q=3D)T5(R=3DY%DF=3DY=
%T=3D40%W=3D0%S=3DZ%A=3DS+%F=3DA<br>OS:R%O=3D%RD=3D0%Q=3D)T6(R=3DY%DF=3DY%T=
=3D40%W=3D0%S=3DA%A=3DZ%F=3DR%O=3D%RD=3D0%Q=3D)T7(R=3DY%DF=3DY%T=3D4<br>OS:=
0%W=3D0%S=3DZ%A=3DS+%F=3DAR%O=3D%RD=3D0%Q=3D)U1(R=3DY%DF=3DN%T=3D40%TOS=3DC=
0%IPL=3D164%UN=3D0%RIPL<br>
OS:=3DG%RID=3DG%RIPCK=3DG%RUCK=3DG%RUL=3DG%RUD=3DG)IE(R=3DY%DFI=3DN%T=3D40%=
TOSI=3DS%CD=3DS%SI=3DS%D<br>OS:LI=3DS)</p><p>=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=
=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D</p><p>Ce port 28011 n'est pas mention=
n=E9 dans /etc/services (sinon il ne serait pas r=E9f=E9renc=E9 comme "=
;unknown").</p>
<p>Comment ou que dois-je faire pour avoir des informations sur ce ports ? =
Quel logiciel l'ouvre, depuis quand, pour faire quoi, comment le fermer=
, etc... ?</p><p>Un autre port est ouvert: le 7741 dont voici la signalisat=
ion par nmap:</p>
<p>7741/tcp open tcpwrapped</p><p>Qu'est-ce donc que ce tcpwrapped ? =
A quel service est-il li=E9 et puis-je le stopper ?</p><p></p><p>Je vous re=
mercie pour votre aide</p><p>Pascal</p><p><br><br></p><p></p><br>-- <br><a =
href=3D"http://www.luxpopuli.fr">http://www.luxpopuli.fr</a> - documentatio=
n de eZ Publish traduite en fran=E7ais
------=_Part_4903_8851867.1203254128266--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le dimanche 17 février 2008, Luxpopuli Open source a écrit...
Pour l'instant, cette commande ne me renvoie que des services connus. J'en conclus que actuellement ma machine n'est pas utilis e par l'intru. Ai-je raison de penser cela ?
Une possibilité serait d'utiliser quelque chose comme tcpdump, ou wireshark pour tracer les connexions. Mais à partir de binaires non corrompus. Ainsi tu verrais ce qui sort de chez toi, et vers où.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Bonjour,
Le dimanche 17 février 2008, Luxpopuli Open source a écrit...
Pour l'instant, cette commande ne me renvoie que des services connus. J'en
conclus que actuellement ma machine n'est pas utilis e par l'intru. Ai-je
raison de penser cela ?
Une possibilité serait d'utiliser quelque chose comme tcpdump, ou
wireshark pour tracer les connexions. Mais à partir de binaires non
corrompus. Ainsi tu verrais ce qui sort de chez toi, et vers où.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le dimanche 17 février 2008, Luxpopuli Open source a écrit...
Pour l'instant, cette commande ne me renvoie que des services connus. J'en conclus que actuellement ma machine n'est pas utilis e par l'intru. Ai-je raison de penser cela ?
Une possibilité serait d'utiliser quelque chose comme tcpdump, ou wireshark pour tracer les connexions. Mais à partir de binaires non corrompus. Ainsi tu verrais ce qui sort de chez toi, et vers où.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Stephane Bortzmeyer
On Sun, Feb 17, 2008 at 03:25:38PM +0100, Luxpopuli Open source wrote a message of 354 lines which said:
Me confirmez-vous que la personne qui utilise ma machine pour lancer ses attaques SSH ouvre forcément un port ?
Non, j'infirme. Il attaque des *serveurs* SSH et ta machine est *cliente* SSH lors des attaques. Il y a bien un port ouvert mai il n'écoute pas et son numéro est quelconque et différent à chaque client lancé. nmap et lsof ne seront donc d'aucune utilité pour ce cas là.
Dans les logs que l'on m'a fait parvenir il s'agissait à chaque fois du port 22
Port de *destination* sur le *serveur* SSH. Cela ne signifie rien pour le port *source* sur ta machine, le *client* SSH.
Pour l'instant, cette commande ne me renvoie que des services connus. J'en conclus que actuellement ma machine n'est pas utilisée par l'intru. Ai-je raison de penser cela ?
Complètement tort.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On Sun, Feb 17, 2008 at 03:25:38PM +0100,
Luxpopuli Open source <luxpopuli07@gmail.com> wrote
a message of 354 lines which said:
Me confirmez-vous que la personne qui utilise ma machine pour lancer
ses attaques SSH ouvre forcément un port ?
Non, j'infirme. Il attaque des *serveurs* SSH et ta machine est
*cliente* SSH lors des attaques. Il y a bien un port ouvert mai il
n'écoute pas et son numéro est quelconque et différent à chaque client
lancé. nmap et lsof ne seront donc d'aucune utilité pour ce cas là.
Dans les logs que l'on m'a fait parvenir il s'agissait à chaque fois
du port 22
Port de *destination* sur le *serveur* SSH. Cela ne signifie rien pour
le port *source* sur ta machine, le *client* SSH.
Pour l'instant, cette commande ne me renvoie que des services
connus. J'en conclus que actuellement ma machine n'est pas utilisée
par l'intru. Ai-je raison de penser cela ?
Complètement tort.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On Sun, Feb 17, 2008 at 03:25:38PM +0100, Luxpopuli Open source wrote a message of 354 lines which said:
Me confirmez-vous que la personne qui utilise ma machine pour lancer ses attaques SSH ouvre forcément un port ?
Non, j'infirme. Il attaque des *serveurs* SSH et ta machine est *cliente* SSH lors des attaques. Il y a bien un port ouvert mai il n'écoute pas et son numéro est quelconque et différent à chaque client lancé. nmap et lsof ne seront donc d'aucune utilité pour ce cas là.
Dans les logs que l'on m'a fait parvenir il s'agissait à chaque fois du port 22
Port de *destination* sur le *serveur* SSH. Cela ne signifie rien pour le port *source* sur ta machine, le *client* SSH.
Pour l'instant, cette commande ne me renvoie que des services connus. J'en conclus que actuellement ma machine n'est pas utilisée par l'intru. Ai-je raison de penser cela ?
Complètement tort.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Stephane Bortzmeyer
On Sun, Feb 17, 2008 at 02:15:28PM +0100, Luxpopuli Open source wrote a message of 181 lines which said:
nmap -sS -sR -sV -O -p- -PI -PT -vv 82.67.66.131
Dans la réponse renvoyée je peux lire ceci:
Oui, enfin, les pirates ne sont pas si sophistiqués que cela. 95 % du temps, ils passent par un script PHP bogué (beau pléonasme, ça) et donc le seul port sensible est 80, justement le seul qu'on ne puisse pas bloquer avec iptables.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On Sun, Feb 17, 2008 at 02:15:28PM +0100,
Luxpopuli Open source <luxpopuli07@gmail.com> wrote
a message of 181 lines which said:
nmap -sS -sR -sV -O -p- -PI -PT -vv 82.67.66.131
Dans la réponse renvoyée je peux lire ceci:
Oui, enfin, les pirates ne sont pas si sophistiqués que cela. 95 % du
temps, ils passent par un script PHP bogué (beau pléonasme, ça) et
donc le seul port sensible est 80, justement le seul qu'on ne puisse
pas bloquer avec iptables.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On Sun, Feb 17, 2008 at 02:15:28PM +0100, Luxpopuli Open source wrote a message of 181 lines which said:
nmap -sS -sR -sV -O -p- -PI -PT -vv 82.67.66.131
Dans la réponse renvoyée je peux lire ceci:
Oui, enfin, les pirates ne sont pas si sophistiqués que cela. 95 % du temps, ils passent par un script PHP bogué (beau pléonasme, ça) et donc le seul port sensible est 80, justement le seul qu'on ne puisse pas bloquer avec iptables.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Jean-Yves F. Barbier
François Boisson a écrit : ........
Une bonne méthode est de faire ces commandes pour voir les fichiers corrompus:
Tu auras la liste des fichiers différent de ceux des paquets installés.
pas forcément, parce que si le type connaît son job, il aura aussi modifié le listing des md5 d'origine...
dans un cas comme ça, je dirais comme Nicolas: faire une image pour analyse future (c'est pas du nougat, mais il-y-a des spécialistes de cela) et tout réinstaller.
JY --
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
François Boisson a écrit :
........
Une bonne méthode est de faire ces commandes pour voir les fichiers corrompus:
Tu auras la liste des fichiers différent de ceux des paquets installés.
pas forcément, parce que si le type connaît son job, il aura aussi
modifié le listing des md5 d'origine...
dans un cas comme ça, je dirais comme Nicolas: faire une image pour analyse
future (c'est pas du nougat, mais il-y-a des spécialistes de cela) et tout
réinstaller.
JY
--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Tu auras la liste des fichiers différent de ceux des paquets installés.
pas forcément, parce que si le type connaît son job, il aura aussi modifié le listing des md5 d'origine...
dans un cas comme ça, je dirais comme Nicolas: faire une image pour analyse future (c'est pas du nougat, mais il-y-a des spécialistes de cela) et tout réinstaller.
JY --
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Stephane Bortzmeyer
On Sun, Feb 17, 2008 at 03:14:29PM +0100, Luxpopuli Open source wrote a message of 285 lines which said:
Petite question: est-ce que lsof -i me permettrait de découvrir un service ssh caché
Pas si le pirate est passé root. Dans ce cas, RIEN n'est sûr, TOUT a pu être modifié (ssh, lsof, md5sum, le kernel, etc).
ou bien ne me reste t-il vraiment que d'envisager de réinstaller ma machine ?
C'est sans doute plus prudent sauf si vous pouvez être SÛR que le pirate n'est pas passé root. Et ce n'est pas évident. Regardez les fichiers modifiés récemment, cherchez dans les logs Apache, peut-être trouverez-vous une certitude sur le moyen d'attaque et peut-être sur le fait que le pirate soit passé root ou pas. C'est risqué, vous pouvez oublier quelque chose.
À la dernière analyse que j'ai faite, le pirate avait laissé son .bash_history, qui montrait le lancement d'une vieille exploitation d'une faille du noyau Linux (patché depuis longtemps). Soit c'était le dernier des crétins sortant de l'E...A, soit il était au contraire très sophistiqué et avait fait cela pour que je le prenne pour un crétin et que je ne cherche pas plus loin :-) Le premier cas est de loin le plus fréquent. « Intraçable », c'est du cinoche.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On Sun, Feb 17, 2008 at 03:14:29PM +0100,
Luxpopuli Open source <luxpopuli07@gmail.com> wrote
a message of 285 lines which said:
Petite question: est-ce que lsof -i me permettrait de découvrir un service
ssh caché
Pas si le pirate est passé root. Dans ce cas, RIEN n'est sûr, TOUT a
pu être modifié (ssh, lsof, md5sum, le kernel, etc).
ou bien ne me reste t-il vraiment que d'envisager de réinstaller ma
machine ?
C'est sans doute plus prudent sauf si vous pouvez être SÛR que le
pirate n'est pas passé root. Et ce n'est pas évident. Regardez les
fichiers modifiés récemment, cherchez dans les logs Apache, peut-être
trouverez-vous une certitude sur le moyen d'attaque et peut-être sur
le fait que le pirate soit passé root ou pas. C'est risqué, vous
pouvez oublier quelque chose.
À la dernière analyse que j'ai faite, le pirate avait laissé son
.bash_history, qui montrait le lancement d'une vieille exploitation
d'une faille du noyau Linux (patché depuis longtemps). Soit c'était le
dernier des crétins sortant de l'E...A, soit il était au contraire
très sophistiqué et avait fait cela pour que je le prenne pour un
crétin et que je ne cherche pas plus loin :-) Le premier cas est de
loin le plus fréquent. « Intraçable », c'est du cinoche.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On Sun, Feb 17, 2008 at 03:14:29PM +0100, Luxpopuli Open source wrote a message of 285 lines which said:
Petite question: est-ce que lsof -i me permettrait de découvrir un service ssh caché
Pas si le pirate est passé root. Dans ce cas, RIEN n'est sûr, TOUT a pu être modifié (ssh, lsof, md5sum, le kernel, etc).
ou bien ne me reste t-il vraiment que d'envisager de réinstaller ma machine ?
C'est sans doute plus prudent sauf si vous pouvez être SÛR que le pirate n'est pas passé root. Et ce n'est pas évident. Regardez les fichiers modifiés récemment, cherchez dans les logs Apache, peut-être trouverez-vous une certitude sur le moyen d'attaque et peut-être sur le fait que le pirate soit passé root ou pas. C'est risqué, vous pouvez oublier quelque chose.
À la dernière analyse que j'ai faite, le pirate avait laissé son .bash_history, qui montrait le lancement d'une vieille exploitation d'une faille du noyau Linux (patché depuis longtemps). Soit c'était le dernier des crétins sortant de l'E...A, soit il était au contraire très sophistiqué et avait fait cela pour que je le prenne pour un crétin et que je ne cherche pas plus loin :-) Le premier cas est de loin le plus fréquent. « Intraçable », c'est du cinoche.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
François Boisson
Le Sun, 17 Feb 2008 16:28:40 +0100 "Jean-Yves F. Barbier" a écrit:
pas forcément, parce que si le type connaît son job, il aura aussi modifié le listing des md5 d'origine...
Si aucune différence n'est montré oui, mais je serais prêt à faire un pari là dessus.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Le Sun, 17 Feb 2008 16:28:40 +0100
"Jean-Yves F. Barbier" <7ukwn@free.fr> a écrit:
pas forcément, parce que si le type connaît son job, il aura aussi
modifié le listing des md5 d'origine...
Si aucune différence n'est montré oui, mais je serais prêt à faire un pari là
dessus.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le Sun, 17 Feb 2008 16:28:40 +0100 "Jean-Yves F. Barbier" a écrit:
pas forcément, parce que si le type connaît son job, il aura aussi modifié le listing des md5 d'origine...
Si aucune différence n'est montré oui, mais je serais prêt à faire un pari là dessus.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
