Bon pas mal avancé depuis ce matin..
- L'attaque venais d'une machine avec catre réseau "wake on lan" réveil
vers 23h
- L'utilisateur de cette machine s'était donné des droits de
modification sur le compte du Boss sur le serveur et il ne s'est pas
géné pour intervertir profil itinérant et répertoire. résultat dès qu'il
s'est logé, le profil a écrasé le répertoire. 1.35Go vlan ! merci les
sauvegardes !
- Un nscan par l'@IP externe de la passerelle donne entre autre
23 horreur! il est open, 587 submission, 2000 callbook, ces deux là ne
me disent rien le reste est "normal"
- cette machine est administrée à distance par un service extérieur, on
n'a pas le mdp root !
- j'ai rajouté 3 règles ipchains par une interface web, on verra !
Grâce à la lettre sécurité du cnrs et
http://www.commentcamarche.net/virus/trojan.php3 j'ai trouvé moosoft
http://www.moosoft.com/ pour retirer les backdoor quand la machine est
identifiée (j'en tiens une!)
connaissez vous ce soft ?
Merci
Hervé de Dianous wrote:
> Bonjour !
> Vu que la conf sécurité est annulée et que freshmeat.net est
> injoignable, je m'adresse à tous pour m'aider à trouver un utilitaire
> qui me permettrais de traquer les backdoors,
> soit à partir d'une machine Linux du réseau, soit à partir d'un exe sur
> disquette. ou les deux ?
> ici il y en a qui s'amusent méchament avec nos serveurs NT
> (on les passeras bintôt à Linux :) les chefs sont maintenant convaincus)
> C'était la crise du lundi !
> A+ Hervé
>
