Author: Reveret Julien Date: To: guilde Subject: Re: Attaqué ????
On Thu, Apr 17, 2003 at 12:11:42PM +0200, Hervé de Dianous wrote: > Ce matin, en mettant en route ma GW, comme d'hab je lance pon en root
> par ssh, et Ho *très mauvaise* surprise, le fichier .bash_history de
> root est ... *vide!*
> Je craint d'avoir été visité :(
Comme on t'a dit, cherché les rootkits éventuels. A ceci je rajoute :
_ Regarder les logs, on ne sait jamais : le /var/log/messages, syslog,
authlog, mais aussi [u|w]tmp, regarde avec last et lastcomm ce qui a été
tapé par root ces derniers temps.
_ Fait un scan TCP _et_ UDP de ta machine, pour voir s'il n'y a pas un
shell qui a été mis en écoute sur un port, ou un sshd trafiqué.
_ Autre chose si tu veux, je n'ai pas été très exhaustif.
Si tu ne trouves rien, tant mieux, sinon, tu coupes le reseau sur la
machine, et tu regardes toutes les traces laissées, à l'aide de tct par
exemple, dispo en package debian.
PS: la prochaine fois, tu penseras à mettre les updates de sécurité pour
avoir la conscience tranquille :)
--
We are the knights who say
echo '16i[q]sa[ln0=aln100%Pln100/snlbx]sbA0D4D465452snlbxq'|dc