Re: p0wned

Top Page

Reply to this message
Author: Guillaume Allegre
Date:  
To: guilde
Subject: Re: p0wned
Le Tue 19 May 2009 à 18:35 +0200, Christian Marillat a ecrit :

> rkhunter utilise déjà unhide pour faire ses tests.
>
> > Sinon, le SVN de etc, tel que recommandé par Guillaume ne serait-il
> > pas une bonne solution pour connaître les configurations altérées ?
>
> Les pirates sont quand même plus malin que ça.


Pas forcément.
Si c'est une "vraie" attaque de "vrai" pirate, OK, c'est mort, mais la proba
est faible.

La plupart du temps, ce sont des scripts d'attaque automatique, et c'est rare
que quelqu'un les surveille "manuellement" derrière. Donc les scripts font ce
qu'on leur a dit, et ne sont pas forcément très malins. En particulier, ils
ne sont pas au courant des conventions locales suivies par l'admin.

Le plus important à savoir, c'est si root a été compromis, ou uniquement certains
services (typiquement Apache). Cela dit, on ne peut pas avoir de certitude, juste
des fortes présomptions.
Dans le 2e cas, on peut espérer "nettoyer" sans tout réinstaller, même si c'est
pas recommandé.


PS : sur une debian, md5sums -c donne des bonnes indications.
Evidemment, il vaut mieux l'avoir installé avant.
D'autre part, la base n'est pas signée par défaut. Pour cela, voir
tripwire ou samhain.


-- 
 ° /\    Guillaume Allègre            Membre de l'April
  /~~\/\   Allegre.Guillaume@???  Promouvoir et défendre le logiciel libre
 /   /~~\    tél. 04.76.63.26.99      http://www.april.org