Andesi - forum

Forum francophone pour Debian

Vous n'êtes pas identifié(e).

Pages : 1

#1 21/04/2003 12:53:38

glip
Membre
Lieu : france , lille
Inscription : 21/04/2003
Messages : 7

rootkit

et je me trompe déjà de rubrique , désolé


je passe pas mal de temps à m'occuper d'un petit reseau ki a besoin de sécu permanete ; installation de snort ; nessus ; portsentry ..
mais bien sûr, j'ai été infecté par un rootkit (à travers portsentry ; je crois) ;
->  faut-il alors prendre son courage à deux mains et tout réinstaller ?   roll
->  ou alors puis-je garder cette config tout en ayant conscience du risque ? 
:oops:

punx as f**k

Hors ligne

#2 21/04/2003 13:30:50

kagou
Administrateur
Lieu : Gard
Inscription : 21/03/2003
Messages : 994

Re : rootkit

Comment l'as tu détecté ?
C'est lequel ?

Je veux tout savoir  smile

[img]http://www.danasoft.com/sig/kagou.jpg[/img]

[img]http://edgar.netflint.net/[email protected]&type=image&iconset=phpbb[/img] [email protected]

Hors ligne

#3 21/04/2003 13:39:21

ptitlouis
Moderator
Lieu : Levallois-Perret
Inscription : 21/04/2003
Messages : 3 653

Re : rootkit

Pour portsentry, c'est un faux positif  big_smile. Pour en savoir plus lis le fichier /usr/share/doc/chkrootkit/README.Debian (si tu l'as découvert par là).

Hors ligne

#4 21/04/2003 13:55:21

glip
Membre
Lieu : france , lille
Inscription : 21/04/2003
Messages : 7

Re : rootkit

merci d'avoir ranger ce message , je l'ai découvert avec chkrootkit ; (il a trouver "rootkit") ...

Pour portsentry, c'est un faux positif icon_biggrin.gif. Pour en savoir plus lis le fichier /usr/share/doc/chkrootkit/README.Debian (si tu l'as découvert par là).

-> cad ? ; bien sur je vais lire tout cela [/i]

punx as f**k

Hors ligne

#5 21/04/2003 14:02:46

glip
Membre
Lieu : france , lille
Inscription : 21/04/2003
Messages : 7

Re : rootkit

ok ok je suis vraiment très parano ; comprenez nous herbergeons des sites chez nous dans un squat et je me méfie des keufs et des fachos .....
j'avais eu affaire à plusieurs "attaques" (redirection d'adresse dns, changement des perms  en faveur d'un utilisateur I_HAVE_NO_NAME!@8885599 , )
et comme je suis un peu seul ..... oin j'ai peur ; mais bon ....

merci  :shock:

punx as f**k

Hors ligne

#6 21/04/2003 14:05:08

kagou
Administrateur
Lieu : Gard
Inscription : 21/03/2003
Messages : 994

Re : rootkit

Un exemple chez moi, je lance chkrootkit et j'ai : 

Checking `bindshell'... INFECTED (PORTS:  1524 31337)

:shock:

Après avoir stoppé portsentry -> "/etc/init.d/portsentry stop" qui génère des fausses erreurs, je relance chkrootkit et là j'ai : 

Checking `bindshell'... not infected

Ouf ....  tongue

[img]http://www.danasoft.com/sig/kagou.jpg[/img]

[img]http://edgar.netflint.net/[email protected]&type=image&iconset=phpbb[/img] [email protected]

Hors ligne

#7 21/04/2003 14:10:07

glip
Membre
Lieu : france , lille
Inscription : 21/04/2003
Messages : 7

Re : rootkit

bah ouais , ..; pareil ; ouf
avec nessus j'avais déjà des soupçons

hi

punx as f**k

Hors ligne

#8 21/04/2003 14:11:32

kagou
Administrateur
Lieu : Gard
Inscription : 21/03/2003
Messages : 994

Re : rootkit

Ca va mieux non ?!  big_smile

@+

[img]http://www.danasoft.com/sig/kagou.jpg[/img]

[img]http://edgar.netflint.net/[email protected]&type=image&iconset=phpbb[/img] [email protected]

Hors ligne

#9 21/04/2003 14:14:25

glip
Membre
Lieu : france , lille
Inscription : 21/04/2003
Messages : 7

Re : rootkit

ya ya : merci beaucuop je ne voulais pas tout refaire     ....

vous etes trs sympa
wink

punx as f**k

Hors ligne

#10 05/05/2003 12:34:52

le_sage
Membre
Inscription : 05/05/2003
Messages : 1
Site Web

Re : rootkit

Je viens de me prendre un "coup de chaud" :
si vous utilisez un serveur de mail avec la fonctionnalité smtp over ssl activé, celà génère un faux positif, qui est indiqué dans la documentation du paquet testing mais PAS du paquet stable.

Hors ligne

#11 25/05/2003 16:28:14

glip
Membre
Lieu : france , lille
Inscription : 21/04/2003
Messages : 7

Re : rootkit

merci tu tuyau

punx as f**k

Hors ligne

#12 05/06/2004 02:39:39

ledub
Membre
Lieu : Creil (60)
Inscription : 22/04/2003
Messages : 4 545

Re : rootkit

Pour portsentry, c'est un faux positif  big_smile. Pour en savoir plus lis le fichier /usr/share/doc/chkrootkit/README.Debian (si tu l'as découvert par là).

Même pour son 1er message sur Andesi, Ptitlouis était incompréhensible !!!!!

« Ne doutez pas qu'un petit nombre de personnes déterminées puisse changer le monde. En fait, ça a même toujours marché comme ça.»
Margaret Mead
---
VeoSearch est un moteur de recherche solidaire qui permet de financer des projets associatifs de développement durable par vos recherches Internet. Utilisez-le !!!

Hors ligne

#13 05/06/2004 03:11:08

OcamlScheme
Membre
Lieu : Paris
Inscription : 23/04/2003
Messages : 3 026

Re : rootkit

Mais lui donnait une réponse !

OS

Debian in Sid

Hors ligne

#14 05/06/2004 03:13:45

ledub
Membre
Lieu : Creil (60)
Inscription : 22/04/2003
Messages : 4 545

Re : rootkit

Mais lui donnait une réponse !

C'est peut-être le seul à faire ce genre de chose, donner la solution à un problème !!!!

« Ne doutez pas qu'un petit nombre de personnes déterminées puisse changer le monde. En fait, ça a même toujours marché comme ça.»
Margaret Mead
---
VeoSearch est un moteur de recherche solidaire qui permet de financer des projets associatifs de développement durable par vos recherches Internet. Utilisez-le !!!

Hors ligne

#15 05/06/2004 03:16:28

OcamlScheme
Membre
Lieu : Paris
Inscription : 23/04/2003
Messages : 3 026

Re : rootkit

Non je ne crois pas ... à l'occasion je crois même avoir été
efficace ! wink Mais toi aussi, c'était juste il y a trop longtemps
pour que tu t'en souvienne ! lol

OS

Debian in Sid

Hors ligne

#16 05/06/2004 03:19:10

ledub
Membre
Lieu : Creil (60)
Inscription : 22/04/2003
Messages : 4 545

Re : rootkit

Non je ne crois pas ... à l'occasion je crois même avoir été efficace ! wink Mais toi aussi, c'était juste il y a trop longtemps pour que tu t'en souvienne ! lol

OS

Ha !! Ok, donc j'étais utile un moment, ouf !!!
Pour la mémoire, c'est grave, c'est la vieillesse ????

« Ne doutez pas qu'un petit nombre de personnes déterminées puisse changer le monde. En fait, ça a même toujours marché comme ça.»
Margaret Mead
---
VeoSearch est un moteur de recherche solidaire qui permet de financer des projets associatifs de développement durable par vos recherches Internet. Utilisez-le !!!

Hors ligne

#17 05/06/2004 03:20:59

OcamlScheme
Membre
Lieu : Paris
Inscription : 23/04/2003
Messages : 3 026

Re : rootkit

t'inquiète ... c'est un style ... la papatitude ! lol

OS

Debian in Sid

Hors ligne

#18 05/06/2004 03:24:11

ledub
Membre
Lieu : Creil (60)
Inscription : 22/04/2003
Messages : 4 545

Re : rootkit

t'inquiète ... c'est un style ... la papatitude ! lol

OS

papatitude ??
De papa ou de pape ??
Moi je préfère la première version !!!

« Ne doutez pas qu'un petit nombre de personnes déterminées puisse changer le monde. En fait, ça a même toujours marché comme ça.»
Margaret Mead
---
VeoSearch est un moteur de recherche solidaire qui permet de financer des projets associatifs de développement durable par vos recherches Internet. Utilisez-le !!!

Hors ligne

#19 05/06/2004 03:28:42

OcamlScheme
Membre
Lieu : Paris
Inscription : 23/04/2003
Messages : 3 026

Re : rootkit

Domage ... c'était la seconde  :?  après la papamobile
la papatitude ...  wink Cela dit j'ai rien contre l'homme
en particulier... plus contre ceux qui lui font subir le travail
en plus de la maldie ...

OS

Debian in Sid

Hors ligne

Pages : 1

Pied de page des forums

Propulsé par FluxBB