[gull] Un ver sur mon serveur
Félix Hauri
felix at f-hauri.ch
Thu Mar 16 10:09:26 CET 2006
On Wed, Mar 15, 2006 at 03:28:32PM +0100, Simon Schmidig wrote:
> Bonjour,
>
> J'ai découvert un probablement un ver sur mon serveur WEB (Fedora C 4,
> ...
> J'ai fait kill 5154
> J'ai redémarre
> J'ai changé les mots de passe
>
> Est-ce que j'ai tous fait ?
Certainement pas: Ce qu'un intru à pu faire une fois, il pourra le refaire très
facilement, si tu ne supprimes pas la faille qui lui à permi d'entrer...
Dans tous les cas, si ta machine à été pénétrée, son intégrité est désormais
nulle: L'intrus à probablement déposé une ou deux porte de secours pour le cas
où:
- Tu supprimerais ``Son'' répertoire admin
- Tu corrigerais la faille qui lui a permis sa première entrée.
- Tu supprimerais ``son'' daemon de backdoor perso
Pour bien faire, il faudrait valider de manière sûre (ton os éteint, le contenu
de ton disque analysé depuis un système sûr: un knoppix connu ou le montage
physique de ton disque dur sur une machine saine) tous les binaires éxecutables,
librairies et autres scripts pour s'assurer qu'il ne contiennent pas de code
parasite.
Le plus simple est encore de sauvegarder ton travail, des fichiers que tu connais
et que tu peux valider toi-même sur un support extérieur et ré-installer la
machine à zéro.
--
Félix Hauri - <felix at f-hauri.ch> - http://www.f-hauri.ch
More information about the gull
mailing list