Re: serveur infecté?

To: "david ." <palmito.aidinux@gmail.com>
Cc: debian-user-french@lists.debian.org
Subject: Re: serveur infecté?
From: "Jean-Yves F. Barbier" <7ukwn@free.fr>
Date: Sat, 08 Dec 2007 13:43:34 +0100
Message-id: <[🔎] 475A9176.9040100@free.fr>
Reply-to: 7ukwn@free.fr
In-reply-to: <[🔎] dc84f3f90712080418i35b08e2erce8bfa4ad3348304@mail.gmail.com>
References: <[🔎] dc84f3f90712080418i35b08e2erce8bfa4ad3348304@mail.gmail.com>

david . a écrit :
...
 >     INFECTED (PORTS:  1524 4000 4369 6667 31337)

    eth1: PACKET SNIFFER(/sbin/dhclient3[1823], /usr/sbin/iftop[3021])
    Warning: Possible Scalper Worm installed


il les prend tous les 2 pour des sniffers... ce qui est qq part vrai:
dhclient3 sniffe les packets de proposition de lease, et iftop sniffe
tout puisqu'il sert à afficher les infos de bande passante sur une I/F réseau

Je me suis donc tout de suite empressé d'installer clamav (j'ai bien misclamav à jour) pour faire le menage et il ne trouve rien (clamscan -ri /)
Pour info je n'ai pas de parefeu sur le système mais sur ma box.


ça ne peut pas faire de mal et tu peux ajouter un crontab pour qu'il aille
faire un scan des binaires pendant la nuit si ça te sécurise.

j'ai laissé tomber chkrootkit à cause de cela: beaucoup trop de faux positifs.
D'ailleurs il n'y-a, d'habitude, que des packages standards sur un serveur,
donc le risque d'infection est réduit; en plus il est dans ton LAN, ce qui
réduit encore les risques (personnels, pas professionnels:)
--
Go not to the elves for counsel, for they will say both yes and no.
		-- J.R.R. Tolkien

Reply to:

References:
- serveur infecté?
  - From: "david ." <palmito.aidinux@gmail.com>

Prev by Date: serveur infecté?
Next by Date: Re: paquets pcscd, pcsc-tools
Previous by thread: serveur infecté?
Next by thread: Re: serveur infecté?
Index(es):
- Date
- Thread