Re: [OT securite] Trin00
On Wed, 7 Nov 2001 22:17:19 +0100
Laurent COOPER <laurent.cooper@wanadoo.fr> wrote:
> Nessus me dit que j'ai Trin00 qui est installé sur ma machine et que cela
> permet de faire des attaques DDoS en utilisant ma machine.
Vérifies avec find_ddos que tu peux trouver sur www.nipc.gov,
je pense que Nessus suppose qu'il y a trinoo parce que ta machine
écoute sur un port particulier (dans les 27000, tu peux confirmer
avec nmap lancé depuis une autre machine). find_ddos n'utilise pas
de librarie externe mais il peut se faire blouser par un kernel
modifié ou un module chargé.
> Comment je peux faire pour virer ce truc? Nessus me dit de restaurer à partir
> de backup, je n'en ai point...
La solution la plus sûre est de tout réinstaller, tu peux le faire assez
rapidement en installant une version minimale sur une autre partition,
mettre à jour les packages à partir de ton ancienne machine avec
"dpkg --get/set-selections".
Si tu a confiance en toi, tu peux aussi récupérer des binaires sur
une machine sûre (idéalement une install minimale de debian sur une
autre partition), et remplacer les programmes de ta machine (sans booter
sur cette partition, le plus simple c'est avec une distribution sur un
floppy comme tom..., tu sais le truc imprononçable) qui sont utilisés dans
les rootkits (ls,ps,top,tcpdump,lsof,ifconfig,lsmod,cat ...), md5sums peut
t'aider.
Il faut que tu te renseignes sur ce que fait trinoo (il y a un doc trinoo.analysis
par ailleurs intéressant à lire, les sources ne circulent pas) pour savoir les
modifs qu'il applique.
Mais bon je te conseilles quand même de partir d'une nouvelle install et
de recopier les données, en faisant attention si tu recopies des fichiers
de configuration, notamment les scripts lancés au démarrage.
Alain
Reply to: