François Boisson wrote:
Tout depend du temps que tu as devant toi. Il y a 1 an 1/2 une de mes machines etait infecte par le worm bugtraq. Il m'a ete fortement conseille de la reinstaller. Etant pris par le temps, m'en etant rendu compte dans les 12h apres l'infection, et surtout que s'il fallait *absolument* repartir de zero _rapidement_ c'etait possible (par ex en un WE) j'ai decide de ne pas le faire. J'ai passe les 15 jours suivant l'epuration au chevet de la machine (~3h par jour les 2 premiers jours, moins apres) pour verifier. Tout etait rentre dans l'ordre.[...] PS: Un administrateur réseau peut il me donner des conseils, c'est apparemment un Kit0.42, qui install un bindshell sur le port 3049 dont le processus prend les différents noms nmbd, gzip, tar, script, etc. Quelqu'un a-t-il des détails sur ce nom Kit 0.42 (nom apparu au boot quand j'ai viré l'un des processus). J'ai fini par installer une règle iptables bloquant ce port en attendant et le sniffer est stoppé (j'ai retrouvé les fichiers de logs du sniffer, c'est impressionnant). Le plus simple est de refaire une install j'imagine :-(. J'ai conservé une image des disques à tout hasard...
Ton cas a l'air *beaucoup* plus severe que celui que j'ai subi. A toi de voir ce que tu peux/dois consacrer comme temps car quelquesoit l'option il te _faudra_ du temps, ce que tu perds si la stabilitee de la machine devenait critique, ce que tu perds (donnees) si tu repars a zero. Bref, il n'y a que toi a avoir la reponse. "Crois tu que tu pourras/auras les capacites de remettre la machine en etat?" donne la reponse et tu auras la solution ;-)
Depuis le jour ou cela m'est arrive, j'ai adopte deux regles sur mes machines de production, en dehors du check regulier des logs et tout le tsoin tsoin:
1) toutes les heures un chkrootkit est lance 24h/24h 7j/7j2) s'il y a un probleme et qu'une solution existe on l'applique, a fortiori s'il s'agit de securite: patchs appliques des disponibilite
Je ne reponds pas a ta question, ceci est uniquement le point de vue de quelqu'un a qui c'est deja arrive. Pour t'aider, tu peux peut etre te baser sur les articles de linux magazine qui traitent sur les infections de machines.
En esperant t'avoir aider un peu. -- : ______ ______ ______ ______ ______ __ daniel.huhardeaux@tootai.com : /_____// __ // __ //_____// __ // / phone.: +48 32 285 5276 : / / / /_/ // /_/ / / / / /_/ // / fax....: +48 32 285 5276 : /_/ /_____//_____/ /_/ /_/ /_//_/ mobile..: +48 602 284 546