Re: Re : Disparition de logs

To: debian-user-french@lists.debian.org
Subject: Re: Re : Disparition de logs
From: Yann Autissier <yann@autissier.net>
Date: Sat, 21 Feb 2004 17:59:56 +0100
Message-id: <[🔎] 40378E8C.4090800@autissier.net>
Reply-to: yann@autissier.net
In-reply-to: <[🔎] 873c94s9g2.fsf@fermat.localhost>
References: <[🔎] 40365A7A.7080807@autissier.net> <[🔎] 87eksp1mut.fsf@fermat.localhost> <[🔎] 403757A1.3050103@autissier.net> <[🔎] 87brnsscr6.fsf@fermat.localhost> <[🔎] 20040221152426.GC19851@tangerine.coulon.evette> <[🔎] 873c94s9g2.fsf@fermat.localhost>

François TOURDE a écrit :

Le 12469ième jour après Epoch,
Jean-Luc Coulon écrivait:

Le 21.02.2004 15:55, François TOURDE a écrit :

Le 12469ième jour après Epoch,
Yann Autissier écrivait:

François TOURDE a écrit :

C'est quoi "sherpyanisés" ??

J'ai trouvé ces paquets sur apt-get.org :

deb http://debian.netfarm.it/debian/ woody sherpya
deb http://www.backports.org/debian stable all

Bon. On va dire que c'est un nouveau mot alors.

Mon uptime est reparti de 0 au reboot, par contre chkrootkit
me renvoie deux lignes intéressantes :

# chkrootkit
Searching for suspicious files and dirs, it may take a while...
/usr/lib/tiger/bin/.bintype
Checking `bindshell'... INFECTED (PORTS:  1524 31337)

# lsof |grep ":1524"
# lsof |grep ":31337"
portsentr  1002  root   40u  IPv4       2473                 TCP
*:31337 (LISTEN)
portsentr  1006  root   30u  IPv4       2547                 UDP
*:31337

Super... Tu as gagné le droit de la réinstaller. Tiger est bien foutu
comme rootkit. En lui-même il ne fait pas de dégats, mais donne la
main à des connectés IRC ou SSH si mes souvenirs sont bons.

Tiger, c'est le rootkit ou c'est lui qui a lancé chkrootkit pourjustement vérifier l'intégrité du système ?/usr/lib/tiger appartient au package tiger mais pas au rootkit du mêmenom ...


Ooops... J'avais pas fait attention... C'est "portsentry" le rootkit
;) C'est lui qui écoute sur les ports...

Donc il se peut que la machine soit saine.

Maudit sois-je :(

Maudit soit plutot l'admin débutant que je suis :

J'enchaine surprises sur surprises, et je ne pense vraiment plus que mamachine soit saine.C'est effectivement portsentry qui écoute sur les ports 1524 et 31337,d'après netstat et lsof.Mais quand j'ai rebooté le serveur, jeudi, il manquait une partie deslogs dans les principaux logs,mais les logs d'apache avait eux continuer de fonctionner et j'ai puregarder dedans certainesconnexions qui ont eu lieu sur ce service. Mais je ne les ai pas copiés.Vendredi matin, quand j'aivoulu vérifier à nouveau, toutes ces informations n'étaient plus qu'unvague souvenir :!(

Donc je me sens vraiment bête, mais si j'ai qd même retrouver certainesi.p. sur lesquelles j'aifait quelques traceroute, je n'ai plus aucune information sur leshoraires et les fichiers consultés !


Yann

Reply to:

Follow-Ups:
- Re: Re : Disparition de logs
  - From: fra-duf-no-spam@tourde.org (François TOURDE)

References:
- Disparition de logs
  - From: Yann Autissier <yann@autissier.net>
- Re: Disparition de logs
  - From: fra-duf-no-spam@tourde.org (François TOURDE)
- Re: Disparition de logs
  - From: Yann Autissier <yann@autissier.net>
- Re: Disparition de logs
  - From: fra-duf-no-spam@tourde.org (François TOURDE)
- Re : Disparition de logs
  - From: "Jean-Luc Coulon (f5ibh)" <jean-luc.coulon@wanadoo.fr>
- Re: Re : Disparition de logs
  - From: fra-duf-no-spam@tourde.org (François TOURDE)

Prev by Date: Re: Disparition de logs
Next by Date: Re: Je peux plus jouer :(
Previous by thread: Re: Re : Disparition de logs
Next by thread: Re: Re : Disparition de logs
Index(es):
- Date
- Thread