Re: Re : Disparition de logs

[Yann Autissier <yann@autissier.net>]

Jean-Luc Coulon (f5ibh) a écrit :

> Le 21.02.2004 15:55, François TOURDE a écrit :
>
> > Le 12469ième jour après Epoch,
> > Yann Autissier écrivait:
> >
> > > François TOURDE a écrit :
> > >
> > > > C'est quoi "sherpyanisés" ??
> > > J'ai trouvé ces paquets sur apt-get.org :
> > >
> > > deb http://debian.netfarm.it/debian/ woody sherpya
> > > deb http://www.backports.org/debian stable all
> >
> >
> >
> > Bon. On va dire que c'est un nouveau mot alors.
> >
> > > Mon uptime est reparti de 0 au reboot, par contre chkrootkit
> > > me renvoie deux lignes intéressantes :
> > >
> > > # chkrootkit
> > > Searching for suspicious files and dirs, it may take a while...
> > > /usr/lib/tiger/bin/.bintype
> > > Checking `bindshell'... INFECTED (PORTS:  1524 31337)
> > >
> > > # lsof |grep ":1524"
> > > # lsof |grep ":31337"
> > > portsentr  1002  root   40u  IPv4       2473                 TCP
> > > *:31337 (LISTEN)
> > > portsentr  1006  root   30u  IPv4       2547                 UDP
> > > *:31337
> >
> >
> >
> > Super... Tu as gagné le droit de la réinstaller. Tiger est bien foutu
> > comme rootkit. En lui-même il ne fait pas de dégats, mais donne la
> > main à des connectés IRC ou SSH si mes souvenirs sont bons.
>
> Tiger, c'est le rootkit ou c'est lui qui a lancé chkrootkit pour  
> justement vérifier l'intégrité du système ?
> /usr/lib/tiger appartient au package tiger mais pas au rootkit du 
> même  nom ...
Effectivement c'est bien le paquet debian auquel je pensai quand j'ai 
dit qu'il était installé.
J'étais loin d'imaginer parler justement du root kit en question...

En recherchant plus d'infos sur tiger rootkit, je suis tombé sur un 
paquetage debian nommé : bastille
Quelqu'un connait ?

Package: bastille
Description: Security hardening tool
Bastille Linux is a security hardening program for several Linux
distributions.