Re: Port Infected 1008

To: debian-user-french@lists.debian.org
Subject: Re: Port Infected 1008
From: Frédéric Bothamy <frederic.bothamy@free.fr>
Date: Tue, 16 Nov 2004 12:26:58 +0100
Message-id: <[🔎] 20041116112658.GD4677@athena.olympe.fr>
Mail-followup-to: debian-user-french@lists.debian.org
In-reply-to: <[🔎] 63671.81.80.135.180.1100595743.squirrel@wm.alpesnet.net>
References: <[🔎] 63671.81.80.135.180.1100595743.squirrel@wm.alpesnet.net>

* Tony Schonfeld <tony-NoSpam@alpesnet.net> [2004-11-16 10:02] :
> Bonjour la liste !
> 
> Qu'elle n'a pas ete ma surprise en lancant un chkrootkit,
> de lire le message: Port Infected 1008.
> Dans l'affolement j'ai rebootee la machine ce qui fait que
> malheureusement je n'en sais pas plus aujourd'hui sur ce qui c'est
> passe ! (bien sur apres la relance plus de probleme)

Ce n'est pas le bon réflexe. Ce qu'il faut faire dans ce cas, c'est
déconnecter immédiatement la machine du réseau, puis analyser ce qui
s'est passé ("netstat -apn" est un bon début).
 
> ce qui est sur c'est qu'avec l'install par defaut de snort
>  pas de trace d'une attaque virale ou de type rootkit
>  (juste des attaques sur le serveur web )
> 
> Pas d'alerte de la part de clamav-daemon
>  (j'espere que clamav est capable de reagir un peu comme norton)
> 
> Je ne suis pas capable de voir grand chose avec Aide non plus
>  car avec les mises a jour regulieres de la machine et l'absence
>  de reinitialisation de la base de donnees les logs sont peu explicites.

Mmm, lors des mises à jour du système, il est indispensable de mettre à
jour la base de données d'AIDE (et de vérifier quels sont les fichiers
mis à jour), je ne comprends donc pas bien d'où vient ton problème, ici.
 
> Mon reseau est bien sur protege par un modem/routeur/firewall
>  ( bind n'est pas accessible depuis l'exterieur )
> 
> Qu'elle est votre avis sur la question, compromis ou pas compromis ?

Aucune idée et à mon avis, personne de la liste ne pourra te dire sans
avoir plus d'informations. C'est un travail d'analyse qu'il faut
réaliser sur la machine potentiellement infectée : cela pourrait être
par exemple un faux positif (un programme standard qui provoque ce
comportement de chkrootkit, comme slice par exemple, voir le fichier
README.Debian de chkrootkit).

Une assez bonne doc est disponible dans le paquet harden-doc et sur le
site Debian http://www.debian.org/doc/manuals/securing-debian-howto/
(notamment le chapitre 10 et la section 11.2).


Fred

-- 
Comment poser les questions de manière intelligente ?
http://www.gnurou.org/documents/smart-questions-fr.html
Comment signaler efficacement un bug ?
http://www.chiark.greenend.org.uk/~sgtatham/bugs-fr.html

Reply to:

Follow-Ups:
- Re: Port Infected 1008
  - From: "Tony Schonfeld" <tony@alpesnet.net>

References:
- Port Infected 1008
  - From: "Tony Schonfeld" <tony-NoSpam@alpesnet.net>

Prev by Date: Re: [Fwd: Nouvelles hebdomadaires Debian - 9 novembre 2004]
Next by Date: Re: [HS] Linux, Win XP et Mac
Previous by thread: Re: Port Infected 1008
Next by thread: Re: Port Infected 1008
Index(es):
- Date
- Thread