Re: Port Infected 1008
> >
> Ce n'est pas le bon réflexe. Ce qu'il faut faire dans ce cas, c'est
> déconnecter immédiatement la machine du réseau, puis analyser ce qui
> s'est passé ("netstat -apn" est un bon début).
oui effectivement, c'est ce que je ferais s'il y a une prochaine fois
>
>>
> Mmm, lors des mises à jour du système, il est indispensable de mettre à
> jour la base de données d'AIDE (et de vérifier quels sont les fichiers
> mis à jour), je ne comprends donc pas bien d'où vient ton problème, ici.
>
un aideinit a chaque fois ?
>> Mon reseau est bien sur protege par un modem/routeur/firewall
>> ( bind n'est pas accessible depuis l'exterieur )
>
> Aucune idée et à mon avis, personne de la liste ne pourra te dire sans
> avoir plus d'informations. C'est un travail d'analyse qu'il faut
> réaliser sur la machine potentiellement infectée : cela pourrait être
> par exemple un faux positif (un programme standard qui provoque ce
> comportement de chkrootkit, comme slice par exemple, voir le fichier
> README.Debian de chkrootkit).
>
> Une assez bonne doc est disponible dans le paquet harden-doc et sur le
> site Debian http://www.debian.org/doc/manuals/securing-debian-howto/
> (notamment le chapitre 10 et la section 11.2).
merci fred et les autres, je cois que dans le doute je vais refaire
une install.
Reply to: