[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Intrusion shellbot



Le Tue, 12 Jul 2005 02:03:30 +0200
snoopy <snoopy@home.snoopyouaib.com> a écrit:

> 
> Merci beaucoup, j'ai lu très attentivement tout le fil et testé 
> cacheproc au fur et à mesure des évolutions, apparemment je n'ai pas
> de processus caché qui traine.

L'intérêt est qu'on apprend beaucoup avec une histoire de ce style.
Dans la pratique, j'ai mis une entrée dans crontab qui l'éxécute
régulièrement. Quelques faux positifs (en gros un par mois, ce sont des
processus qui se termine pile entre la découverte du processus et la
vérification de sa visibilité). Avec le paquet surveillance, cela me
tranquillise pas mal....

Sinon, la recherche des fichiers détruits via recover est très
instrutive pour trouver les traces des actions du pirate. 



> Reste à surveiller si la faille qui lui a permis de rentrer n'est pas 
> toujours la.

Un coup de Nessus sur la machine donne la faille en général.

François Boisson



Reply to: