[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Intrusion: savoir à quoi correspond un port ouvert

On Sun, Feb 17, 2008 at 03:14:29PM +0100,
 Luxpopuli Open source <luxpopuli07@gmail.com> wrote 
 a message of 285 lines which said:

> Petite question: est-ce que lsof -i me permettrait de découvrir un service
> ssh caché 

Pas si le pirate est passé root. Dans ce cas, RIEN n'est sûr, TOUT a
pu être modifié (ssh, lsof, md5sum, le kernel, etc).

> ou bien ne me reste t-il vraiment que d'envisager de réinstaller ma
> machine ?

C'est sans doute plus prudent sauf si vous pouvez être SÛR que le
pirate n'est pas passé root. Et ce n'est pas évident. Regardez les
fichiers modifiés récemment, cherchez dans les logs Apache, peut-être
trouverez-vous une certitude sur le moyen d'attaque et peut-être sur
le fait que le pirate soit passé root ou pas. C'est risqué, vous
pouvez oublier quelque chose.

À la dernière analyse que j'ai faite, le pirate avait laissé son
.bash_history, qui montrait le lancement d'une vieille exploitation
d'une faille du noyau Linux (patché depuis longtemps). Soit c'était le
dernier des crétins sortant de l'E...A, soit il était au contraire
très sophistiqué et avait fait cela pour que je le prenne pour un
crétin et que je ne cherche pas plus loin :-) Le premier cas est de
loin le plus fréquent. « Intraçable », c'est du cinoche.
Reply to: