Guillaume a écrit :
S'il a eu les droits root il a du effacer aussi les fichiers de log, sinon voir du côté de /var/log (pas seulement les logs de vino, mais aussi auth, syslog). Voir aussi les commandes "last" et "faillog" si elles mettent les adresses IP distantes.
Merci. Je ne pense pas qu'il ai eu les droits root, il s'est contenté de passer par le port 5900 pour utiliser un client vnc. (a moins bien sur qu'il ai installé un key logger pour attraper le mot de passe utilisateur, ou qu'il ait lancé un exploit local. mais sur ubuntu il n'y a pas de compte root à proprement parler : il faut passer par sudo donc connaître le mot de passe d'un utilisateur pouvant utiliser sudo) chkrootkit et rkhunter ne m'ont rien détecté de suspect, les mots de passe n'ont pas été changés. Je n'ai pas réussi à trouver un log spécifique à vino ou vnc dans /var/log (là ou nx logge les tentatives de connexion par exemple). C'est surtout ça qui me casse les pieds, avec l'ip de l'attaquant j'aurais pu faire quelque chose (peut-être).
Question subsidiaire (je ne suis plus à un HS près) : dansce cas de figure (faille de sécurité, exploitation pour des achats ou des virements) savez-vous si les banques remboursent lesvirements frauduleux?Tu peux refuser un paiement par CB : tu vas voir ta banque et tu demandes que soit refusé ce débit. En pratique la banque te rembourse et ensuite se retourne contre l'autre banque. Très souvent la banque te dit que c'est trop tard et que c'est pour ta pomme, mais légalement (je l'avais vu en cours de droit mais il y a longtemps, donc je ne connais plus l'article) elle ne peut pas refuser sauf peut-être si elle arrive à prouver que c'est vraiment de ta faute (genre écrire son code PIN sur la CB). Bref, tu vas voir ta banque en cas de virement frauduleux, mais évite de dire que tu as laissé un logiciel de prise de main à distance sans sécurité avec le numéro de CB en cache du navigateur ! Au pire, fait opposition tant qu'il est encore temps.A partir de maintenant, un déverminage de la machine est indispensable, ainsi que la mise en place d'un firewall. Il y a aussi la possibilité de mettre un honey pot, mais c'est dans une autre optique.
Ben en fait de service sur cette machine, il n'y a que ssh (avec des clefs regénérées depuis la célèbre affaire d'entropie d'il y a quelques temps). J'ai viré vino, vnc, etc, exim, et en gros tout ce qui ressemble à un programme écoutant sur un port. Quand au numéro de compte, en fait il ne s'agissait pas de celui de mon amie : il semblerait que le pirate ait utilisé la machine comme passerelle pour réaliser des opérations sur un autre compte. La bonne nouvelle c'est que le compte de mon amie n'a pas été vidé; la mauvaise c'est que peut-être quelqu'un aux US a eu ce problème, et c'est l'IP de mon amie qui va être tracée...
Merci de votre aide, Pascal