Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
5138 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs

  [redhat] & hack compromission

 
 


Dernière réponse
Sujet : [redhat] & hack compromission
memaster oui, mais bon, pas toujours facile. si l'une de mes machines est compromise
rien ne me dit que les autres n'ont pas la même faille. heureusement, que je
ne fait pas tout tourner avec la même distrib. ou kernel.
mais cela multiplie le temps de recherche et des MAJ :pt1cable:  
dur la vie parfois.

Votre réponse
Nom d'utilisateur    Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !
Le ton de votre message                        
                       
Votre réponse
[b][i][u][strike][spoiler][fixed][cpp][url][email][img][*]   
 
   [quote]
 
Options

 
Vous avez perdu votre mot de passe ?


Vue Rapide de la discussion
memaster oui, mais bon, pas toujours facile. si l'une de mes machines est compromise
rien ne me dit que les autres n'ont pas la même faille. heureusement, que je
ne fait pas tout tourner avec la même distrib. ou kernel.
mais cela multiplie le temps de recherche et des MAJ :pt1cable:  
dur la vie parfois.
l0ky a toi de voir si tu préfères perdre un peu de temps (argent) plusieurs fois par mois a mettre à jour ton système ou si tu veux perdre beaucoup de (temps d'argent) à remonter une plate-forme de 0 une fois que l'autre est compromise [:spamafote]
Jerem22 Si tes commandes de bases sont pourries, jette un coup d'oeil du côté de BusyBox qui te permettra de retrouver rapidement tout ensemble de commandes saines pour voir ce qui cloche.
memaster ok merci.
et j'espere bien etre assez  jour en faisant cela regulierement
1x a 2x par mois. mais c'est long de faire ça ==> argent
l0ky Il n'y a pas de solution miracle.
A part faire des recherches dans les logs de la machine compromise, de rechercher les programmes altérer, de suivre les failles connues et les exploits possibles avec les services présents sur la machine...
 
Si tu fais des recherches avec google regarde tout ce qui a trait à "forensics" dans l'informatique.
jlighty Tes applications étaient à jours ? apache et son contenu PHP ?
memaster j'ai du mal a vous comprendre??
ce que je veux comprendre c'est quel exploit a utilisé
le hacker, ainsi avant de réinstaller le tout. je sais quoi mettre à jour
concernant cette faille afin que cela ne se reproduise plus. rien de plus.
et ça je ne sais pas comment le detecter. cette machine
fait tourner apache, ftp, sendmail, pop3... derriere un firewall assez restrictif.
jlighty

memaster a écrit :

voir oui mais comment?? car si je ne m'abuse toutes les commandes
(ls, ps, netstat, ifconfig :pt1cable: ...) ont été remplacées par des fausses.
 
avez vous des astuces??
 
sachant que sur mes configs, j'ai deja tripwire, portsentry et j'en passe.


Faire des hash md5 de tous ces programmes sains et imprimer cette liste sur du papier (et oui comme ça le pirate ne pourra pas modifier les hash  :D  )
PS: je laisse de côté les problèmes de collision avec MD5...
HNO3 Tu met le disque dans une autre machine, y a aucune autre moyen d'etre sur a 100%.
memaster oui mais avant de réinstaller, comment voir quel service a été "exploit"??
histoire qu'au moment de la réinstalle je recommence pas la même c@&# et upgrade
le bon rpm ou mette en place une parade.
black_lord

l0ky a écrit :

boff si la machine a été compromise le mieux c'est de voir comment elle l'a été et de tout réinstaller avec un formatage total de tout le systeme :o


je plussoie [:dao]
memaster voir oui mais comment?? car si je ne m'abuse toutes les commandes
(ls, ps, netstat, ifconfig :pt1cable: ...) ont été remplacées par des fausses.
 
avez vous des astuces??
 
sachant que sur mes configs, j'ai deja tripwire, portsentry et j'en passe.
l0ky boff si la machine a été compromise le mieux c'est de voir comment elle l'a été et de tout réinstaller avec un formatage total de tout le systeme :o
black_lord des pistes :
AIDE, chkrootkit, binaires statiques pour l'analyse, tripwire
memaster qui a des bons reflexes à adopter quand on
observe une compromission de la machine.
genre back door xntps ou adore :sweat:  
 
bref, ça serais bien de se communiquer nos astuces
de root-webm@ster.
 
1) toujours tenir ses rpm a jour des failles (ça c'est sur). :sweat:  
2) utiliser webmin pour l'administration, c'est bien car on voit beaucoup
de chose assez facilement.
3) faire des sauvegardes regulières
 
mais une fois que c'est arrivé, que faites vous en général??
ou chercher??
 
- pour commencer, j'ai regardé les fichiers dans /rc.d/init.d
et j'ai noté des lignes "louches" dans 2 scripts (atd & network)
- regarder dans /temp et remarquer des dossiers . cachés avec
aussi des tar.gz dedans.
- je pense que mon "#ps" ne me dit pas tout
 
d'autres idées??? pour réparer par exemple en evitant la réinstall + MAJ
de tous les rpm.

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)