|
|
|
| | shadoc$2004041 shadoc
11/02 :: 11:12
Membre inscrit
| | Bonjour tout le monde
J'ai un serveur qui tourne sous redhat7 . Sur ce dernier je me suis rendu compte que quelqu'un s'etait connecte dessus et y avait installé :
voial ce que j'ai pu trouver :
The system is going down for reboot NOW !!
[===== SucKIT version 1.3a, Apr 22 2003 <http://sd.g-art.nl/sk> =====]
[====== (c)oded by sd <sd@cdi.cz> & devik <devik@cdi.cz>, 2002 ======]
FUCK: Got signal 11 while manipulating kerne
Ma question est donc comment me debarrasser de ce rootkit (je crois que s'en est un) ? Existe il des outils ou devrai je recompiler le noyau ?
En esperant que quelqu'un veuille bien m'expliquer comment la personne a fait (même theoriquement) et comment le desinstaller je vous souhaite tous une agreable journée.
ciao | |
| stin07bis$2004001 stin07bis
11/02 :: 18:16
Membre acharné
| | redhat 7 connais pas (attendre l'avis des admi!!) par contre j'ai vu que cela vient du Pays Bas(Hollande) Redhat 7 est 1 logiciel d'origine hollandaise???? @+ | |
| habana$ habana
11/02 :: 20:02
Admin
| | Pour commencer, enlève toute connexion sur le système touché et essaie d'isoler matériellement le serveur.Fais une image du disque pour inspection puis sauvegarde de l'ensemble des données nécessaires a récupérer sur un autre média. Ensuite, la meilleure chose à faire est de réinstaller de zero.Changement des mots de passe, vérification des droits, install de chkrootkit + planifier une tâche journalière avec cron
Entre temps, tu peux installer chkrootkit pour voir si il trouve d'autres traces (sniffer ou autres) et regarder dans /sbin/init , /etc/rc3.d/ et les rapports de log .
le rootkit a pû être installé par un compte utilisateur avec une petite faille non patché, un mot de passe qui se sera balladé en clair sur le réseau et/ou un accès par ssh
Si tu veux en savoir plus sur ton rootkit, le code source est facilement consultable mais je laisse l'ami google te dire où :
http://www.google.com/search?hl=en&lr=&ie=UTF-8&q=Suckit
Si tu n'es pas débordé, ce serait intéressant de faire un honeypot + ids avant de remonter le serveur
| |
Forum en lecture seule
|
|
