Vous êtes sur l'ancien forum du site Abc de la sécurité informatique :
Le nouveau forum est maintenant à l'adresse suivante:
>> http://abcdelasecurite.free.fr/forum-abc-de-la-securite/

Forums Abc de la sécurité info -> virus, antivirus, trojans, anti-trojans, hoaxes sheep team, graphisme, programmation, codes source, blog, article, partage, ftp, humour, divertissement


4 connectés mais aucun membre

Forums
Topics
Membres
Smileys
FAQ

Anonyme

Se logger
S'inscrire
Menu en haut, à droite
shadoc$2004041
shadoc
11/02 :: 11:12

Membre inscrit



Bonjour tout le monde

J'ai un serveur qui tourne sous redhat7 . Sur ce dernier je me suis rendu compte que quelqu'un s'etait connecte dessus et y avait installé :
voial ce que j'ai pu trouver :

The system is going down for reboot NOW !!
[===== SucKIT version 1.3a, Apr 22 2003 <http://sd.g-art.nl/sk> =====]
[====== (c)oded by sd <sd@cdi.cz> & devik <devik@cdi.cz>, 2002 ======]

FUCK: Got signal 11 while manipulating kerne

Ma question est donc comment me debarrasser de ce rootkit (je crois que s'en est un) ? Existe il des outils ou devrai je recompiler le noyau ?

En esperant que quelqu'un veuille bien m'expliquer comment la personne a fait (même theoriquement) et comment le desinstaller je vous souhaite tous une agreable journée.

ciao
stin07bis$2004001
stin07bis
11/02 :: 18:16

Membre acharné



redhat 7 connais pas (attendre l'avis des admi!!) par contre j'ai vu que cela vient du Pays Bas(Hollande) Redhat 7 est 1 logiciel d'origine hollandaise???? @+
habana$
habana
11/02 :: 20:02

Admin



Pour commencer, enlève toute connexion sur le système touché et essaie d'isoler matériellement le serveur.Fais une image du disque pour inspection puis sauvegarde de l'ensemble des données nécessaires a récupérer sur un autre média. Ensuite, la meilleure chose à faire est de réinstaller de zero.Changement des mots de passe, vérification des droits, install de chkrootkit + planifier une tâche journalière avec cron
Entre temps, tu peux installer chkrootkit pour voir si il trouve d'autres traces (sniffer ou autres) et regarder dans /sbin/init , /etc/rc3.d/ et les rapports de log .

le rootkit a pû être installé par un compte utilisateur avec une petite faille non patché, un mot de passe qui se sera balladé en clair sur le réseau et/ou un accès par ssh

Si tu veux en savoir plus sur ton rootkit, le code source est facilement consultable mais je laisse l'ami google te dire où :
http://www.google.com/search?hl=en&lr=&ie=UTF-8&q=Suckit

Si tu n'es pas débordé, ce serait intéressant de faire un honeypot + ids avant de remonter le serveur

Retour forum
 Forum en lecture seule

Da NobodX Forum :: V 3.14159 customized Abc de la sécurité info

Visiteurs depuis
le 22/02/2001