[Linux] Alertes pare-feu

Jean-Marc Boursot jmb@::1
Mer 24 Nov 14:49:47 CET 2010


On 24/11/10 14:38, François DREYFUERST wrote :

> J'ai redémarré, mais les attaques ont repris ; j'ai peur que mon système  
> ait été corrompu. J'aurais probablement dû interrompre les mises à jour,  
> mais bon ...
>
> Comment le savoir, que faire ?

Mis à part si tu as un HIDS type AIDE régulièrement mis à jour,
difficile de s'assurer que le système n'a pas été corrompu. Par contre,
on peut faire quelques vérifications assez facilement:
-un chkrootkit ou autres outils destinés à détecter les saloperies
résiduelles
-selon ton OS, une vérif fichier par fichier à partir de la liste des
MD5 (ils sont parfois fournis)
-sniffing de ce qui passe pour voir si on détecte du trafic louche,
éventuellement avec une sonde IDS (réseau ce coup ci)
-un scanner de vulnérabilités pour voir si un truc est ouvert sur
l'extérieur

Idéalement, il faut booter sur un disque externe parce que si un rootkit
est installé, il met en place des mécanisme pour se planquer.

Cdt
JM


Plus d'informations sur la liste de diffusion linux