[Linux] Alertes pare-feu

Mehdi AMINI joker.eph@::1
Mer 24 Nov 15:18:58 CET 2010


Salut,
>
> Non, c'est du http ; je l'ai viré de mon sources.list, évidemment. De 
> plus, j'ai volontairement, pare-feu bloqué, attendu 5 bonnes minutes 
> sans activité Internet : mon modem-routeur est configuré pour se 
> déconnecter automatiquement au bout de 5 minutes, pour se reconnecter 
> au Net à la prochaine requête ; autrement dit, j'ai en principe une 
> nouvelle adresse IP publique entre-temps.
>


D'un point de vue technique si un dépot à qui tu fais confiance est 
piraté, ET que le pirate à la clé privée qui permet de signer les 
paquets, alors tu as installé ce que le pirate voulait. La liste de ce 
qu'installe un paquet est contenue dans le paquet lui même, et les 
derniers paquets que tu as installés sont dans /var/cache/apt/archives/ 
; si le pirate ne les as pas remplacé ;-)
De tte façon une fois un système infectés il est quasi-impossible d'être 
certains qu'il ne le soit pas, à moins d'avoir utilisé des outils 
préventif type tripwire.

Mais si c'était le cas, je vois difficilement en quoi tu aurais une 
alerte du pare-feu ??

Bref, çe me semble être plus proche de la parano qu'autre chose, et à 
99% ton alerte pare-feu est un faux positif, les 1% restant étant 
réparti entre 0.99999...999% de chance que ce soit un scan quelconque et 
0.000000.....01% que le serveur de mise à jour ait vraiment cherché à te 
pirater directement.

Si tu veux en savoir plus il faudrait savoir plus précisément ce qu'à 
détecté le pare-feu...


Mehdi



Plus d'informations sur la liste de diffusion linux