[Linux] Alertes pare-feu

François DREYFUERST francois.dreyfuerst@::1
Mer 24 Nov 15:49:51 CET 2010


Mehdi AMINI a écrit :
> Salut,
>>
>> Non, c'est du http ; je l'ai viré de mon sources.list, évidemment. De 
>> plus, j'ai volontairement, pare-feu bloqué, attendu 5 bonnes minutes 
>> sans activité Internet : mon modem-routeur est configuré pour se 
>> déconnecter automatiquement au bout de 5 minutes, pour se reconnecter 
>> au Net à la prochaine requête ; autrement dit, j'ai en principe une 
>> nouvelle adresse IP publique entre-temps.
>>
>
>
> D'un point de vue technique si un dépot à qui tu fais confiance est 
> piraté, ET que le pirate à la clé privée qui permet de signer les 
> paquets, alors tu as installé ce que le pirate voulait. La liste de ce 
> qu'installe un paquet est contenue dans le paquet lui même, et les 
> derniers paquets que tu as installés sont dans 
> /var/cache/apt/archives/ ; si le pirate ne les as pas remplacé ;-)
> De tte façon une fois un système infectés il est quasi-impossible 
> d'être certains qu'il ne le soit pas, à moins d'avoir utilisé des 
> outils préventif type tripwire.
>
> Mais si c'était le cas, je vois difficilement en quoi tu aurais une 
> alerte du pare-feu ??
>
> Bref, çe me semble être plus proche de la parano qu'autre chose, et à 
> 99% ton alerte pare-feu est un faux positif, les 1% restant étant 
> réparti entre 0.99999...999% de chance que ce soit un scan quelconque 
> et 0.000000.....01% que le serveur de mise à jour ait vraiment cherché 
> à te pirater directement.
>
> Si tu veux en savoir plus il faudrait savoir plus précisément ce qu'à 
> détecté le pare-feu...
>
>
> Mehdi
>
Merci pour vos réponses. Entre-temps, Patrick Hoffmann a accepté de me 
répondre au téléphone, et m'a entre autres fait faire un test netstat. À 
ce que je lui ai décrit, rien ne lui semble suspect. Il penche aussi 
pour un faux positif.

Je précise que le téléchargement ne se faisait pas sur ce serveur mais 
sur des serveurs Debian standard ; ce serveur-là n'avait été sollicité 
que pour vérification des versions de paquets, pas plus.

FD, qui préfère passer pour parano qu'avoir une bécane corrompue ...


Plus d'informations sur la liste de diffusion linux