Bonjour
je suis infecté depuis 2 jeur par un troyan pscan2
qui lance une commande./ssh-scan
donc en gro ma becanne sert de paserelle a un hacker
et j'ai deja eu des réclamation , entre autre Free.fr qui m'a appeler pour me demander si ct moi qui avait intentionnellement fait un brute forcce SSH sur une de leur becanne et il m'on menacer de poursuivre l'affaire devant les tribunaux
Donc est ce que quelqun pourai me dire:
- comment virer ce troyan de ma becane
- comment trouver la faille dans mon system
- comment utiliser les log afin de féfinire comment le mec s'est introduit sur ma becane
-comment localiser les fichiers du troyan
Et si vous connaiser le nom d'unbonne anti virus sous linux sa m'interesse.
Merci de votre aide.
Forum Linux.debian/ubuntu Troyan pscan2
12
sept.
2005
# Juste une piste...
Posté par tuxyl . Évalué à 3.
Ca pourra peut etre donner une ou deux indications...
# Premièrement...
Posté par Hojo . Évalué à 4.
- Ensuite pour identifier les fichiers :
1. Vérifier les crontabs, avec de la chance il y aura la ligne contenant le chemin du binaire
2. Utiliser Rootkithunter, avec de la malchance c'est tout un rootkit qui est en place (donc plus dur à nettoyer)
- Pour ne plus que cela arrive... déjà il faut mettre son système à jour. Ensuite cela dépend de tes besoins en matière d'accessibilité extérieure à ton système.
# méthode
Posté par slack . Évalué à 2.
2. Tu étudies les journaux système.
3. Tu nettoies le système : le mieux est de
- sauvegarder tes données
- formater ta (tes) partition(s)
- réinstaller un système sain et tes données.
Comment le hacker est-il arrivé sur ta machine ? Il est urgent de boucher les trous (pare-feu ...) !
Slack
[^] # Re: méthode
Posté par Calim' Héros (site web personnel) . Évalué à 2.
Un "netstat -lapute" te donnera les connection de ta machine et les ports en écoute. Apres a toi de voir dans tes fichiers de conf comment réglé ca.
[^] # Re: méthode
Posté par Gniarf . Évalué à 3.
# complements
Posté par slack . Évalué à 2.
>Et si vous connaiser le nom d'unbonne anti virus sous linux sa m'interesse.
Tu n'as pas besoin d'anti virus sous linux.
Pour éviter les problèmes, met tout d'abord ton système à jour. Ensuite, utilise la politique de sécurité suivante : tout est interdit sauf ce qui est utile et qui est explicitement autorisé.
Laisse les antivirus aux systèmes mal conçus qui ne peuvent pas être mis à jour correctement.
>Donc est ce que quelqun pourai me dire:
>- comment virer ce troyan de ma becane
>- comment trouver la faille dans mon system
>- comment utiliser les log afin de féfinire comment le mec s'est introduit sur ma >becane
>-comment localiser les fichiers du troyan
Les commandes suivantes (en root) peuvent t'aider :
less /var/log/syslog
less /var/log:messages
last | less
ac
sa
Pour les deux dernières commandes, consulte leurs pages de manuel.
Cherche tout ce qui est inhabituel.
Les fichiers de log peuvent contenir aucune trace : il existe des outils pour les effacer. Si un rootkit est installé, certains commandes peuvent avoir été modifiées et cacher les activités illégales. Tu ne peux plus avoir confiance dans ton système. Dans ce cas, il faut étudier ton disque dur à partir d'un système sain.
Quels services sont accessibles à partir d'internet ?
Consulte le site web de ta distribution : quelles sont les alertes de sécurités et les logiciels à mettre à jour ?
Slack
P.S. Quel distribution utilises-tu ? Comment-est-elle configurée ?
[^] # Re: complements
Posté par Romain Be. . Évalué à 0.
Alors comment expliques-tu qu'il existe des AV pour linux??
Il faut pas être prétentieux, linux comme tout système est faillible, la seule différence avec un système windows c'est que ce ne sont pas les mêmes attaques que l'on subit, ni la même quantité.
Quand a ta politique, elle est marcherait si tous les services ouverts étaient infaillibles, ce qui n'est jamais le cas surtout si on considère que toutes les failles ne sont pas publiées - loin de la.
Bref, linux c'est plus sur mais faut pas non plus dire nimp, il y a des failles..
Romain
[^] # Re: complements
Posté par slack . Évalué à 2.
Première nuance : Clamav détecte dans des fichiers des virus destinés à windows et il fonctionne sur de multiples systèmes dont gnu/linux . Si tu as un contre exemple, fais suivre SVP.
> linux comme tout système est faillible
D'accord mais ces deux systèmes ne le sont pas dans la même proportion : les machine sous windows ont beaucoup plus de problèmes que celles sous gnu/linux, BSD ou MacOS X.
>Quand a ta politique, elle est marcherait si tous les services ouverts étaient infaillibles
1. Aucun service n'est infaillible, d'accord.
2. Ne pas se limiter à cette politique mais marcher sur ses deux jambes :
- mises à jours (pour boucher les failles)
- tout est interdit sauf ce qui est utile et qui est explicitement autorisé (pour limiter le nombre de failles possibles).
3. Ne pas croire que seuls les services ouverts sont dangereux. Le ping de la mort en est un exemple.
>toutes les failles ne sont pas publiées - loin de la.
As-tu des preuves ? Il y a assez de failles quasi-inexploitables publiées et assez de mises à jour pour ne pas en rajouter.
>Bref, linux c'est plus sur mais faut pas non plus dire nimp, il y a des failles..
Alors autant limiter les risques.
Slack
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.