Forum Linux.debian/ubuntu Troyan pscan2

Posté par  .
Étiquettes : aucune
0
12
sept.
2005
Bonjour

je suis infecté depuis 2 jeur par un troyan pscan2
qui lance une commande./ssh-scan
donc en gro ma becanne sert de paserelle a un hacker
et j'ai deja eu des réclamation , entre autre Free.fr qui m'a appeler pour me demander si ct moi qui avait intentionnellement fait un brute forcce SSH sur une de leur becanne et il m'on menacer de poursuivre l'affaire devant les tribunaux

Donc est ce que quelqun pourai me dire:
- comment virer ce troyan de ma becane
- comment trouver la faille dans mon system
- comment utiliser les log afin de féfinire comment le mec s'est introduit sur ma becane
-comment localiser les fichiers du troyan

Et si vous connaiser le nom d'unbonne anti virus sous linux sa m'interesse.

Merci de votre aide.
  • # Juste une piste...

    Posté par  . Évalué à 3.

    apt-get install tiger

    Ca pourra peut etre donner une ou deux indications...
  • # Premièrement...

    Posté par  . Évalué à 4.

    Un petit tour sur Google me donne ça http://vil.nai.com/vil/content/v_130469.htm(...) .


    The following package files were encountered:

    * pscan2 , ELF binary file, 21407 bytes
    * ss , ELF binary file, 453972 bytes
    * sshf , ELF binary file, 842424 bytes
    * assh , asci shell file , 605 bytes
    * auto , asci shell file , 206 bytes
    * go , asci shell file , 85 bytes



    - Ensuite pour identifier les fichiers :

    1. Vérifier les crontabs, avec de la chance il y aura la ligne contenant le chemin du binaire

    2. Utiliser Rootkithunter, avec de la malchance c'est tout un rootkit qui est en place (donc plus dur à nettoyer)

    - Pour ne plus que cela arrive... déjà il faut mettre son système à jour. Ensuite cela dépend de tes besoins en matière d'accessibilité extérieure à ton système.
  • # méthode

    Posté par  . Évalué à 2.

    1. Tu déconnectes ma machine d'intenet.
    2. Tu étudies les journaux système.
    3. Tu nettoies le système : le mieux est de
    - sauvegarder tes données
    - formater ta (tes) partition(s)
    - réinstaller un système sain et tes données.

    Comment le hacker est-il arrivé sur ta machine ? Il est urgent de boucher les trous (pare-feu ...) !

    Slack
    • [^] # Re: méthode

      Posté par  (site web personnel) . Évalué à 2.

      Avant de faire joujou avec un firewall il faut deja fermer les services inutiles.

      Un "netstat -lapute" te donnera les connection de ta machine et les ports en écoute. Apres a toi de voir dans tes fichiers de conf comment réglé ca.
      • [^] # Re: méthode

        Posté par  . Évalué à 3.

        netstat peut très bien avoir été remplacé au passage
  • # complements

    Posté par  . Évalué à 2.

    Thomas
    >Et si vous connaiser le nom d'unbonne anti virus sous linux sa m'interesse.
    Tu n'as pas besoin d'anti virus sous linux.
    Pour éviter les problèmes, met tout d'abord ton système à jour. Ensuite, utilise la politique de sécurité suivante : tout est interdit sauf ce qui est utile et qui est explicitement autorisé.
    Laisse les antivirus aux systèmes mal conçus qui ne peuvent pas être mis à jour correctement.

    >Donc est ce que quelqun pourai me dire:
    >- comment virer ce troyan de ma becane
    >- comment trouver la faille dans mon system
    >- comment utiliser les log afin de féfinire comment le mec s'est introduit sur ma >becane
    >-comment localiser les fichiers du troyan

    Les commandes suivantes (en root) peuvent t'aider :
    less /var/log/syslog
    less /var/log:messages
    last | less
    ac
    sa
    Pour les deux dernières commandes, consulte leurs pages de manuel.
    Cherche tout ce qui est inhabituel.
    Les fichiers de log peuvent contenir aucune trace : il existe des outils pour les effacer. Si un rootkit est installé, certains commandes peuvent avoir été modifiées et cacher les activités illégales. Tu ne peux plus avoir confiance dans ton système. Dans ce cas, il faut étudier ton disque dur à partir d'un système sain.

    Quels services sont accessibles à partir d'internet ?
    Consulte le site web de ta distribution : quelles sont les alertes de sécurités et les logiciels à mettre à jour ?

    Slack

    P.S. Quel distribution utilises-tu ? Comment-est-elle configurée ?
    • [^] # Re: complements

      Posté par  . Évalué à 0.

      Tu n'as pas besoin d'anti virus sous linux.
      (...)
      Laisse les antivirus aux systèmes mal conçus qui ne peuvent pas être mis à jour correctement.

      Alors comment expliques-tu qu'il existe des AV pour linux??

      Package: clamav
      (...)
      Description: antivirus scanner for Unix
      A GPL'ed virus scanner featuring:
      * scanning into multiple archives (such as .deb and .tar.gz)
      * mutated Aho-Corasic algorithm (very fast scanning)
      * multi-threading, autodetecting the number of CPU's
      * POSIX compliance


      Il faut pas être prétentieux, linux comme tout système est faillible, la seule différence avec un système windows c'est que ce ne sont pas les mêmes attaques que l'on subit, ni la même quantité.
      Quand a ta politique, elle est marcherait si tous les services ouverts étaient infaillibles, ce qui n'est jamais le cas surtout si on considère que toutes les failles ne sont pas publiées - loin de la.

      Bref, linux c'est plus sur mais faut pas non plus dire nimp, il y a des failles..

      Romain
      • [^] # Re: complements

        Posté par  . Évalué à 2.

        Romain

        Première nuance : Clamav détecte dans des fichiers des virus destinés à windows et il fonctionne sur de multiples systèmes dont gnu/linux . Si tu as un contre exemple, fais suivre SVP.

        > linux comme tout système est faillible
        D'accord mais ces deux systèmes ne le sont pas dans la même proportion : les machine sous windows ont beaucoup plus de problèmes que celles sous gnu/linux, BSD ou MacOS X.

        >Quand a ta politique, elle est marcherait si tous les services ouverts étaient infaillibles
        1. Aucun service n'est infaillible, d'accord.
        2. Ne pas se limiter à cette politique mais marcher sur ses deux jambes :
        - mises à jours (pour boucher les failles)
        - tout est interdit sauf ce qui est utile et qui est explicitement autorisé (pour limiter le nombre de failles possibles).
        3. Ne pas croire que seuls les services ouverts sont dangereux. Le ping de la mort en est un exemple.

        >toutes les failles ne sont pas publiées - loin de la.
        As-tu des preuves ? Il y a assez de failles quasi-inexploitables publiées et assez de mises à jour pour ne pas en rajouter.

        >Bref, linux c'est plus sur mais faut pas non plus dire nimp, il y a des failles..
        Alors autant limiter les risques.

        Slack

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.