Bonjour,
Je viens de finir d'installer une distribution RedHat 4.7.
Mon fournisseur d'accès me signale que j'ai des accès IRC sur le port 22. Ce serait à cause d'un bot, et ma machine se serait fait hacker.
Cela me parait bizarre car je viens d'installer la machine avec ses logiciels.
Est ce quelqu'un peut me donner un avis là dessus.
Merci
Forum Linux.redhat IRC sur le port 22
24
nov.
2008
# IRC ?
Posté par Charles-Hubert MOINDRON . Évalué à 2.
# Pour m'être fait piraté
Posté par Infernal Quack (site web personnel) . Évalué à 1.
L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire
[^] # Re: Pour m'être fait piraté
Posté par dubis . Évalué à 1.
Qui m'a donné ce qui suit :
[]# netstat -an | grep ".*:22"
tcp 0 0 :::22 :::* LISTEN
tcp 0 48 ::ffff:XXX.XXX.XXX.XXX:22 ::ffff:XXX.XXX.XXX.XXX:49934 ESTABLISHED
J'ai remplacé les adresse IP par des XXX.
JE ne vois que 2 connexions la mienne et le démon sshd qui écoute.
Y a t-il une manière d'approfondir la commande ?
[^] # aucune confiance
Posté par castorpilot . Évalué à 2.
tu ne peux faire aucune confiance en netstat et autre.
Tu ne peux meme plus avoir confiance en ton noyau.
Le seul moyen de savoir quelle connexion existe est
donc d'utiliser un autre ordinateur et de sniffer le reseau.
[^] # Re: aucune confiance
Posté par dubis . Évalué à 1.
N'y a t-il pas un moyen de trouver l'application de ce piratage ?
Apparemment, il faudrait tout formater et reinstaller. Action que j'aimerais faire en dernier recour....
[^] # Re: aucune confiance
Posté par Jack DeNoumea (site web personnel) . Évalué à 1.
A partir du moment ou la machine piratée a un de ses programmes qui tourne, tu ne peux te fier a rien. Il se peut que le pirate ait modifier soit le noyau, soit init (ou autre) et de fait intercepte toutes les commandes pour renvoyer des messages qui disent que ta machine est normale....
# rkhunter ou chkrootkit
Posté par solsTiCe (site web personnel) . Évalué à 2.
mais essaye de voir si rkhunter ou chkrootkit retourne qqch.
ça prouvera pas grand-chose s'ils ne détectent rien, mais peut-être qqch s'ils trouvent qqch
[^] # Re: rkhunter ou chkrootkit
Posté par dubis . Évalué à 1.
-bash: rkhunter: command not found
[root@]# chkrootki
-bash: chkrootki: command not found
[root@]#
[root@]# locate rkhunter
[root@]# locate chkrootki
[root@]#
Je me suis mit sur nessus ... Ne trouvant pa smieux pour l'instant.
Existe t-il des anti spy ware ?
[^] # Re: rkhunter ou chkrootkit
Posté par Henry-Nicolas Tourneur (site web personnel) . Évalué à 2.
Bien sur c'est intéressant mais ça ne te dira pas si ta machine est compromise.
Si tu n'as pas rkhunter et chkrootkit c'est surement parce-que tu doit les installer.
Le mieux est effectivement de booter depuis un livecd et puis d'analyser la machine avec ce genre d'outil. Tu as en [0] un livecd de forensic utilisé par la police fédérale Belge.
Pour les spyware je sais pas, à ma connaissance le but des logiciels malveillants sous Linux est plutôt d'aider à prendre le contrôle (optique prise de contrôle serveur) donc ce sont plus des rootkit. Spyware pour moi c'est un truc qui s'applique aux postes clients Microsoft.
[0] http://www.lnx4n6.be/index.php?sec=Documentation&page=bo(...)
[^] # Re: rkhunter ou chkrootkit
Posté par solsTiCe (site web personnel) . Évalué à 1.
faut les installer. soit à partir des sources soit un paquet mais bon. si ta liste de serveur est comprise aussi ;-)
le mieux c'est les sources téléchargées depuis le site officiel. chkrootkit s'utilise depuis le répertoire des sources pas besoin de l'installer. pour rkhunter je sais plus.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.