J'ai lu je ne sais plus où que ces vers installaient en général des root-kit. Certain de ces root-kit modifient suffisament le système pour rendre leur detection impossible sans booter sur un système propre. (en gros, booter sur une d7 et lancer une vérif de l'intégrité de ses exécutables)
Existe-t-il des projets qui automatise ce processus ?
J'aimerais pouvoir prendre une "empreinte" de mon système quand j'ai encore confiance en lui (juste après l'installe) avec une seule commande, puis n'avoir qu'à booter sur une d7 qui lance toute seule la vérification. Le but est de pouvoir faire la vérif rapidement pour réduire le temps d'indisponibilité de la machine...
En fait le top serait de ne pas avoir besoin de faire l'empreinte, mais que le système sache se demerder simplement avec les versions des packages utilisés... (Parceque les gens s'interesseront à se système le jour ou ils penseront avoir été victime d'une intrusion. Pas avant...)
Il y a la fonction md5 pour vérifier.
Tu ne peux RIEN stocker sur tes disques de façon sûre si tu as peur d'un rOOtkit.
Le moindre système standart serait une cible potentielle, il faut donc volontairement booter avec un média non reinscriptible sûr, de plus c'est TRES long de vérifier un système avec un MD5, il faut vérifier les */bin/*, les */lib/* et /etc/ (d'autres suggestions ? je fait ça de tête, j'ai pas été voir les docs).
Tu est obligé d'avoir l'empreinte (le hash), mais elle peut être donnée par le constructeur sur le CD d'install. Mais il fait tenir compte des patchs appliqués régulièrement (car tu es un fan de securityfocus.com comme nous tous 8-).
# adore
Posté par pappy (site web personnel) . Évalué à 1.
http://www.sans.org/y2k/adore.htm(...)
# verifier sa machine
Posté par Wawet76 (site web personnel) . Évalué à 1.
Existe-t-il des projets qui automatise ce processus ?
J'aimerais pouvoir prendre une "empreinte" de mon système quand j'ai encore confiance en lui (juste après l'installe) avec une seule commande, puis n'avoir qu'à booter sur une d7 qui lance toute seule la vérification. Le but est de pouvoir faire la vérif rapidement pour réduire le temps d'indisponibilité de la machine...
En fait le top serait de ne pas avoir besoin de faire l'empreinte, mais que le système sache se demerder simplement avec les versions des packages utilisés... (Parceque les gens s'interesseront à se système le jour ou ils penseront avoir été victime d'une intrusion. Pas avant...)
[^] # Re: verifier sa machine
Posté par Anonyme . Évalué à 0.
Tu ne peux RIEN stocker sur tes disques de façon sûre si tu as peur d'un rOOtkit.
Le moindre système standart serait une cible potentielle, il faut donc volontairement booter avec un média non reinscriptible sûr, de plus c'est TRES long de vérifier un système avec un MD5, il faut vérifier les */bin/*, les */lib/* et /etc/ (d'autres suggestions ? je fait ça de tête, j'ai pas été voir les docs).
Tu est obligé d'avoir l'empreinte (le hash), mais elle peut être donnée par le constructeur sur le CD d'install. Mais il fait tenir compte des patchs appliqués régulièrement (car tu es un fan de securityfocus.com comme nous tous 8-).
[^] # Re: verifier sa machine
Posté par cretin le . Évalué à 1.
http://www.tripwire.org/(...)
Description de Tripwire
http://www.tripwire.org/qanda/faq.php#1(...)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.