[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [linux] redémarrage eth0



-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Voilà la réponse que je cherchais. Maintenant JeF comprends-tu mieux pourquoi 
je veux pouvoir couper et redémarrer eth0 à ma guise.
J'ai fais l'objet de scanport pendant 1 1/2 mois sur le port 1015 (qui est 
utilisé pour instaaler un troyan).
Heureusement PortSentry fonctionne à merveille :o)

Déjà que je suis allergique aux cookies du web, alors tu penses des troyans 
et autres crasses....

Marc

Le Vendredi  9 Novembre 2001 08:39, vous avez écrit :
> On Thursday 08 November 2001 22:57, you wrote:
> > oui, mais ca ne changera rien quand au scan que tu recois ... comprends
> > pas trop pourkwa les gens sont tout effrayes par les scanports ...
>
> Quand tu auras un rootkit installé sur ta machine, et qu'elle servira de
> plateforme pour scanner ton réseau, attraper les passwords qui défilent en
> clair (pop3, telnet...), attaquer d'autres réseaux n'importe où dans le
> monde ...
> J'ai eu le cas avec un serveur de fichiers qui a été livré avec un RedHat
> pré installé (c-à-d 'bien ouvert', je m'en suis rendu compte trop tard)
> sous la forme d'un cube à brancher au réseau. J'avais eu le tort de faire
> confiance par défaut à une installation 'pro' que je n'avais pas réalisée
> moi-m^eme. J'ai commencé par supprimer la route par défaut pour que les
> paquets ne trouvent plus internet, et j'ai observé ce qui se passait
> (attention, ps était un des programmes trafiqués et ne montrait pas de
> process suspect, mais par ex. d'une autre machine je pouvais suivre le
> trafic de paquets; j'ai réinstallé les programmes comme ps, top... sans
> toucher au reste, pour pouvoir observer plus facilement; les rootkits qui
> s'intègrent au kernel sont encore bien plus difficiles à observer car je
> crois qu'un 'ps' sain n'aurait quand m^eme pas la bonne info).
>
> Puis j'ai sué pour localiser ce qui était installé (au dessus d'une
> directory nommée '.. '  : lire 'point point espace')
>
> Le grand nombre de scans proviennent sans doute des nombreuses machines
> contaminées, qui scannent allègrement au hasard pour le bénéfice de
> l'initiateur qui peut passer plus tard par un backdoor récolter les infos
> intéressantes.
>
> Que dirais-tu si tu recevais une perquisition venant de plaintes comme quoi
> tu attaques un réseau sensible (les IP des scans sont tirés au sort : les
> cyber lois sont en cours de développement ou déjà d'application...), ou
> bien si on découvrait un site pédophile installé 'à l'insu de ton plein
> gré' sur ta brave machine, ou si tu participais sans le savoir au crash
> complet d'internet par attaque concertée de milliers de machines sur les
> DNS principaux (complice des Talibans ?).
> Ce n'est plus vraiment un jeu anodin.
>
> >vous ne pouvez de toute facon rien faire pour les empecher.
>
> Les emp^echer non (sauf si tu installes un firewall en amont), mais tu dois
> agir au niveau de ta machine.
> Visite ton /etc/inetd.conf pour virer TOUT ce que tu n'utilises pas (en
> particulier toutes les 'r' commandes (rcp, rsh...) et telnet, installe des
> règles de filtrage (par ex. le personal firewall de SuSE, très simple
> puisqu'il bloque tout service vers l'extérieur) etc.
> Voir les howto.
>
> Je crois qu'il y va de notre sécurité à tous de prendre ces attaques au
> sérieux. On a déjà demandé aux utilisateurs négligeants de serveurs IIS
> etc. de sécuriser leurs serveurs ou de les débrancher : il serait malsain
> de se laisser placer dans le m^eme sac !
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.4 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE77BARRwOtPf8WOOIRArZ4AJwMxqE5yM67oZv1Comyv1SuAIz1hwCgr23Q
L9oPiCCf1YmhEgr5H4Nq4cg=
=zSCD
-----END PGP SIGNATURE-----

[ Soyez précis dans vos sujets svp afin de déterminer directement  ]
[ le type de demande...                                            ]
[ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php     ]
[ Archives de la mailing list: http://archives.unixtech.be/linux/  ]
[ http://unixtech.be              Contact: listmaster@unixtech.be  ]