On Wed, 7 Nov 2001 22:17:19 +0100 Laurent COOPER <[EMAIL PROTECTED]> wrote:
> Nessus me dit que j'ai Trin00 qui est installé sur ma machine et que cela > permet de faire des attaques DDoS en utilisant ma machine. Vérifies avec find_ddos que tu peux trouver sur www.nipc.gov, je pense que Nessus suppose qu'il y a trinoo parce que ta machine écoute sur un port particulier (dans les 27000, tu peux confirmer avec nmap lancé depuis une autre machine). find_ddos n'utilise pas de librarie externe mais il peut se faire blouser par un kernel modifié ou un module chargé. > Comment je peux faire pour virer ce truc? Nessus me dit de restaurer à partir > de backup, je n'en ai point... La solution la plus sûre est de tout réinstaller, tu peux le faire assez rapidement en installant une version minimale sur une autre partition, mettre à jour les packages à partir de ton ancienne machine avec "dpkg --get/set-selections". Si tu a confiance en toi, tu peux aussi récupérer des binaires sur une machine sûre (idéalement une install minimale de debian sur une autre partition), et remplacer les programmes de ta machine (sans booter sur cette partition, le plus simple c'est avec une distribution sur un floppy comme tom..., tu sais le truc imprononçable) qui sont utilisés dans les rootkits (ls,ps,top,tcpdump,lsof,ifconfig,lsmod,cat ...), md5sums peut t'aider. Il faut que tu te renseignes sur ce que fait trinoo (il y a un doc trinoo.analysis par ailleurs intéressant à lire, les sources ne circulent pas) pour savoir les modifs qu'il applique. Mais bon je te conseilles quand même de partir d'une nouvelle install et de recopier les données, en faisant attention si tu recopies des fichiers de configuration, notamment les scripts lancés au démarrage. Alain