Bonjour, Les traces de compromission sont souvent difficile à identifier de façon certaine.
Les indices classiques sont ( IMHO) : - trafic réseau anormale par exemple des traces DNS/proxy montre que tu fais soudain 100 fois plus d'appel au site warez0porn.com que tu ne connaissais pas ou de activité réseau important à 3-4 heure du matin qui ne sont pas programmé (souvent du au différence de fuseau horaire ;-) - modification anormale d'espace disque Il manque 1 ou 2 Go à ton disque parce qu'il est utilisé pour faire un site de fishing. - changement de "patern" dans tes log Les 250 tentative de brute-force ont disparus ou il y a plusieurs requête HTTP bizarre (avec du SQL) il manque des trace des activités entre 02 et 03 AM... Mais, il y a plus souvent de faux positif que de réel compromission. Il devient ici primordiale d'objectivé tes constats (en notant le numéro du PID en question sur un papier, en vérifiant l'historique des installations et en faisant participer un tiers à tes constats,...), parcequ'il est facile de ce monter la tête à partir d'une erreur d'inattention. M2ç
_________________________________ Linux mailing list [email protected] http://lists.parinux.org/mailman/listinfo/linux
