Re: [linux] rootkit???
2 process for readdir command: ca veut dire que les entry /proc pour ces process la n'existent pas, je pense et ps, meme affaire. Ca ne sens pas bon. De plus, la verirfication est faite via /dev/kmem directement dans l'espace memeoire du kernel, ca pourrait donc etre un vrais rootkit kernel du genre adore ou je ne sais kwa.Fodrait analyser la chose de haut en bas pour en etre vraiment certain. Si c'est pas trop complique, moi je reinstallerais. J. On Tue, Aug 17, 2004 at 06:13:39PM +0200, Alain EMPAIN wrote: > Beno?t Barbier wrote: > > >Salut la liste, > > > >Un chkrootkit me donne: > > > >--8<-- > > > >Checking `lkm'... You have 2 process hidden for readdir command > >You have 2 process hidden for ps command > >Warning: Possible LKM Trojan installed > > > > > >Est-ce que je dois m'inqui?ter ou pas? > >Comment v?rifier la pr?sence d'un mauvais module? > > > >Merci d'avance, > > > > > > > > > Et oui, cela existe... > Les ex?cutables les plus concern?s sont ceux qui devraient te servir > d'outil pour d?tecter une intrusion : ps, ls, find par exemple,dans > /bin et /sbin. > Ainsi, un 'ps' v?rol? semblera fonctionner convenablement mais ... > omettra de signaler les processus pirates, ou les directories > litigieuses (comme '/. ', avec un espace apr?s le point) ! > > Puisque cela risque d'?tre fait, tu pourrais comparer ces ex?cutables > avec ceux qui sont fournis par la distribution (compare avec une > installation fra?che sur un PC non connect?...). Pour ma part, > imm?diatement apr?s un install, j'effectue une sauvegarde de ces /bin, > /sbin, /usr/sbin et /usr/bin afin de les avoir sous la main en cas de doute. > Tu peux utiliser un KNOPPIX pour faire des 'find' incorrptibles. > > Mais si tu as fait des upgrades (YOU sous SuSE par ex.) tu risques > d'observer des diff?rences normales au niveau des ex?cutables. > > Pour la prochaine fois, en pr?vision, tu peux utiliser tripwire par ex. > mais je trouve cela quand m?me lourd. > > Je n'ai observ? qu'une seule intrusion, sur un NAS pr?configur? > 'tout-ouvert' qui a ?t? contamin? avant que je m'en occupe -- je n'avais > pas encore eu l'autorisation d'installer un firewall -> cela m'a servi > d'argument sensible pour l'obtenir ! > > >Bonne recherche. > >Alain > > > -- > > Dr Alain EMPAIN <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> > Bioinformatics, Molecular Genetics, > Fac. Med. Vet., University of Li?ge, Belgium > Bd de Colonster, B43 B-4000 Li?ge (Sart-Tilman) > WORK: +32 4 366 3821 FAX: +32 4 366 4122 > HOME: rue des Martyrs,7 B- 4550 Nandrin > +32 85 51 23 41 GSM: +32 497 70 17 64 > > "I worry about my child and the Internet all the time, even though she's > too young to have logged on yet. Here's what I worry about. I worry that > 10 or 15 years from now, she will come to me and say 'Daddy, where were > you when they took freedom of the press away from the Internet?'" > --Mike Godwin, Electronic Frontier Foundation > > > ___ > Linux Mailing List - http://www.unixtech.be > Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux > Archives: http://www.mail-archive.com/[EMAIL PROTECTED] > IRC: chat.unixtech.be:6667 - #unixtech -- -- -> Jean-Francois Dive --> [EMAIL PROTECTED] I think that God in creating Man somewhat overestimated his ability. -- Oscar Wilde ___ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech
[linux] une IP deux machines, deux VHosts Apaches
Bonjour à tous, Nous avons une IP et aimerions ajouter une machines pour un site (web) spécifique. ,, 'Internet' `' ! +--+---+ ! ! Machine A !! Machine B ! ! ! (adresse publique !! (192.168.0.10) ! +-> ! et connexion sous- !--> !http://b.server.com! ! réseau privé) !+---+ !http://www.server.com! +-+ Nous nous sommes dit que nous allions faire tourner ssh sur la machine A sur un autre port que le 22 (peu de personnes peuvent se connecter sur la machine A en ssh) et faire un forward du port 22 de la machine A vers la machine B (un NAT? je crois que c'est ça). Par contre, pour Apache, la plupart des sites virtuels sont sur la machine A sauf un ou deux sites qui sont sur la machine B. Comment configurer Apache pour que http://b.server.com atteigne bien la machine B? J'ai déjà essayer mod_rewrite mais j'ai dû m'en servir comme un pied car il réécrivait la nouvelle URL dans le navigateur!.. Ce qui ne va pas beaucoup m'aider dans ce cas-ci! Est-ce qu'on est dans le bon avec ssh? Est-ce qu'il y a un autre moyen? (est-ce qu'on pourrait faire la même chose qu'avec Apache avec ssh?) Est-ce que quelqu'un a une solution pour la configuration d'Apache? Merci pour vos lumières, -- Arnaud ___ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech
Re: [linux] une IP deux machines, deux VHosts Apaches
Dans ce cas de figure je suppose que la machine A est ton "firewall". Qu'est ce que tu utilises pour ton nat ? Au pif quelque chose de basé sur iptables. Dans ce cas il te suffit de créer une règle qui dit que par exemple tout ce qui arrive sur le port 81 de la machine a est natté (houlà pas français ça) vers le port 80 de la machine b. Dans apache sur la machine a il te suffit alors de créer un vhost pour chaque site de la machine b et d'écrire une petite page web qui fait une redirection automatique vers ton_ip_externe:81 -- [Alain Belkadi] Arnaud Vandyck said: > Bonjour à tous, > > Nous avons une IP et aimerions ajouter une machines pour un site (web) > spécifique. > > ,, > 'Internet' > `' > ! +--+---+ > ! ! Machine A !! Machine B ! > ! ! (adresse publique !! (192.168.0.10) ! > +-> ! et connexion sous- !--> !http://b.server.com! > ! réseau privé) !+---+ > !http://www.server.com! > +-+ > > > Nous nous sommes dit que nous allions faire tourner ssh sur la machine A > sur un autre port que le 22 (peu de personnes peuvent se connecter sur > la machine A en ssh) et faire un forward du port 22 de la machine A vers > la machine B (un NAT? je crois que c'est ça). > > Par contre, pour Apache, la plupart des sites virtuels sont sur la > machine A sauf un ou deux sites qui sont sur la machine B. > > Comment configurer Apache pour que http://b.server.com atteigne bien la > machine B? > > J'ai déjà essayer mod_rewrite mais j'ai dû m'en servir comme un pied car > il réécrivait la nouvelle URL dans le navigateur!.. Ce qui ne va pas > beaucoup m'aider dans ce cas-ci! > > Est-ce qu'on est dans le bon avec ssh? Est-ce qu'il y a un autre moyen? > (est-ce qu'on pourrait faire la même chose qu'avec Apache avec ssh?) > > Est-ce que quelqu'un a une solution pour la configuration d'Apache? > > Merci pour vos lumières, > > -- > Arnaud > > ___ > Linux Mailing List - http://www.unixtech.be > Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux > Archives: http://www.mail-archive.com/[EMAIL PROTECTED] > IRC: chat.unixtech.be:6667 - #unixtech > ___ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech
Re: [linux] une IP deux machines, deux VHosts Apaches
Hello, as-tu essayé d'utiliser le mod_proxy ? ten l'utilisant comme "reverse proxy" tu peux rediriger les requêtes en fonction du nom d'hôte ou de l'url ... j'ai utilisé cette config pour protéger un serveur msexchange (je ne sais pas pourquoi, mais je préfère avoir un serveur apache en frontend d'un serveur iis ?? ;)) ServerName webmail.domain.com ProxyPass /exchange http://webmail.domain.com/exchange ProxyPass /public http://webmail.domain.com/public ProxyPass /exchweb http://webmail.domain.com/exchweb ProxyPassReverse /exchange http://webmail.domain.com/exchange ProxyPassReverse /public http://webmail.domain.com/public ProxyPassReverse /exchweb http://webmail.domain.com/exchweb hth fred - Message d'origine - De: Arnaud Vandyck Date: Wed, 18 Aug 2004 16:39:45 +0200 Sujet: [linux] une IP deux machines, deux VHosts Apaches À: [EMAIL PROTECTED] >Bonjour à tous, > >Nous avons une IP et aimerions ajouter une machines pour un site (web) >spécifique. > > ,, > 'Internet' > `' > ! +--+---+ > ! ! Machine A !! Machine B ! > ! ! (adresse publique !! (192.168.0.10) ! > +-> ! et connexion sous- !--> !http://b.server.com! > ! réseau privé) !+---+ > !http://www.server.com! > +-+ > > >Nous nous sommes dit que nous allions faire tourner ssh sur la machine A >sur un autre port que le 22 (peu de personnes peuvent se connecter sur >la machine A en ssh) et faire un forward du port 22 de la machine A vers >la machine B (un NAT? je crois que c'est ça). > >Par contre, pour Apache, la plupart des sites virtuels sont sur la >machine A sauf un ou deux sites qui sont sur la machine B. > >Comment configurer Apache pour que http://b.server.com atteigne bien la >machine B? > >J'ai déjà essayer mod_rewrite mais j'ai dû m'en servir comme un pied car >il réécrivait la nouvelle URL dans le navigateur!.. Ce qui ne va pas >beaucoup m'aider dans ce cas-ci! > >Est-ce qu'on est dans le bon avec ssh? Est-ce qu'il y a un autre moyen? >(est-ce qu'on pourrait faire la même chose qu'avec Apache avec ssh?) > >Est-ce que quelqu'un a une solution pour la configuration d'Apache? > >Merci pour vos lumières, > >-- >Arnaud > >___ >Linux Mailing List - http://www.unixtech.be >Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux >Archives: http://www.mail-archive.com/[EMAIL PROTECTED] >IRC: chat.unixtech.be:6667 - #unixtech > > ___ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech
Re: [linux] une IP deux machines, deux VHosts Apaches
fred badel <[EMAIL PROTECTED]> writes: > Hello, > > as-tu essayé d'utiliser le mod_proxy ? Non. > ten l'utilisant comme "reverse proxy" tu peux rediriger les requêtes > en fonction du nom d'hôte ou de l'url ... > > j'ai utilisé cette config pour protéger un serveur msexchange (je ne > sais pas pourquoi, mais je préfère avoir un serveur apache en frontend > d'un serveur iis ?? ;)) > > > ServerName webmail.domain.com > ProxyPass /exchange http://webmail.domain.com/exchange > ProxyPass /public http://webmail.domain.com/public > ProxyPass /exchweb http://webmail.domain.com/exchweb > ProxyPassReverse /exchange http://webmail.domain.com/exchange > ProxyPassReverse /public http://webmail.domain.com/public > ProxyPassReverse /exchweb http://webmail.domain.com/exchweb > C'est très tentant, merci beaucoup, je vais essayer ça. -- Arnaud Vandyck http://fosdem.org/ Free and Open Source Software Developers' Meeting February 26-27 2005, Bruxelles, Belgium ___ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech
Re: [linux] une IP deux machines, deux VHosts Apaches
"Alain Belkadi" <[EMAIL PROTECTED]> writes: > Dans ce cas de figure je suppose que la machine A est ton "firewall". Oui. > Qu'est ce que tu utilises pour ton nat ? Au pif quelque chose de basé sur > iptables. Oui. > Dans ce cas il te suffit de créer une règle qui dit que par exemple tout > ce qui arrive sur le port 81 de la machine a est natté (houlà pas français > ça) vers le port 80 de la machine b. Je ne le sens pas, ça va faire des urls pas très belles ;-) Merci quand même. -- Arnaud Vandyck http://fosdem.org/ Free and Open Source Software Developers' Meeting February 26-27 2005, Bruxelles, Belgium ___ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech
[linux] témoin de connection
bonjour, jusqu'à hier, j'utilisais PPPoe pour ma connection ADSL avec la SuSE 9.0. Ma connection se faisait à la demande (pas de DHCP) et une petite icône bien visible dans la barre des tâches m'indiquait si j'étais connecté ou non. Et puis mon fils, Rémi, après avoir résolu son problème de connection Wifi à l'ULg, a voulu profiter de cette facilité à domicile et a acheté un routeur D-Link DI-624+ qu'on a réussi à installé après avoir compris qu'il ne fallait pas suivre les indications du manuel mais plutôt celles du CD fourni. Donc son portable se connecte sans problème et c'est assez "magique". Mais pour ma machine de bureau, puisque la connection du modem vers internet est établie par le routeur, je n'ai plus ce témoin de Kinternet qui m'indiquait que la connection était effective. 1ère question : y a-t-il quand même un moyen de visualiser l'état ON/OFF de la connection sans devoir accéder au soft du routeur via un navigateur ??? 2ème question : existe-t-il un soft ou un script qui me permettrait de donner l'ordre au routeur de couper et/ou de rétablir la connection à internet sans devoir accéder au soft du routeur via un navigateur ??? 3ème question : quel niveau de sécurité peut-on attendre du firewall intégré par rapport à celui de la SuSE, tous 2 en configuration de base ??? Merci d'avance, Jean-Marie Lambert ___ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech
Re: [linux] une IP deux machines, deux VHosts Apaches
Arnaud Vandyck said: >> Dans ce cas il te suffit de créer une règle qui dit que par exemple tout >> ce qui arrive sur le port 81 de la machine a est natté (houlà pas >> français >> ça) vers le port 80 de la machine b. > > Je ne le sens pas, ça va faire des urls pas très belles ;-) Ah oui mais non hein t'as demandé quelque chose qui fonctionne, si en plus faut que ce soit beau ... tu veux pas que ce soit user friendly aussi ? ;-) -- [Alain Belkadi] ___ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech
Re: [linux] témoin de connection
Tu as toujours la possibilité de n'utiliser ton "routeur wifi" que comme un access point ... ça donnerait : pc en wifi --- ondes radio --- "routeur wifi" === cable rj45 === switch === pc connecté au net. -- [Alain Belkadi] Jean-Marie Lambert said: > bonjour, > > jusqu'à hier, j'utilisais PPPoe pour ma connection ADSL avec la > SuSE 9.0. Ma connection se faisait à la demande (pas de DHCP) > et une petite icône bien visible dans la barre des tâches m'indiquait > si j'étais connecté ou non. > Et puis mon fils, Rémi, après avoir résolu son problème de connection > Wifi à l'ULg, a voulu profiter de cette facilité à domicile et a acheté un > routeur D-Link DI-624+ qu'on a réussi à installé après avoir compris qu'il > ne > fallait pas suivre les indications du manuel mais plutôt celles du CD > fourni. > Donc son portable se connecte sans problème et c'est assez "magique". > Mais pour ma machine de bureau, puisque la connection du modem vers > internet > est établie par le routeur, je n'ai plus ce témoin de Kinternet qui > m'indiquait que la connection était effective. > > 1ère question : y a-t-il quand même un moyen de visualiser l'état ON/OFF > de la > connection sans devoir accéder au soft du routeur via un navigateur ??? > > 2ème question : existe-t-il un soft ou un script qui me permettrait de > donner > l'ordre au routeur de couper et/ou de rétablir la connection à internet > sans > devoir accéder au soft du routeur via un navigateur ??? > > 3ème question : quel niveau de sécurité peut-on attendre du firewall > intégré > par rapport à celui de la SuSE, tous 2 en configuration de base ??? > > Merci d'avance, > > Jean-Marie Lambert > > > ___ > Linux Mailing List - http://www.unixtech.be > Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux > Archives: http://www.mail-archive.com/[EMAIL PROTECTED] > IRC: chat.unixtech.be:6667 - #unixtech > ___ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech
