[Toulibre] serveur web compromis

[Vincent Besse]

On Fri, 20 Mar 2009 10:21:00 +0100
"Geoffroy Youri B." <mxondebian at free.fr> wrote:
> 
> Comment as tu bouché le trou ?
> 
> Si tu ne l'as pas déjà fait je te conseille de fermé l'accès ssh pour root.

J' ai effectivement mis PermitRootLogin à no et changé mes mots de
passe.

> J'ai aussi un dédié sous Lenny attaqué assez régulièrement (fail2ban fait son
> travail). Si tu découvres plus d'information sur la faille exploitée, je suis
> curieux de savoir.

Ben...je sais pas trop comment la chercher, la faille en question...
Est-il possible avec des droits utilisateurs d' installer un keylogger?
Quelqu' un peut-il me dire quel(s) outil(s) sont efficaces pour
chercher se genre de truc? J' ai chkrootkit d' installé sur la bécane
mais de trois choses l' une: ou il n' y rien, ou chkrootkit ne l' a pas
vu, ou j' ai pas vu qu' il l' avait vu. Je ferais bien un test croisé
avec un autre outil.

Le temps de mettre au frais ce que j' ai à récupérer, d 'essayer de
remonter ce que j' arrive à remonter comme piste et je me prévois un
dimanche soir de réinstallation :(
Si je trouve qquechse je ferai savoir.

En attendant merci à tous et bon W.E.

Vincent