qui a des bons reflexes à adopter quand on
observe une compromission de la machine.
genre back door xntps ou adore  
 
bref, ça serais bien de se communiquer nos astuces
de root-webm@ster.
 
1) toujours tenir ses rpm a jour des failles (ça c'est sur).  
2) utiliser webmin pour l'administration, c'est bien car on voit beaucoup
de chose assez facilement.
3) faire des sauvegardes regulières
 
mais une fois que c'est arrivé, que faites vous en général??
ou chercher??
 
- pour commencer, j'ai regardé les fichiers dans /rc.d/init.d
et j'ai noté des lignes "louches" dans 2 scripts (atd & network)
- regarder dans /temp et remarquer des dossiers . cachés avec
aussi des tar.gz dedans.
- je pense que mon "#ps" ne me dit pas tout
 
d'autres idées??? pour réparer par exemple en evitant la réinstall + MAJ
de tous les rpm.

des pistes :
AIDE, chkrootkit, binaires statiques pour l'analyse, tripwire

boff si la machine a été compromise le mieux c'est de voir comment elle l'a été et de tout réinstaller avec un formatage total de tout le systeme

voir oui mais comment?? car si je ne m'abuse toutes les commandes
(ls, ps, netstat, ifconfig ...) ont été remplacées par des fausses.
 
avez vous des astuces??
 
sachant que sur mes configs, j'ai deja tripwire, portsentry et j'en passe.

je plussoie

oui mais avant de réinstaller, comment voir quel service a été "exploit"??
histoire qu'au moment de la réinstalle je recommence pas la même c@&# et upgrade
le bon rpm ou mette en place une parade.

Tu met le disque dans une autre machine, y a aucune autre moyen d'etre sur a 100%.

Faire des hash md5 de tous ces programmes sains et imprimer cette liste sur du papier (et oui comme ça le pirate ne pourra pas modifier les hash    )
PS: je laisse de côté les problèmes de collision avec MD5...

j'ai du mal a vous comprendre??
ce que je veux comprendre c'est quel exploit a utilisé
le hacker, ainsi avant de réinstaller le tout. je sais quoi mettre à jour
concernant cette faille afin que cela ne se reproduise plus. rien de plus.
et ça je ne sais pas comment le detecter. cette machine
fait tourner apache, ftp, sendmail, pop3... derriere un firewall assez restrictif.

Tes applications étaient à jours ? apache et son contenu PHP ?

Il n'y a pas de solution miracle.
A part faire des recherches dans les logs de la machine compromise, de rechercher les programmes altérer, de suivre les failles connues et les exploits possibles avec les services présents sur la machine...
 
Si tu fais des recherches avec google regarde tout ce qui a trait à "forensics" dans l'informatique.

ok merci.
et j'espere bien etre assez  jour en faisant cela regulierement
1x a 2x par mois. mais c'est long de faire ça ==> argent

Si tes commandes de bases sont pourries, jette un coup d'oeil du côté de BusyBox qui te permettra de retrouver rapidement tout ensemble de commandes saines pour voir ce qui cloche.

a toi de voir si tu préfères perdre un peu de temps (argent) plusieurs fois par mois a mettre à jour ton système ou si tu veux perdre beaucoup de (temps d'argent) à remonter une plate-forme de 0 une fois que l'autre est compromise

oui, mais bon, pas toujours facile. si l'une de mes machines est compromise
rien ne me dit que les autres n'ont pas la même faille. heureusement, que je
ne fait pas tout tourner avec la même distrib. ou kernel.
mais cela multiplie le temps de recherche et des MAJ  
dur la vie parfois.