Re: Sécurité Compromise dans UBUNTU dapper???

[Free Mind]

J'ai vraiment la confirmation qu'un intrus est entré... J'ai
postgresql 8.1d'installé via apt-get seulement depuis hier... et hop,
j'ai un
.bash_history avec la liste des commandes et des fichiers qu'il a déposé
dans /var/tmp/.mr004

Comment a-t-il fait pour entrer en console avec le user postgres?  Je n'ai
encore presque rien changé dans les config de postgres.  Quel est le mot de
passe par défaut à l'install et comment ce fait-il que c'est possible de
loguer avec ce user??????

J'ai bloqué pour permettre que mon usager d'entrer dans SSH en tous les cas.


On 3/27/06, Free Mind <fr33mind at gmail.com> wrote:
>
> Bonjour Groupe!
>
> J'ai cru découvrir quelque chose mais je n'en suis pas certain.  Je crois
> que mon portable a été compromis.
>
> Mon portable est derrière un router SMC.  Sur mon portable tourne aussi
> postgresql.
>
> Lorsque j'ai entendu mes fans tourner plus que d'habitude, j'ai vérifié
> avec top... et le programme "pscan2" avec le user postgres tournait...  Je
> me suis demandé c'était quoi pscan2 et pourquoi l'user postgres??
>
> Ensuite j'ai fait un netstat pour découvrir plein de SYN quelque chose et
> des adresses ADSL que je ne connais et en lot suffisant pour dépasser le
> buffer de ma console!
>
> Finalement je fais un ps aux et j'ai 2 bash avec le user postgres, et je
> vois SCREEN en majuscule dans les process (j'ai aucun screen de démarré) et
> finalement des pscan2 encore... etc... Là, j'ai fait un shutdown... pour
> redémarrer et bloquer plusieurs ports pour le moment dans le router.
>
> Qu'en pensez-vous et comment détecter si je n'ai pas un root kit ou
> quelque chose du genre?  Je n'ai jamais eu d'exploits sur mes machines
> linux.  Je ne sais pas quoi faire, je ne sais pas où est le trou... etc.
>
>
>
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <https://lists.ubuntu.com/archives/ubuntu-fr/attachments/20060327/fa1f81fd/attachment.html>