Comment éradiquer bindshell?

Lun 30 Aou 10:55:16 UTC 2010

On 30/08/10 12:21, Olivier Pavilla wrote:
> Je me suis fait pirater ma boite mail gmail ce week end. Je fait mes
> investigations pour connaitre le pourquoi du comment. J'ai 3 machines linux
> ubuntu et debian et une sous windows que j'utilise occasionnelement.
>
> J'ai fait un petit chkrootkit, qui m'a donné, horreur, ça:
> checking 'bindshell'...            INFECTED (PORTS: 15 24 6667 31337
>
> Ensuite, j'ai fait un 'sudo netstat -tupl' qui m'a donné ça, mais comment
> éradiquer bindshell?
(snip)
> tcp        0      0 *:31337                 *:*                     LISTEN
>      4450/portsentry
(snip)
> udp        0      0 *:31337                 *:*
>      4454/portsentry

Il faut faire ses devoirs ... quand portsentry est installé ... 
chkrootkit fait des faux positifs sur bindshell ... portsentry ouvre des 
ports pour détecter des portscans, ces ouvertures sont détectées par 
chkrootkit comme des bindshell ... de mémoire rkhunter ne fait pas cette 
confusion.

http://www.chkrootkit.org/faq/#7

En bref, un excès de mesures de sécurité sans politique globale de 
sécurité est souvent contre-productive ...

Bonne continuation

Ju
-- 
Meddle not in the affairs of dragons, for you are crunchy, and good with 
mustard.