J'ai vraiment la confirmation qu'un intrus est entré... J'ai postgresql 8.1 d'installé via apt-get seulement depuis hier... et hop, j'ai un .bash_history avec la liste des commandes et des fichiers qu'il a déposé dans /var/tmp/.mr004 Comment a-t-il fait pour entrer en console avec le user postgres? Je n'ai encore presque rien changé dans les config de postgres. Quel est le mot de passe par défaut à l'install et comment ce fait-il que c'est possible de loguer avec ce user?????? J'ai bloqué pour permettre que mon usager d'entrer dans SSH en tous les cas. <div>On 3/27/06, Free Mind <<a href="mailto:fr33mind@gmail.com"> fr33mind@gmail.com</a>> wrote:<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div style="direction: ltr;">Bonjour Groupe! J'ai cru découvrir quelque chose mais je n'en suis pas certain. Je crois que mon portable a été compromis. Mon portable est derrière un router SMC. Sur mon portable tourne aussi postgresql. Lorsque j'ai entendu mes fans tourner plus que d'habitude, j'ai vérifié avec top... et le programme "pscan2" avec le user postgres tournait... Je me suis demandé c'était quoi pscan2 et pourquoi l'user postgres?? Ensuite j'ai fait un netstat pour découvrir plein de SYN quelque chose et des adresses ADSL que je ne connais et en lot suffisant pour dépasser le buffer de ma console! Finalement je fais un ps aux et j'ai 2 bash avec le user postgres, et je vois SCREEN en majuscule dans les process (j'ai aucun screen de démarré) et finalement des pscan2 encore... etc... Là, j'ai fait un shutdown... pour redémarrer et bloquer plusieurs ports pour le moment dans le router. Qu'en pensez-vous et comment détecter si je n'ai pas un root kit ou quelque chose du genre? Je n'ai jamais eu d'exploits sur mes machines linux. Je ne sais pas quoi faire, je ne sais pas où est le trou... etc. </div></blockquote></div>