Bonjour à tous,
Suite à un problème matériel sur une machine Debian, j'ai cru à un
piratage et me suis intéressé, pour la première fois, à la sécurité. Une
fois évacué le problème matériel, qui n'avait finalement rien à voir
avec un piratage, j'en arrive au constat que ma machine (non sécurisée)
est infectée par le Cheval de Troie NetBus.
Je vais donc la réinstaller, mais avant cela, par curiosité, j'ai lancé
quelques "nmap" sur des machines de collègues, qui sont, elles,
protégées par des firewall sévères et ouvrent un très petit nombre de
ports, a priori un peu plus sûrs que les autres, comme ssh.
Et, surprise pour mes collègues et moi, quasiment toutes les machines
testées (sous différentes versions de Windows et/ou Linux) sont
infectées par NetBus et/ou d'autres Chevaux de Troie.
Donc, avant de nous lancer dans une réinstallation globale a priori
inefficace, nous voudrions comprendre le mode de contamination de NetBus
et, si possible, des autres Chevaux de Troie. Passent-il par un port non
suspecté ? Sniffent-ils le réseau en décryptant les mots de passe
cryptés ? Corrompent-ils des clients a priori sécurisés (genre ssh) pour
s'attaquer aux serveurs (sshd) ?
J'en arrive (enfin :-)) à ma question. Connaissez-vous un document qui
explique le mode de propagation de NetBus ? Où trouver de la
documentation à ce sujet ? Je parle bien du mode de propagation de
NetBus et/ou autres Chevaux de Troie précis, pas d'une explication
générale de ce qui est possible en théorie, ni d'une liste de parades
possibles.
J'ai pas mal surfé ces derniers jours mais n'ai rien trouvé de
concluant. J'ai même acheté "Halte aux hackers Linux" chez OEM, pour
avoir le déplaisir d'y trouver les mêmes banalités générales (mais rien
de très précis) que ce que j'ai réussi à trouver sur Internet.
Merci de votre aide.
[CITATION ALÉATOIRE : Quand on ne sait rien faire, il faut avoir de
l'ambition. Wolinski]
--
Pierre Crescenzo
mailto:[EMAIL PROTECTED]
http://www.crescenzo.nom.fr/
