On Sat, 20 Dec 2003 21:18:24 +0100 Philippe Merlin <[EMAIL PROTECTED]> wrote:
> Bonjour, > Les récentes intrusions sur les sites Débian, Gentoo etc... ont démontré > que les kernel 2.4.18--->2.4.22 avaient une faille de sécurité > gravissime. N'étant pas un expert en sécurité, j'aimerai savoir la > dangerosité pour un utilisateur lambda ayant un noyau de ce type de > rester avec ce noyau ? Doivent t'ils migrer tout affaire cessante vers > la 2.4.23 ou même faire le saut avec le dernier 2.6.0? ou si c'est > seulement vivement conseillé pour ceux ayant des serveurs visibles du > grand public ?. Autre question étant en Woody Stable et ayant un noyau > 2.4.20, lorsque je fait un apt-cache search kernel-sources la dernière > version proposée est le 2.4.22 qui je pense n'a pas encore été patché. > Comme les packages debian ne sont plus accessibles depuis cette > intrusion comment peut on avoir les kernel-sources Debian de la Sid > ?(entre parenthèse je ne comprends pas pourquoi pour les noyaux il y a > ce distinguo, stable et test). Merci de vos avis. > Philou75 > > Ben il se trouve que hier à 17h41, un type a installé un rootkit sur ma passerelle à partir d'un compte courant. Je n'ai pas encore les détails mais l'analyse de wtmp montre que le gars essayait depuis au moins le 1er Décembre. Je pense que sur une machine connecté en permanence, un patch s'impose... François Boisson PS: Un administrateur réseau peut il me donner des conseils, c'est apparemment un Kit0.42, qui install un bindshell sur le port 3049 dont le processus prend les différents noms nmbd, gzip, tar, script, etc. Quelqu'un a-t-il des détails sur ce nom Kit 0.42 (nom apparu au boot quand j'ai viré l'un des processus). J'ai fini par installer une règle iptables bloquant ce port en attendant et le sniffer est stoppé (j'ai retrouvé les fichiers de logs du sniffer, c'est impressionnant). Le plus simple est de refaire une install j'imagine :-(. J'ai conservé une image des disques à tout hasard... > -- > Pensez à lire la FAQ de la liste avant de poser une question : > http://savannah.nongnu.org/download/debfr-faq/html/ > > Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" > > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact > [EMAIL PROTECTED] >
