Le Saturday 05 June 2010 23:23:26 patrick.forums.info, vous avez écrit :
> Ca faisait parti des méthodes standard d'attaques il y a 15 ans sur les
> machines Unix. Ils lancaient un client root ou SUID root, ils le killaient
> et ils faisaient tourner le compteur jusqu'au meme PID d'ou ils lancaient
> le virus ( non root ) qui recupérait certains privileges
>
> On n'en a peut etre pas trop parlé sous Linux car ca ne marchait pas, car
> certaines permissions sont controllées a chaque utilisation et/ou le
> binding n'est pas la et/ou c'est mieux gérré ( les descripteurs de
> fichiers par exemple sont correctement détruits ).
La machine en question est un serveur derrière une passerelle/FW qui n'offre
aucun service vers l'extérieur. J'ai un peu de mal à croire à une
compromission.
Le compteur a peut-être tourné jusqu'au même PID mais le processus squatteur de
PID est un processus que j'avais initié moi-même.
Je suis conscient qu'il y a eu un évènement qui m'échappe. Mais en présence
d'un évènement que je ne maitrise pas est-ce que je doit prendre pour autant
une mesure radicale? La dernière fois qu'on m'a suggéré que mon serveur pouvait
être compromis finalement j'ai découvert que c'était le contrôleur hardware
raid 5 qui avait flanché.
A part ce squat de PID est-ce qu'il y aurait des indices qui me permettraient
d'évaluer la situation?
--
Alain Vaugham
Clef GPG : 0xD26D18BC
_________________________________
Linux mailing list
[email protected]
http://lists.parinux.org/mailman/listinfo/linux
