Virus sur mon serveur de mail ?! (station Sun)
Virus sur mon serveur de mail ?! (station Sun) - Windows & Software
Marsh Posté le 08-10-2004 à 10:44:45
tuer un user au hasard, ca calmera les autres , sinon je voit pas... 
A mon avis c'est pas un virus déja sinon tu aurai eu une alerte antivirus (j'espere que tu as un antivirus quand meme sur ton serveur..?)
WB.
(un autre que toi a les droits d'admin ? vérifie un peu les comptes présents dans le groupe admin !)
---------------
"Never been much better than at 127.0.0.1"
Marsh Posté le 08-10-2004 à 10:49:11
un virus sur ultrasparc avec Solaris, ça doit pas courir les rues...
Après avoir éliminé toute les autres causes comme un pb matériel, je pencherais plutôt pour une intrusion dans ton système.
Mettez le derrière votre firewall, vérifier qu'il n'y a pas de rootkit ou autre (chkrootkit), faites les MAJ de sécu du système.
---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. | Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Marsh Posté le 08-10-2004 à 11:06:36
Il n'y a pas d'antivirus sur le système... Sur le site de Sun Solaris, il y a des mises à jour de sécurité à télécharger ? Ou il faut que j'aille les chercher ailleurs ?
A priori c'est peut etre une intrusion, comment les bloquer sans mettre le serveur derrière notre pare-feu ? Est-il possible d'installer dessus un pare-feu logiciel ??
Marsh Posté le 08-10-2004 à 11:15:02
pourquoi tu veux pas le mettre derrière ton FW, ce serait une bonne idée, dans une DMZ par ex.
pour les MAJ, t'as pas du beaucoup chercher...
http://sunsolve.sun.com/pub-cgi/show.pl?target=home
si il y a vraiment quelqu'un sur ton système, il a du planquer des backdoor pour pouvoir y accéder. Il va falloir les trouver et les virer.
Vérifie quand même que ce n'est pas simplement une mauvaise manip de quelqu'un qui a accès à root.
Et je te propose de faire déplacer ce topic par un modérateur pour continuer la discussion sur OS alternatifs, t'auras surement + de réponses
---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. | Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Marsh Posté le 08-10-2004 à 11:34:23
| Mjules a écrit : pourquoi tu veux pas le mettre derrière ton FW, ce serait une bonne idée, dans une DMZ par ex. |
Merci, je vais voir pour déplacer le topic !
Pour trouver les backdoors, il y a un moyen simple ? Ou il faut que je trouve un soft sur le web ?
Message édité par benj63 le 08-10-2004 à 11:34:51
Marsh Posté le 08-10-2004 à 11:35:35
sous linux, il y a checkrootkit mais je sais pas si il tourne sous solaris
---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. | Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Marsh Posté le 08-10-2004 à 11:37:07
bon, selon toute vraisemblance, il tourne sur solaris :
http://www.chkrootkit.org/
---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. | Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Marsh Posté le 08-10-2004 à 14:34:17
| Mjules a écrit : bon, selon toute vraisemblance, il tourne sur solaris : |
Merci !! Bon je l'ai téléchargé sur le site de Sun, j'ai exécuté la commande chkrootkit et il n'a rien détecté comme indiqué si dessous :
| Citation : ROOTDIR is `/' |
J'ai mis en rouge les trucs bizarres, vous en pensez quoi ?
Je vais à présent essayer de télécharger et d'installer les patch...
Message édité par benj63 le 08-10-2004 à 14:34:35
Marsh Posté le 08-10-2004 à 14:38:28
à partir du moment où la machine est considérée comme compromise, il faut faire un audit à partir d'un autre système considéré comme sûr.
Qu'est-ce qui te dit que tes commandes shell n'ont pas été altérées pour masquer les manip du vilain monsieur ?
Marsh Posté le 08-10-2004 à 14:40:58
un peu plus d'infos :
http://www.securityfocus.com/infocus/1230
mais si tu n'as pas pris tes précautions avant (log sur une machine différente, empreinte md5 des binaires, ...), ne compte pas remettre à neuf ce système, seule une réinstall te garantit la tranquilitée.
Sujets relatifs:
- [Norton Internet Security - Outlook 2003] Problème d'envoi de mail
- ecrire sur un serveur windows en étant sous linux
- Pb d'envoi de mail avec connexion TELE2
- attention erreur c'était pas un sondage win 95/98 sur un serveur
- mettre win 95 ou 98 dans un ancien serveur
- Lenteur ouverture fichier Word suite changement de serveur
- Problème installation station xp sur serveur 2000
- serveur dédié : céléron ou Pentium 4 pour sites SQL?
- proxy / isa serveur
Marsh Posté le 08-10-2004 à 10:15:29
Bonjour,
Est-ce du à un virus ? A une attaque extérieure ? Comment faire pour sécuriser ma machine ?
Je travaille dans une petite société, et nous avons notre propre serveur de mail sur une machine Sun Solaris Ultraspark. Elle n'est pas derrière notre firewall, puisque celui-ci nous sert uniquement pour séparer notre réseau privé, interne, de l'extérieur.
J'ai installé postfix, et un serveur pop3... et ce ptit serveur de mail fonctionne bien depuis 3 mois...
Seulement, depuis 2 jours, des choses bizarres sont apparues :
- un compte utilisateur de la machine a disparu hier (je l'ai recréé)
- le mot de passe de ce compte semble avoir été modifié aujourd'hui (puisque l'utilisateur ne pouvait plus se connecter)
- un autre compte utilisateur a disparu aujourd'hui...
Merci par avance !