Forum debian-fr.org

Si vous êtes physiquement présent quand l'attaque se déroule et que faire ce qui suit n'a pas d'effet fâcheux sur vos transactions commerciales, votre première réaction devrait être de débrancher simplement la machine du réseau en débranchant la carte réseau. La désactivation du réseau à la première couche est le seul vrai moyen de garder un attaquant en dehors d'une machine compromise (conseil avisé de Phillip Hofmeister).

Cependant, certains outils installés à l'aide d'un rootkit, d'un cheval de Troie ou même d'un utilisateur malhonnête connecté via une porte dérobée (backdoor), pourraient être capables de détecter cet évènement et d'y réagir. Voir un rm -rf / s'exécuter au moment de débranchez le réseau du système n'est pas vraiment très drôle. Si vous ne désirez pas prendre ce risque et que vous êtes certain que le système est compromis, vous devriez débrancher le câble d'alimentation (voire tous, s'il y en a plusieurs) et croiser les doigts. Ceci peut sembler extrême, mais en fait cela désamorcera toute bombe à retardement que l'intrus pourrait avoir programmé. Dans ce cas, le système compromis ne doit pas être redémarré. Soit le disque dur devrait être déplacé sur un autre système pour analyse, soit vous devriez utiliser un autre support (un CD-ROM) pour amorcer le système et pour l'analyser. Vous ne devriez pas utiliser les disquettes de récupération de Debian pour amorcer le système, mais vous pouvez utiliser le shell fourni par les disquettes d'installation (rappelez-vous que Alt+F2 vous y amènera) pour analyser[58] le système.