11.2. Copies de sauvegarde du système
Rappelez-vous que si vous êtes certain que le système a été compromis, vous ne pouvez pas faire confiance aux logiciels qui s'y trouvent ou à n'importe quelle autre information qu'il vous donne. Les applications pourraient dissimuler un cheval de Troie, des modules pourraient être installés dans le noyau, etc.
La meilleure chose à faire est une sauvegarde complète du système de fichiers (en utilisant dd
) après avoir démarré depuis un support sûr. Les CD Debian GNU/Linux peuvent être utiles pour cela, car une console en mode texte est disponible dans le deuxième terminal une fois l'installateur démarré (allez-y en pressant CTRL+ALT+F2 suivi de la touche « Entrée »). À partir de cette console, sauvegardez les informations ailleurs si possible (éventuellement sur un serveur de fichiers par NFS ou FTP). Par la suite, vous pourrez analyser les informations pendant que le système compromis est hors-ligne ou réinstallé.
Si vous êtes certain que la seule compromission est un cheval de Troie dans l'un des modules du noyau, vous pouvez tenter d'exécuter le noyau à partir du CD en mode rescue. Assurez-vous aussi de démarrer en mode single user de façon à ce qu'aucun autre cheval de Troie ne s'exécute après le redémarrage.