Bonjour,
Le mercredi 15 juin 2011, Romaric DEFAUX a écrit... > - des fichiers php sont modifiés tous les 4h : Donc possible crontab. Ce que j'ai repéré récemment dans la machine de quelqu'un. Un dossier /home/test (utilisateur test créé par le propriétaire de la machine) corrompu par /home/test/.n/, avec tout un tas de saloperies (intéressantes !) dedans + crontab pour l'utilisateur test dans /var/spool/cron/crontab (`crontab -u test` pour voir). La crontab rechargeait la base de données du bot (c'était un bot spammeur) caché sous le processus bash > la balise php ouvrante est remplacée par : > <?php eval(base64_decode( > suivi de code en base 64 Passer le début de la chaine b64 chez Google : tu devrais avoir qqch qui te permettra de savoir ce que fait le bouzin ; j'ai déjà vu ça sur un site ouèbe « fait maison », un espèce d'appli Command And Control avec un fichier .png qui était en fait un fichier php déguisé permettant le CC. A voir si tu as la possibilité de repérer d'éventuels fichiers plus ou moins récents (man find) qui seraient cachés dans du pseudo fichier image, ou autre extension fréquente dans un site ouèbe. > Est-ce que vous auriez des conseils à donner ? > Etant donné que c'est un serveur de prod, on ne l'a pas encore isolé > du réseau. Ce n'est pas forcément méchant. Il te faut voir ce que c'est avant de tout formater. En espérant que tu possèdes des sauvegardes des sites, car tous les fichiers .php peuvent se trouver infectés. -- jm -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20110615163156.GD20979@espinasse