-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Le 11.07.2005 17:24:47, snoopy a écrit :
Bonjour,
Un petit malin a réussi à installer cette chose sur un serveur Debian
Sarge qui me sert à effectuer des tests à la maison, cette machine
est placé derrière un IPCop 1.4.6 mais sans DMZ.
Je suis tombé dessus un peu par hasard et l'utilisation de chkrootkit
et de rootkit hunter me la confirmé.
Je me suis retouvé avec un repertoire caché : etc/.java
J'ai remarqué que la procédure make-jpkg avec un binaire de chez sun
tentait de créer le répertoire /etc/.java ...
(1.5.0-04 pour amd64.. qui ne sert d'ailleurs à rien car il ne contient
pas le plugin jaja..)
Mais je ne me suis pas posé plus que questions étant donné que la
création avait échoué.
contenant .systemPrefs/.system.lock et .systemRootModFile (des
fichiers vide), dans tmp/ un repertoire sans nom ou plutôt nommé par
un espace qui contenait mbot.tgz et un rep init/ avec divers
fichiers, et dans var/tmp/ le shellbot prèt pour transformer ma Sarge
en serveur IRC.
J'ai supprimé le tout et gardé un copie pour étude mais j'aimerais
savoir si vous avez déjà été victime de ce genre d'attaque ou
tentative ?
A l'heure qu'il est je n'est pas encore trouvé comment celà avait
bien put se produire, un serveur de test n'étant pas forcément le
mieux rangé !!
Je vous remercie par avance pour toute infos pouvant éclairer ma
lanterne.
Jean-Luc
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)
iD8DBQFC0sbnXit3lz9m7V4RAsjaAKDr9WSaUjWoMO2YggWyq+g38HaPcgCgpCAv
rNWWuzwhhaaFZMuxKhycZEY=
=gxgR
-----END PGP SIGNATURE-----
