Re: Machine vérolée
Sébastien Dinot a écrit :
> BERTRAND Joël a écrit :
>> Porte d'entrée trouvée :
>
> Merci pour ce retour, toujours intéressant à avoir.
Porte d'entrée trouvée, mais il reste des scories. Je suis en train de
logguer ce que fait sh pour savoir quel est le processus qui me
réinstalle le vers régulièrement. Le truc est bien planqué et est revenu
à la charge plusieurs fois ce matin. Bon, il ne peut rien faire puisque
les ports sur lesquels il veut se connecter sont fermés sur le firewall,
mais c'est pénible. Ce n'est visiblement pas lancé par un cron (pas de
régularité).
J'utilise un /bin/sh qui fait cela :
#!/bin/bash
if [ $1 == "/usr/bin/rlog" ]; then exit 0; fi
if [ $1 == "/usr/bin/rcsdiff" ]; then exit 0; fi
logger -i "shell $*"
for i in $(pstree -p); do logger -i $i; done
exec $*
Est-ce que vous voyez plus efficace ? Le vers en question lance d'abord
un script sh qui daemonise un exécutable perl. Je cherche à savoir qui
lance cette saleté (sans doute www-data) mais surtout quel est
l'exécutable. Je subodore qu'il est au chaud quelque part dans le fond
d'une arborescence de www-data, mais rien ne me saute aux yeux.
JB
Reply to: