Ce fil de discussion m'a fait me rappeler qu'il y a quelque temps
j'avais eu des détections de fichiers suspects par rkhunter :
Subject: Cron /root/bin/rkhunter.sh
Warning: Suspicious file types found in /dev:
/dev/shm/ShM.c5fa4b64H8dd08c52: data
/root/rkhunter.sh :
Ça, ça couvrira la question du remplacement du logiciel existant puisqu'il
a été dit qu'il est obsolète.
Pour le moment il s'agit de savoir si il y a bien eu une pénétration dans
le serveur.
Le mer. 31 mai 2023 à 22:14, Basile Starynkevitch
a écrit :
>
> On 5/31/23 22:05, Dethegeek wrote:
> >
On 5/31/23 22:05, Dethegeek wrote:
Le site est motorisé avec PHP. Il y a en natif ou via un extension des
fonctionnalités de gestion de mémoire partagée.
Je me permets de rappeler à tous les web programmeurs l'existence
d'alternative compilée pour faire du web dynamique:
Le site est motorisé avec PHP. Il y a en natif ou via un extension des
fonctionnalités de gestion de mémoire partagée.
Je pense que chercher dans le code du site des appels à ces fonctions
pourrait être utile.
https://www.php.net/manual/en/book.shmop.php
Le mer. 31 mai 2023 à 22:00, Basile
On 5/31/23 21:53, Dethegeek wrote:
Ah oui, je m'etais mis en tête que c'était un emplacement sur disque,
du fait qu'il y avait des exécutables. J'ai pas fait attention que le
chemin commençait par /dev .
Il n'y a aucune chance d'avoir encore une copie de ces exécutables ?
Non. /dev/shm/
Ah oui, je m'etais mis en tête que c'était un emplacement sur disque, du
fait qu'il y avait des exécutables. J'ai pas fait attention que le chemin
commençait par /dev .
Il n'y a aucune chance d'avoir encore une copie de ces exécutables ?
Le mer. 31 mai 2023 à 21:32, Belaïd a écrit :
>
Bonsoir,
apt-file search /dev/shm ne donnera rien puisque ce dernier n'est qu'un
emplacement mémoire
Le mer. 31 mai 2023 à 21:26, Michel Verdier a écrit :
> Le 31 mai 2023 Dethegeek a écrit :
>
> > Une suggestion : chercher ces exécutables dans les paquets de Debian. Si
> > aucun exécutable
Le 31 mai 2023 Dethegeek a écrit :
> Une suggestion : chercher ces exécutables dans les paquets de Debian. Si
> aucun exécutable n'est supposé être présent sans appartenir à un paquet du
> (ou des) dépôt(s) configures dans apt, alors ça donnera des indices
> supplémentaires
apt-file search
Bonjour
Une suggestion : chercher ces exécutables dans les paquets de Debian. Si
aucun exécutable n'est supposé être présent sans appartenir à un paquet du
(ou des) dépôt(s) configures dans apt, alors ça donnera des indices
supplémentaires
Documentation (chez Ubuntu) ici :
Le 31 mai 2023 BERTRAND Joël a écrit :
> Michel Verdier a écrit :
>> Le 31 mai 2023 BERTRAND Joël a écrit :
>>
>>> C'est donc un blog (b2evolution) qui traîne-là qui est percé. Quelqu'un
>>> sait-il d'ailleurs sur quoi migrer un blog b2evolution ? b2evolution
>>> n'est plus supporté. J'ai bien
Michel Verdier a écrit :
> Le 31 mai 2023 BERTRAND Joël a écrit :
>
>> C'est donc un blog (b2evolution) qui traîne-là qui est percé. Quelqu'un
>> sait-il d'ailleurs sur quoi migrer un blog b2evolution ? b2evolution
>> n'est plus supporté. J'ai bien vu ceci que je vais peut-être tester :
>>
>>
Le 31 mai 2023 BERTRAND Joël a écrit :
> C'est donc un blog (b2evolution) qui traîne-là qui est percé. Quelqu'un
> sait-il d'ailleurs sur quoi migrer un blog b2evolution ? b2evolution
> n'est plus supporté. J'ai bien vu ceci que je vais peut-être tester :
>
>
Basile Starynkevitch a écrit :
>
> On 5/31/23 09:55, BERTRAND Joël wrote:
>> Bonjour à tous,
>>
>> Hier soir, je me suis aperçu qu'un serveur ramait énormément. En
>> regardant de près, j'ai trouvé un exécutable étrange :
>>
>> /dev/shm/hwm
>>
>> avec les droits de www-data:www-data, un
Je ne sais pas si mon grain de sel apporte quelque chose à la question, mais
une recherche sur "hwm" dans le contenu des paquets debian ne retourne aucun
résultat.
https://packages.debian.org/search?searchon=contents=hwm=exactfilename=stable=any
Envoyé avec la messagerie sécurisée Proton
On 5/31/23 09:55, BERTRAND Joël wrote:
Bonjour à tous,
Hier soir, je me suis aperçu qu'un serveur ramait énormément. En
regardant de près, j'ai trouvé un exécutable étrange :
/dev/shm/hwm
avec les droits de www-data:www-data, un fichier de configuration et un
autre programme
Le 31 mai 2023 BERTRAND Joël a écrit :
> avec les droits de www-data:www-data, un fichier de configuration et un
> autre programme (hwmon). /dev/shm/hwm utilisait 100% de chaque CPU. Je
> n'ai pas noté de trafic réseau anormal.
>
> J'ai viré les trois fichiers en question et j'ai inspecté
Le 2023-05-31 09:55, BERTRAND Joël a écrit :
Quelqu'un a-t-il déjà vu un truc pareil ? Je n'ai rien trouvé en
googlisant.
Les programmes hwm et hwmon ne me disent rien et je suis plus que
surpris de voir un exécutable installé dans /dev/shm, répertoire
historiquement dédié à un usage bien
hello,
juste comme ça, au pif: hwm, ça me fait penser à hardware monitoring.
f.
Le 31/05/2023 à 09:55, BERTRAND Joël a écrit :
Bonjour à tous,
Hier soir, je me suis aperçu qu'un serveur ramait énormément. En
regardant de près, j'ai trouvé un exécutable étrange :
18 matches
Mail list logo
