On Sun, 22 Mar 2009 16:28:14 +0100 François Boisson <[email protected]> wrote:
> Le Sun, 22 Mar 2009 13:54:38 +0100 > Vincent Besse <[email protected]> a écrit: > > > Petit historique des événements. Mardi soir (le 17) en remontant dans > > l' historique bash de root je tombe au bout de 2 ou 3 commandes sur un > > wget qui ne venait manifestement pas de moi. Je découvre 2 fichiers > > inconnus (dont celui du wget en question) dans /var/www. Recopie de > > ces fichiers pour analyse ultérieure et effacement de /var/www, > > changement de mdp, fermeture de l' accès root SSH.[...] > > * Vérifies soigneusement tes logs apache et regardes si venant de cette IP, tu > n'as pas un appel direct d'une page PHP. Tu as peut être une faille dans un > des scripts PHP qui a permis au gars de charger un script PHP lui servant de > shell local. Pas de PHP installé. Y en a encore qui ont des serveurs ouaibe sans PHP :) Pas de requête de cette adresse non plus. > * Vérifies que dans le bash_history d'apache ou autres, tu n'as pas le mot de > passe root inscrit en clair, quand on tape vite et en urgence, il peut > apparaitre dans le bash_history. Une fois j'ai même trouvé un fichier de nom > ce mot de passe sous la racine. le bash_history d' Apache ? > > * Ta machine était elle à jour? Pas du jour même mais moins d' une semaine. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers [email protected] En cas de soucis, contactez EN ANGLAIS [email protected]
