Le Mon, 11 Jul 2005 17:24:47 +0200 snoopy <[EMAIL PROTECTED]> a écrit:
> Bonjour, > > Un petit malin a réussi à installer cette chose sur un serveur Debian > Sarge qui me sert à effectuer des tests à la maison, cette machine est > placé derrière un IPCop 1.4.6 mais sans DMZ. > Je suis tombé dessus un peu par hasard et l'utilisation de chkrootkit > et de rootkit hunter me la confirmé. > Je me suis retouvé avec un repertoire caché : etc/.java contenant > .systemPrefs/.system.lock et .systemRootModFile (des fichiers vide), > dans tmp/ un repertoire sans nom ou plutôt nommé par un espace qui > contenait mbot.tgz et un rep init/ avec divers fichiers, et dans > var/tmp/ le shellbot prèt pour transformer ma Sarge en serveur IRC. > J'ai supprimé le tout et gardé un copie pour étude mais j'aimerais > savoir si vous avez déjà été victime de ce genre d'attaque ou > tentative ? A l'heure qu'il est je n'est pas encore trouvé comment > celà avait bien put se produire, un serveur de test n'étant pas > forcément le mieux rangé !! Je vous remercie par avance pour toute > infos pouvant éclairer ma lanterne. > > Oui, en Décembre 2003. Va voir le fil http://lists.debian.org/debian-user-french/2003/12/msg01134.html j'ai pu à l'époque reconstituer ce qu'avait fait le gars (je l'ai repéré 8heures après son exploit). Les conclusions notables étaient 1) Il n'avait pas fait ça que pour le sport 2) checkrootkit ne fonctionnait pas (le rootkit pourtant connu n'était pas détecté, le mode promiscuous des cartes non plus) Ca a abouti à la création d'un programme que j'ai installé sur tous les serveurs qui cherche tous les programmes cachés (paquet cacheproc) et un autre qui teste l'intégrité d'une liste de fichiers (paquet surveillance) que j'ai installé sur toutes mes machines exposées. Les paquets se trouvent sur mon site (deb http://boisson.homeip.net/sarge/ ./ ) La liste avait beaucoup aidé à la mise au point du paquet cacheproc àà l'époque (il y avait eu un premier prototype en bash!! toujours accessible sur http://boisson.homeip.net/processus , je l'ai réecrit en Caml). François Boisson -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
