Re, j'ai essayé de chercher les rootkits avec les deux outils que vous m'avez conseillé. Pas de problème à l'install, mais chkrootkit lance une série de tests avant de s'arreter et rkhunter n'affiche rien à l'écran. en faisant ps aux, il y a toutes une série de série de processus, pour chaque processus, un processus defunct ...
Je pense que là c'est mort ... Sinon, effectivement, j'utilise PHP (spip, wikimedia) pourtant je pensais qu'avec une machine souvent patchée, j'étais à l'abri. A ma charge, quelque compte ont été crées avec des mots de passes simples. En traînant dans /var/log/auth, je n'ai pas vu d'accès avec ssh, sinon netstat continue à le montrer que des connexions ssh qui n'ont rien à faire. J'ai pu nmaper une de ces adresses, je suis tombé sur une fedora (en faisant un telnet dessus). Il y avait plein de ports ouverts (samba, swat) etc. Je garde l'adresse ip sous la main ... On se sent un peu demuni quand même ... A bientôt Thomas On Sun, May 22, 2005 at 02:36:04AM +0200, Jacques Caruso wrote: > Ainsi parla DAVID Thomas <[EMAIL PROTECTED]>, le 21 mai de l'an de > grâce 2005 : > > J'ai remarqué des connexions vers un serveur irc, qui provenait du demon > > ssh alors que personne faisait de l'irc. Je pense à du ssh forwarding. > > J'ai vu trois machines, récemment, qui avaient été utilisées pour servir > de /bouncer/ IRC. Je ne serais donc pas surpris que tu te sois fait > pirater. > > > Gzip segfaultait, je l'ai remplacé par un autre provenant d'une autre > > machine, et il fonctionne. > > Deux pistes : (1) un rootkit mal foutu avec des binaires inadaptés, ou > (2) un des rares virus Linux comme RST.A/B. > > > Vous en pensez quoi ? > > La préconisation de Fabien est très pertinente. Tu peux aussi essayer > rkhunter¹ si chkrootkit ne trouve pas. Pour ce qui est de la > désinfection, eh bien le mieux est de réinstaller (désolé), car tu ne > sais jamais quelles autres portes dérobées il pourrait y avoir. > > Maintenant, pour la suite : si tu exploites un serveur Web sur cette > machine, vérifie toutes les applications dynamiques (PHP, Perl ou > autres). Je serais prêt à parier que les plaisantins qui t'ont flingué > la machine histoire de faire les cons sur IRC impunément ont utilisé une > quelconque faille dans une de celles-ci pour obtenir un compte avant > d'en exploiter une locale pour devenir root. Fermer ce genre de portes > d'entrée réduit grandement les risques. Utiliser un kernel avec > PaX/grsecurity aide aussi. Bonne chance. > > ¹ http://www.rootkit.nl/projects/rootkit_hunter.html > > +++ > -- > Jacques Caruso | Administrateur système | Laissez-vous pousser > [EMAIL PROTECTED] | Webmaster, jeuxdroles.org | les dents. Ne marchez > (+33) 493 847 728 | Membre des Minotaures du Sud | pas sur les opossums. > PGP : 0x41F5C63D | Membre de Linux-Azur | Mangez des kiwis. > > Linux-Azur : http://www.linux-azur.org > Désinscriptions: http://www.linux-azur.org/liste.php3 > **** Pas de message au format HTML, SVP **** > Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 **** Pas de message au format HTML, SVP ****
