Gilbert Dion wrote: > > Il y a aussi des services comme VirusTotal qui sont très pratique pour > > identifier les fichiers: > > http://www.virustotal.com/ > > > > David, > Je dois préciser: sauf le programme bash, ce sont tous des fichiers > texte (des scripts, des logs, des documents texte brut...), donc, pas de > virus comme tels, juste un bot qui scanne des adresses, IP je crois. > Gilbert >
Ca ne change pas le fait que ces fichiers sont exécutables. VirusTotal passe ces fichiers à travers 20 Anti-virus connu et donne les résultats... possitif et négatif. En passant un peu de recherche à partir des noms de fichiers me donne: http://www.webhostingtalk.com/showthread.php?p=5323420 http://www.linode.com/forums/viewtopic.php?p=23253 http://www.linuxquestions.org/questions/linux-security-4/i-got-rootkitted-recommendations-for-recovery-729212/ Tout me porte à croire qu'il s'agit d'un "kit" écrit en bash qui se connecte à un serveur IRC et qui attend des ordres. Quand au vecteur d'infection: difficile à savoir. Le 'owner' des fichiers est une bonne indication. Sur les forum que j'ai trouver, une personne a mentionner que les fichiers appartenait à postgres, un autre qui a eu des fichiers semblables avait comme 'owner' apache et le 3e a été 'scanner' sur le port ssh. (visible dans /var/log/auth.log ) Je vais continuer à fouiller, mais je peux confirmer qu'il s'agit bel et bien d'un vers(worm) créer à partir d'un kit. David Montminy -- Ubuntu-quebec mailing list [email protected] https://lists.ubuntu.com/mailman/listinfo/ubuntu-quebec
