Probleme virus redhat 9

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Probleme virus redhat 9

Messagepar possomfr » 16 Fév 2006 14:38

bonjour à tous,
j'ai un serveur web qui tourne sous redhat 9, avec un mambo. mon probleme est le suivant :
je remarque des lenteurs sur mon firewall, en cherchant un peu, je me rend compte que c est le serveur web qui est en dmz. quand le regarde les process qui tournent, voila ce que j obtiens

apache 25173 0.0 0.0 0 0 ? Z Feb14 0:00 [jojo <defunct>]
apache 25219 0.0 0.0 0 0 ? Z Feb14 0:00 [sh <defunct>]
apache 25221 0.0 0.0 0 0 ? Z Feb14 0:00 [sh <defunct>]
apache 25225 0.0 0.0 1340 212 ? T Feb14 0:00 ./jojo 202.155.79.13 8080
apache 25226 0.0 0.0 0 0 ? Z Feb14 0:00 [jojo <defunct>]
apache 25229 0.0 0.0 1336 208 ? T Feb14 0:00 ./jojo 202.155.79.13 8080
apache 25230 0.0 0.0 0 0 ? Z Feb14 0:00 [jojo <defunct>]
root 26056 0.0 0.1 4304 1380 tty1 S 13:00 0:00 -bash
root 26106 0.0 0.1 6760 1972 ? S 13:01 0:00 /usr/sbin/sshd

quand le regarde à quoi correspond le fichier jojo, c'est un virus du nom de Linux/Rst.b.

a priori, une personne a reussi a rentrer sur le serveur et a deposer ce prog dans /tmp. de plus dans les logs, j ai egalement un wget lolox.xhost.ro. qand je fais le test, il me telecharge un index.html

je ne sais pas comment la personne est rentre ou quelle faille elle a utilise.

la version de l'os est la suivante : redhat 9.0 noyau 2.4.20-8


Merci à tous.

Possomfr
Avatar de l’utilisateur
possomfr
Matelot
Matelot
 
Messages: 4
Inscrit le: 11 Déc 2002 01:00
Localisation: lyon

Messagepar arapaho » 16 Fév 2006 15:44

Ce problème vient surement d'une version du langage de scripts de $%#&! qu'est le PHP. Une version non mise à jour est je pense la source de tes tracas. La backdoor est exécutée en user apache, donc moins de droits que le root. Les dégâts potentiels sont réduis.

Déjà commencer par regarder ce qui a été fait par la pesonne qui a exploiter la porte dérobée installée par ce virus:
avec un peu de chance, il devrait se trouver un fichier .bash_history dans /tmp. Ce fichier regroupe l'historique des commandes effectuées via la porte dérobée.

Alors deux choix:
1 - regarder chaque ligne de ce fichier pour s'instruire sur le comportement du "hacker". Finir par une désinfection total du système en arrêtant tous les daemons. ClamAV s'occupera bien de ce nettoyage.
2 - Désinfecter sans se soucis des dégâts potentiels
No One Will Ever Need More Than 640K Ram - Bill Gates, 1981
Avatar de l’utilisateur
arapaho
Amiral
Amiral
 
Messages: 1119
Inscrit le: 18 Avr 2002 00:00
Localisation: Genève

Messagepar possomfr » 16 Fév 2006 16:15

merci pour ces conseils. je te tiendrai au courant dans ce fil
Avatar de l’utilisateur
possomfr
Matelot
Matelot
 
Messages: 4
Inscrit le: 11 Déc 2002 01:00
Localisation: lyon


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron