bonjour à tous,
j'ai un serveur web qui tourne sous redhat 9, avec un mambo. mon probleme est le suivant :
je remarque des lenteurs sur mon firewall, en cherchant un peu, je me rend compte que c est le serveur web qui est en dmz. quand le regarde les process qui tournent, voila ce que j obtiens
apache 25173 0.0 0.0 0 0 ? Z Feb14 0:00 [jojo <defunct>]
apache 25219 0.0 0.0 0 0 ? Z Feb14 0:00 [sh <defunct>]
apache 25221 0.0 0.0 0 0 ? Z Feb14 0:00 [sh <defunct>]
apache 25225 0.0 0.0 1340 212 ? T Feb14 0:00 ./jojo 202.155.79.13 8080
apache 25226 0.0 0.0 0 0 ? Z Feb14 0:00 [jojo <defunct>]
apache 25229 0.0 0.0 1336 208 ? T Feb14 0:00 ./jojo 202.155.79.13 8080
apache 25230 0.0 0.0 0 0 ? Z Feb14 0:00 [jojo <defunct>]
root 26056 0.0 0.1 4304 1380 tty1 S 13:00 0:00 -bash
root 26106 0.0 0.1 6760 1972 ? S 13:01 0:00 /usr/sbin/sshd
quand le regarde à quoi correspond le fichier jojo, c'est un virus du nom de Linux/Rst.b.
a priori, une personne a reussi a rentrer sur le serveur et a deposer ce prog dans /tmp. de plus dans les logs, j ai egalement un wget lolox.xhost.ro. qand je fais le test, il me telecharge un index.html
je ne sais pas comment la personne est rentre ou quelle faille elle a utilise.
la version de l'os est la suivante : redhat 9.0 noyau 2.4.20-8
Merci à tous.
Possomfr
Probleme virus redhat 9
Modérateur: modos Ixus
3 messages
• Page 1 sur 1
Probleme virus redhat 9
par possomfr » 16 Fév 2006 14:38
-
possomfr - Matelot
- Messages: 4
- Inscrit le: 11 Déc 2002 01:00
- Localisation: lyon
par arapaho » 16 Fév 2006 15:44
Ce problème vient surement d'une version du langage de scripts de $%#&! qu'est le PHP. Une version non mise à jour est je pense la source de tes tracas. La backdoor est exécutée en user apache, donc moins de droits que le root. Les dégâts potentiels sont réduis.
Déjà commencer par regarder ce qui a été fait par la pesonne qui a exploiter la porte dérobée installée par ce virus:
avec un peu de chance, il devrait se trouver un fichier .bash_history dans /tmp. Ce fichier regroupe l'historique des commandes effectuées via la porte dérobée.
Alors deux choix:
1 - regarder chaque ligne de ce fichier pour s'instruire sur le comportement du "hacker". Finir par une désinfection total du système en arrêtant tous les daemons. ClamAV s'occupera bien de ce nettoyage.
2 - Désinfecter sans se soucis des dégâts potentiels
Déjà commencer par regarder ce qui a été fait par la pesonne qui a exploiter la porte dérobée installée par ce virus:
avec un peu de chance, il devrait se trouver un fichier .bash_history dans /tmp. Ce fichier regroupe l'historique des commandes effectuées via la porte dérobée.
Alors deux choix:
1 - regarder chaque ligne de ce fichier pour s'instruire sur le comportement du "hacker". Finir par une désinfection total du système en arrêtant tous les daemons. ClamAV s'occupera bien de ce nettoyage.
2 - Désinfecter sans se soucis des dégâts potentiels
No One Will Ever Need More Than 640K Ram - Bill Gates, 1981
-
arapaho - Amiral
- Messages: 1119
- Inscrit le: 18 Avr 2002 00:00
- Localisation: Genève
3 messages
• Page 1 sur 1
Retour vers Sécurité et réseaux
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité