Re: Machine vérolée
Bonjour,
Le lundi 26 juin 2023, BERTRAND Joël a écrit...
> Est-ce que vous voyez plus efficace ? Le vers en question lance d'abord
> un script sh qui daemonise un exécutable perl. Je cherche à savoir qui
> lance cette saleté (sans doute www-data) mais surtout quel est
> l'exécutable. Je subodore qu'il est au chaud quelque part dans le fond
> d'une arborescence de www-data, mais rien ne me saute aux yeux.
Il y a longtemps, j'avais eu un problème de ce genre, et je l'avais trouvé
en croisant (je crois que ça a déjà été suggéré) les horaires de lancement
avec l'exécution de certaines pages php.
Peut-être peux tu également faire une recherche grep (ou ack-grep, ou ag)
sur les fichiers php et sur les fonctions qui peuvent agir. Je ne suis pas
assez calé en php pour te conseiller, mais des trucs comme mail, ou fopen,
ou system, ou exec, ou base64_encode (et decode) ?
--
jm
Reply to: