[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Intrusion shellbot



Bonjour,

Un petit malin a réussi à installer cette chose sur un serveur Debian Sarge qui me sert à effectuer des tests à la maison, cette machine est placé derrière un IPCop 1.4.6 mais sans DMZ. Je suis tombé dessus un peu par hasard et l'utilisation de chkrootkit et de rootkit hunter me la confirmé. Je me suis retouvé avec un repertoire caché : etc/.java contenant .systemPrefs/.system.lock et .systemRootModFile (des fichiers vide), dans tmp/ un repertoire sans nom ou plutôt nommé par un espace qui contenait mbot.tgz et un rep init/ avec divers fichiers, et dans var/tmp/ le shellbot prèt pour transformer ma Sarge en serveur IRC. J'ai supprimé le tout et gardé un copie pour étude mais j'aimerais savoir si vous avez déjà été victime de ce genre d'attaque ou tentative ? A l'heure qu'il est je n'est pas encore trouvé comment celà avait bien put se produire, un serveur de test n'étant pas forcément le mieux rangé !!
Je vous remercie par avance pour toute infos pouvant éclairer ma lanterne.



Reply to: