Intrusion shellbot
Bonjour,
Un petit malin a réussi à installer cette chose sur un serveur Debian
Sarge qui me sert à effectuer des tests à la maison, cette machine est
placé derrière un IPCop 1.4.6 mais sans DMZ.
Je suis tombé dessus un peu par hasard et l'utilisation de chkrootkit et
de rootkit hunter me la confirmé.
Je me suis retouvé avec un repertoire caché : etc/.java contenant
.systemPrefs/.system.lock et .systemRootModFile (des fichiers vide),
dans tmp/ un repertoire sans nom ou plutôt nommé par un espace qui
contenait mbot.tgz et un rep init/ avec divers fichiers, et dans
var/tmp/ le shellbot prèt pour transformer ma Sarge en serveur IRC.
J'ai supprimé le tout et gardé un copie pour étude mais j'aimerais
savoir si vous avez déjà été victime de ce genre d'attaque ou tentative ?
A l'heure qu'il est je n'est pas encore trouvé comment celà avait bien
put se produire, un serveur de test n'étant pas forcément le mieux rangé !!
Je vous remercie par avance pour toute infos pouvant éclairer ma lanterne.
Reply to: