Re : Intrusion shellbot

["Jean-Luc Coulon (f5ibh)" <jean.luc.coulon@gmail.com>]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 11.07.2005 17:24:47, snoopy a écrit :
> Bonjour,
>
> Un petit malin a réussi à installer cette chose sur un serveur Debian  
> Sarge qui me sert à effectuer des tests à la maison, cette machine  
> est placé derrière un IPCop 1.4.6 mais sans DMZ.
> Je suis tombé dessus un peu par hasard et l'utilisation de chkrootkit  
> et de rootkit hunter me la confirmé.
> Je me suis retouvé avec un repertoire caché : etc/.java

J'ai remarqué que la procédure make-jpkg avec un binaire de chez sun  
tentait de créer le répertoire /etc/.java ...
(1.5.0-04 pour amd64.. qui ne sert d'ailleurs à rien car il ne contient  
pas le plugin jaja..)

Mais je ne me suis pas posé plus que questions étant donné que la  
création avait échoué.

> contenant .systemPrefs/.system.lock et .systemRootModFile (des  
> fichiers vide), dans tmp/ un repertoire sans nom ou plutôt nommé par  
> un espace qui contenait mbot.tgz et un rep init/ avec divers  
> fichiers, et dans var/tmp/ le shellbot prèt pour transformer ma Sarge  
> en serveur IRC.
> J'ai supprimé le tout et gardé un copie pour étude mais j'aimerais  
> savoir si vous avez déjà été victime de ce genre d'attaque ou  
> tentative ?
> A l'heure qu'il est je n'est pas encore trouvé comment celà avait  
> bien put se produire, un serveur de test n'étant pas forcément le  
> mieux rangé !!
> Je vous remercie par avance pour toute infos pouvant éclairer ma  
> lanterne.

Jean-Luc
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFC0sbnXit3lz9m7V4RAsjaAKDr9WSaUjWoMO2YggWyq+g38HaPcgCgpCAv
rNWWuzwhhaaFZMuxKhycZEY=
=gxgR
-----END PGP SIGNATURE-----