[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Re : Intrusion shellbot



Philippe Monroux a écrit :
Bonjour,

Jean-Luc Coulon (f5ibh) <jean.luc.coulon@gmail.com> a écrit :

J'ai remarqué que la procédure make-jpkg avec un binaire de chez sun
tentait  de  créer  le  répertoire /etc/.java  ...   (1.5.0-04  pour
amd64.. qui  ne sert  d'ailleurs à  rien car il  ne contient  pas le
plugin jaja..)


Ahem...J'ai sur ma machine (qui n'est pas un serveur apache, enfin
apache est installé mais le port 80 est fermé) les fichiers :

/etc/.java/.systemPrefs/.system.lock
/etc/.java/.systemPrefs/.systemRootModFile /etc/.java/deployment/

par contre je n'ai pas les autres :
tmp/(espace)
init/
var/tmp/ le shellbot

ce  qui laisse  penser  que les  /etc/.java  viennent d'une  procédure
normale non ? (enfin on se rassure comme on peut hein ?)
Sinon que dois-je faire ?

Note : shorewall fonctionnel
       J'ai ouvert à une époque le port 80 mais me rappelle pu qd (les
       fichiers /etc/.java/.etc datent du 13 Mars)

--
Philippe Monroux
Ile de la Reunion E 55.3 S 21.5


En fait je vient de vérifier sur une machine d'un collègue sur laquelle nous avons installer OpenExchange et donc Tomcat+Java et il apparait la même arbo /etc/.java/
Donc je suppose qu'il ne faut pas s'inquiéter plus que cela.
Par contre par sécurité un petit coup de chkroootkit ou mieux rkhunter "http://www.rootkit.nl/projects/rootkit_hunter.html"; et ensuite lire le fil que nous indique François Boisson qui est très instructif et lancer son script pour trouver les processus caché (s'il y en a). Ensuite utiliser ses divers programme en crontable peut certainnement éviter les problèmes.
Voilu



Reply to: