Re: Re : Intrusion shellbot

[snoopy <snoopy@home.snoopyouaib.com>]

Philippe Monroux a écrit :
> Bonjour,
>
> Jean-Luc Coulon (f5ibh) <jean.luc.coulon@gmail.com> a écrit :
>
>  
>
> > J'ai remarqué que la procédure make-jpkg avec un binaire de chez sun
> > tentait  de  créer  le  répertoire /etc/.java  ...   (1.5.0-04  pour
> > amd64.. qui  ne sert  d'ailleurs à  rien car il  ne contient  pas le
> > plugin jaja..)
>
>
> Ahem...J'ai sur ma machine (qui n'est pas un serveur apache, enfin
> apache est installé mais le port 80 est fermé) les fichiers :
>
> /etc/.java/.systemPrefs/.system.lock
> /etc/.java/.systemPrefs/.systemRootModFile 
> /etc/.java/deployment/
>
> par contre je n'ai pas les autres :
> tmp/(espace)
> init/
> var/tmp/ le shellbot
>
> ce  qui laisse  penser  que les  /etc/.java  viennent d'une  procédure
> normale non ? (enfin on se rassure comme on peut hein ?) 
>
> Sinon que dois-je faire ?
>
> Note : shorewall fonctionnel
>        J'ai ouvert à une époque le port 80 mais me rappelle pu qd (les
>        fichiers /etc/.java/.etc datent du 13 Mars)
>
> --
> Philippe Monroux
> Ile de la Reunion 
> E 55.3 S 21.5
En fait je vient de vérifier sur une machine d'un collègue sur laquelle 
nous avons installer OpenExchange et donc Tomcat+Java et il apparait la 
même arbo /etc/.java/
Donc je suppose qu'il ne faut pas s'inquiéter plus que cela.
Par contre par sécurité un petit coup de chkroootkit ou mieux rkhunter 
"http://www.rootkit.nl/projects/rootkit_hunter.html"; et ensuite lire le 
fil que nous indique François Boisson qui est très instructif et lancer 
son script pour trouver les processus caché (s'il y en a).
Ensuite utiliser ses divers programme en crontable peut certainnement 
éviter les problèmes.
Voilu