Execution de scripts par www-data suite a segfault d'apache
14 réponses
cedric
Bonjour !
Nous avons une machine (tourant sous une debian potato patchée pour les
failles connues) qui vient de se faire compromettre. Un petit rigolo nous a
créé un répertoire /tmp/.../ et y a colé du warez, lancé un pti serveur
ftp, ainsi qu'un script qui tournait comme une brute pour tenter de changer
un mot de passe. Le tout avec l'utilisateur www-data.
On a fait le ménage mais on cherche à comprendre comme il a fait ca.
Il me semble qu'il n'a pas eu de shell (sinon il aurait tué son script qui
tentait vainement d'exploiter la faille ptrace, très repérable car
consommant tout le CPU disponible et une 30aine de process, pour rien).
Je pense donc que les logs n'ont pas été nettoyés.
Or ils ne révèlent pas grand chose, si ce n'est que deux heures avant qu'il
lance sont serveur ftp maison apache a segfaulté des dizaines de fois à
toute vitesse ; à part ca, rien de suspect.
D'où ma question : y a t-il une méthode connue pour uploader/exécuter des
scripts avec apache qui ne laisse pas de traces dans les logs à part une
série de segfault ?
Merci de vos idées.
(Note : je ne suis pas spécialiste de la question, comme vous l'aurez
remarqué)
Nous avons une machine (tourant sous une debian potato patchée pour les failles connues)
La Debian Potato n'existe plus. La distribution stable de Debian, c'est la Woody. De fait, il n'y a plus d'updates pour la Potato, ta distribution ne peut donc pas être à jour, même pour des failles connues.
-- Je ne suis pas une fufeuse qualifiée, mais il me semble que ce bourrage d'urnes est dû avant tout au nom du groupe. -+- SF in: Guide du Cabaliste Usenet - bourrer en sifflottant -+-
Dans sa prose, cedric nous ecrivait :
Nous avons une machine (tourant sous une debian potato patchée pour les
failles connues)
La Debian Potato n'existe plus. La distribution stable de Debian, c'est la
Woody. De fait, il n'y a plus d'updates pour la Potato, ta distribution ne
peut donc pas être à jour, même pour des failles connues.
--
Je ne suis pas une fufeuse qualifiée, mais il me semble que ce
bourrage d'urnes est dû avant tout au nom du groupe.
-+- SF in: Guide du Cabaliste Usenet - bourrer en sifflottant -+-
Nous avons une machine (tourant sous une debian potato patchée pour les failles connues)
La Debian Potato n'existe plus. La distribution stable de Debian, c'est la Woody. De fait, il n'y a plus d'updates pour la Potato, ta distribution ne peut donc pas être à jour, même pour des failles connues.
-- Je ne suis pas une fufeuse qualifiée, mais il me semble que ce bourrage d'urnes est dû avant tout au nom du groupe. -+- SF in: Guide du Cabaliste Usenet - bourrer en sifflottant -+-
Server version: Apache/1.3.9 (Unix) Debian/GNU Server built: Oct 26 2002 08:09:02
Je n'avais pas vu ce post :/ Tout s'explique, éteint vite cette machine :/
C'est la prod de l'internet/intranet d'une grosse boite. Il faudrait recoder pas mal de trucs pour la passer en woody, c'est le soucis. A moyen terme fodra le faire, c'est clair.
Server version: Apache/1.3.9 (Unix) Debian/GNU Server built: Oct 26
2002 08:09:02
Je n'avais pas vu ce post :/ Tout s'explique, éteint vite cette machine :/
C'est la prod de l'internet/intranet d'une grosse boite. Il faudrait
recoder pas mal de trucs pour la passer en woody, c'est le soucis. A moyen
terme fodra le faire, c'est clair.
Server version: Apache/1.3.9 (Unix) Debian/GNU Server built: Oct 26 2002 08:09:02
Je n'avais pas vu ce post :/ Tout s'explique, éteint vite cette machine :/
C'est la prod de l'internet/intranet d'une grosse boite. Il faudrait recoder pas mal de trucs pour la passer en woody, c'est le soucis. A moyen terme fodra le faire, c'est clair.
Nicob
On Tue, 21 Oct 2003 20:02:36 +0000, Stephane Catteau wrote:
Les failles qui existent sont susceptibles de se comporter comme ca ?
Je n'ai plus la liste en tête, mais il me semble que cinq des failles permettent plus ou moins d'arriver à ce résultat.
"La" référence sur les failles Apache :
http://www.apacheweek.com/features/security-13
Nicob
On Tue, 21 Oct 2003 20:02:36 +0000, Stephane Catteau wrote:
Les failles qui existent sont susceptibles de se comporter comme ca ?
Je n'ai plus la liste en tête, mais il me semble que cinq des failles
permettent plus ou moins d'arriver à ce résultat.
C'est la prod de l'internet/intranet d'une grosse boite. Il faudrait recoder pas mal de trucs pour la passer en woody, c'est le soucis. A moyen terme fodra le faire, c'est clair.
Ne peut on upgrader le système et les serveurs sans devoir tout recoder ?
C'est la prod de l'internet/intranet d'une grosse boite. Il faudrait
recoder pas mal de trucs pour la passer en woody, c'est le soucis. A moyen
terme fodra le faire, c'est clair.
Ne peut on upgrader le système et les serveurs sans devoir tout recoder ?
C'est la prod de l'internet/intranet d'une grosse boite. Il faudrait recoder pas mal de trucs pour la passer en woody, c'est le soucis. A moyen terme fodra le faire, c'est clair.
Ne peut on upgrader le système et les serveurs sans devoir tout recoder ?
