Un petit malin a réussi à installer cette chose sur un serveur Debian
Sarge qui me sert à effectuer des tests à la maison, cette machine est
placé derrière un IPCop 1.4.6 mais sans DMZ.
Je suis tombé dessus un peu par hasard et l'utilisation de chkrootkit et
de rootkit hunter me la confirmé.
Je me suis retouvé avec un repertoire caché : etc/.java contenant
.systemPrefs/.system.lock et .systemRootModFile (des fichiers vide),
dans tmp/ un repertoire sans nom ou plutôt nommé par un espace qui
contenait mbot.tgz et un rep init/ avec divers fichiers, et dans
var/tmp/ le shellbot prèt pour transformer ma Sarge en serveur IRC.
J'ai supprimé le tout et gardé un copie pour étude mais j'aimerais
savoir si vous avez déjà été victime de ce genre d'attaque ou tentative ?
A l'heure qu'il est je n'est pas encore trouvé comment celà avait bien
put se produire, un serveur de test n'étant pas forcément le mieux rangé !!
Je vous remercie par avance pour toute infos pouvant éclairer ma lanterne.
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
As-tu regardé du côté des shellcode et particulièrement sur metasploit.com ?
Patrice.
snoopy a écrit :
Bonjour,
Un petit malin a réussi à installer cette chose sur un serveur Debian Sarge qui me sert à effectuer des tests à la maison, cette machine est placé derrière un IPCop 1.4.6 mais sans DMZ. Je suis tombé dessus un peu par hasard et l'utilisation de chkrootkit et de rootkit hunter me la confirmé. Je me suis retouvé avec un repertoire caché : etc/.java contenant .systemPrefs/.system.lock et .systemRootModFile (des fichiers vide), dans tmp/ un repertoire sans nom ou plutôt nommé par un espace qui contenait mbot.tgz et un rep init/ avec divers fichiers, et dans var/tmp/ le shellbot prèt pour transformer ma Sarge en serveur IRC. J'ai supprimé le tout et gardé un copie pour étude mais j'aimerais savoir si vous avez déjà été victime de ce genre d'attaque ou tentative ? A l'heure qu'il est je n'est pas encore trouvé comment celà avait bien put se produire, un serveur de test n'étant pas forcément le mieux rangé !! Je vous remercie par avance pour toute infos pouvant éclairer ma lanterne.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Bonjour,
As-tu regardé du côté des shellcode et particulièrement sur metasploit.com ?
Patrice.
snoopy a écrit :
Bonjour,
Un petit malin a réussi à installer cette chose sur un serveur Debian
Sarge qui me sert à effectuer des tests à la maison, cette machine est
placé derrière un IPCop 1.4.6 mais sans DMZ.
Je suis tombé dessus un peu par hasard et l'utilisation de chkrootkit
et de rootkit hunter me la confirmé.
Je me suis retouvé avec un repertoire caché : etc/.java contenant
.systemPrefs/.system.lock et .systemRootModFile (des fichiers vide),
dans tmp/ un repertoire sans nom ou plutôt nommé par un espace qui
contenait mbot.tgz et un rep init/ avec divers fichiers, et dans
var/tmp/ le shellbot prèt pour transformer ma Sarge en serveur IRC.
J'ai supprimé le tout et gardé un copie pour étude mais j'aimerais
savoir si vous avez déjà été victime de ce genre d'attaque ou tentative ?
A l'heure qu'il est je n'est pas encore trouvé comment celà avait bien
put se produire, un serveur de test n'étant pas forcément le mieux
rangé !!
Je vous remercie par avance pour toute infos pouvant éclairer ma
lanterne.
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
As-tu regardé du côté des shellcode et particulièrement sur metasploit.com ?
Patrice.
snoopy a écrit :
Bonjour,
Un petit malin a réussi à installer cette chose sur un serveur Debian Sarge qui me sert à effectuer des tests à la maison, cette machine est placé derrière un IPCop 1.4.6 mais sans DMZ. Je suis tombé dessus un peu par hasard et l'utilisation de chkrootkit et de rootkit hunter me la confirmé. Je me suis retouvé avec un repertoire caché : etc/.java contenant .systemPrefs/.system.lock et .systemRootModFile (des fichiers vide), dans tmp/ un repertoire sans nom ou plutôt nommé par un espace qui contenait mbot.tgz et un rep init/ avec divers fichiers, et dans var/tmp/ le shellbot prèt pour transformer ma Sarge en serveur IRC. J'ai supprimé le tout et gardé un copie pour étude mais j'aimerais savoir si vous avez déjà été victime de ce genre d'attaque ou tentative ? A l'heure qu'il est je n'est pas encore trouvé comment celà avait bien put se produire, un serveur de test n'étant pas forcément le mieux rangé !! Je vous remercie par avance pour toute infos pouvant éclairer ma lanterne.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Thomas CLavier
snoopy a écrit :
J'ai supprimé le tout et gardé un copie pour étude mais j'aimerai s savoir si vous avez déjà été victime de ce genre d'attaque ou t entative ?
je croises les doigts, jamais je n'ai eu ce genre de pb ... ou alors je ne l'ai pas encore trouvé :-)
Pour le comment il a fait, perso, je regarderais du côté des softs qu i ont mis du temps à être corrigés voir la ml debian-security pour la liste.
-- Thomas Clavier http://www.tcweb.org Lille Sans Fil http://www.lillesansfil.org +33 (0)6 20 81 81 30
snoopy a écrit :
J'ai supprimé le tout et gardé un copie pour étude mais j'aimerai s
savoir si vous avez déjà été victime de ce genre d'attaque ou t entative ?
je croises les doigts, jamais je n'ai eu ce genre de pb ... ou alors je
ne l'ai pas encore trouvé :-)
Pour le comment il a fait, perso, je regarderais du côté des softs qu i
ont mis du temps à être corrigés voir la ml debian-security pour la liste.
--
Thomas Clavier http://www.tcweb.org
Lille Sans Fil http://www.lillesansfil.org
+33 (0)6 20 81 81 30
J'ai supprimé le tout et gardé un copie pour étude mais j'aimerai s savoir si vous avez déjà été victime de ce genre d'attaque ou t entative ?
je croises les doigts, jamais je n'ai eu ce genre de pb ... ou alors je ne l'ai pas encore trouvé :-)
Pour le comment il a fait, perso, je regarderais du côté des softs qu i ont mis du temps à être corrigés voir la ml debian-security pour la liste.
-- Thomas Clavier http://www.tcweb.org Lille Sans Fil http://www.lillesansfil.org +33 (0)6 20 81 81 30
snoopy
Thomas CLavier a écrit :
> je croises les doigts, jamais je n'ai eu ce genre de pb ... ou alors je > ne l'ai pas encore trouvé :-) > Surtout que je suis vraimment tombé dessus par hasard, le soir je fait un top en console te je trouve dans le bas un www-data un peu bizarre...
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Thomas CLavier a écrit :
> je croises les doigts, jamais je n'ai eu ce genre de pb ... ou alors je
> ne l'ai pas encore trouvé :-)
>
Surtout que je suis vraimment tombé dessus par hasard,
le soir je fait un top en console te je trouve dans le bas un www-data
un peu bizarre...
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> je croises les doigts, jamais je n'ai eu ce genre de pb ... ou alors je > ne l'ai pas encore trouvé :-) > Surtout que je suis vraimment tombé dessus par hasard, le soir je fait un top en console te je trouve dans le bas un www-data un peu bizarre...
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Francois Boisson
Le Mon, 11 Jul 2005 17:24:47 +0200 snoopy a écrit:
Bonjour,
Un petit malin a réussi à installer cette chose sur un serveur Debian Sarge qui me sert à effectuer des tests à la maison, cette machine est placé derrière un IPCop 1.4.6 mais sans DMZ. Je suis tombé dessus un peu par hasard et l'utilisation de chkrootkit et de rootkit hunter me la confirmé. Je me suis retouvé avec un repertoire caché : etc/.java contenant .systemPrefs/.system.lock et .systemRootModFile (des fichiers vide), dans tmp/ un repertoire sans nom ou plutôt nommé par un espace qui contenait mbot.tgz et un rep init/ avec divers fichiers, et dans var/tmp/ le shellbot prèt pour transformer ma Sarge en serveur IRC. J'ai supprimé le tout et gardé un copie pour étude mais j'aimerais savoir si vous avez déjà été victime de ce genre d'attaque ou tentative ? A l'heure qu'il est je n'est pas encore trouvé comment celà avait bien put se produire, un serveur de test n'étant pas forcément le mieux rangé !! Je vous remercie par avance pour toute infos pouvant éclairer ma lanterne.
j'ai pu à l'époque reconstituer ce qu'avait fait le gars (je l'ai repéré 8heures après son exploit). Les conclusions notables étaient
1) Il n'avait pas fait ça que pour le sport 2) checkrootkit ne fonctionnait pas (le rootkit pourtant connu n'était pas détecté, le mode promiscuous des cartes non plus)
Ca a abouti à la création d'un programme que j'ai installé sur tous les serveurs qui cherche tous les programmes cachés (paquet cacheproc) et un autre qui teste l'intégrité d'une liste de fichiers (paquet surveillance) que j'ai installé sur toutes mes machines exposées. Les paquets se trouvent sur mon site
(deb http://boisson.homeip.net/sarge/ ./ )
La liste avait beaucoup aidé à la mise au point du paquet cacheproc àà l'époque (il y avait eu un premier prototype en bash!! toujours accessible sur http://boisson.homeip.net/processus , je l'ai réecrit en Caml).
François Boisson
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Le Mon, 11 Jul 2005 17:24:47 +0200
snoopy <snoopy@home.snoopyouaib.com> a écrit:
Bonjour,
Un petit malin a réussi à installer cette chose sur un serveur Debian
Sarge qui me sert à effectuer des tests à la maison, cette machine est
placé derrière un IPCop 1.4.6 mais sans DMZ.
Je suis tombé dessus un peu par hasard et l'utilisation de chkrootkit
et de rootkit hunter me la confirmé.
Je me suis retouvé avec un repertoire caché : etc/.java contenant
.systemPrefs/.system.lock et .systemRootModFile (des fichiers vide),
dans tmp/ un repertoire sans nom ou plutôt nommé par un espace qui
contenait mbot.tgz et un rep init/ avec divers fichiers, et dans
var/tmp/ le shellbot prèt pour transformer ma Sarge en serveur IRC.
J'ai supprimé le tout et gardé un copie pour étude mais j'aimerais
savoir si vous avez déjà été victime de ce genre d'attaque ou
tentative ? A l'heure qu'il est je n'est pas encore trouvé comment
celà avait bien put se produire, un serveur de test n'étant pas
forcément le mieux rangé !! Je vous remercie par avance pour toute
infos pouvant éclairer ma lanterne.
j'ai pu à l'époque reconstituer ce qu'avait fait le gars (je l'ai repéré
8heures après son exploit). Les conclusions notables étaient
1) Il n'avait pas fait ça que pour le sport
2) checkrootkit ne fonctionnait pas (le rootkit pourtant connu n'était
pas détecté, le mode promiscuous des cartes non plus)
Ca a abouti à la création d'un programme que j'ai installé sur tous les
serveurs qui cherche tous les programmes cachés (paquet cacheproc) et un
autre qui teste l'intégrité d'une liste de fichiers (paquet
surveillance) que j'ai installé sur toutes mes machines exposées. Les
paquets se trouvent sur mon site
(deb http://boisson.homeip.net/sarge/ ./ )
La liste avait beaucoup aidé à la mise au point du paquet cacheproc àà
l'époque (il y avait eu un premier prototype en bash!! toujours
accessible sur http://boisson.homeip.net/processus , je l'ai réecrit en
Caml).
François Boisson
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le Mon, 11 Jul 2005 17:24:47 +0200 snoopy a écrit:
Bonjour,
Un petit malin a réussi à installer cette chose sur un serveur Debian Sarge qui me sert à effectuer des tests à la maison, cette machine est placé derrière un IPCop 1.4.6 mais sans DMZ. Je suis tombé dessus un peu par hasard et l'utilisation de chkrootkit et de rootkit hunter me la confirmé. Je me suis retouvé avec un repertoire caché : etc/.java contenant .systemPrefs/.system.lock et .systemRootModFile (des fichiers vide), dans tmp/ un repertoire sans nom ou plutôt nommé par un espace qui contenait mbot.tgz et un rep init/ avec divers fichiers, et dans var/tmp/ le shellbot prèt pour transformer ma Sarge en serveur IRC. J'ai supprimé le tout et gardé un copie pour étude mais j'aimerais savoir si vous avez déjà été victime de ce genre d'attaque ou tentative ? A l'heure qu'il est je n'est pas encore trouvé comment celà avait bien put se produire, un serveur de test n'étant pas forcément le mieux rangé !! Je vous remercie par avance pour toute infos pouvant éclairer ma lanterne.
j'ai pu à l'époque reconstituer ce qu'avait fait le gars (je l'ai repéré 8heures après son exploit). Les conclusions notables étaient
1) Il n'avait pas fait ça que pour le sport 2) checkrootkit ne fonctionnait pas (le rootkit pourtant connu n'était pas détecté, le mode promiscuous des cartes non plus)
Ca a abouti à la création d'un programme que j'ai installé sur tous les serveurs qui cherche tous les programmes cachés (paquet cacheproc) et un autre qui teste l'intégrité d'une liste de fichiers (paquet surveillance) que j'ai installé sur toutes mes machines exposées. Les paquets se trouvent sur mon site
(deb http://boisson.homeip.net/sarge/ ./ )
La liste avait beaucoup aidé à la mise au point du paquet cacheproc àà l'époque (il y avait eu un premier prototype en bash!! toujours accessible sur http://boisson.homeip.net/processus , je l'ai réecrit en Caml).
François Boisson
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Jean-Luc Coulon (f5ibh)
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Le 11.07.2005 17:24:47, snoopy a écrit :
Bonjour,
Un petit malin a réussi à installer cette chose sur un serveur Debian Sarge qui me sert à effectuer des tests à la maison, cette machine est placé derrière un IPCop 1.4.6 mais sans DMZ. Je suis tombé dessus un peu par hasard et l'utilisation de chkrootkit et de rootkit hunter me la confirmé. Je me suis retouvé avec un repertoire caché : etc/.java
J'ai remarqué que la procédure make-jpkg avec un binaire de chez sun tentait de créer le répertoire /etc/.java ... (1.5.0-04 pour amd64.. qui ne sert d'ailleurs à rien car il ne contient pas le plugin jaja..)
Mais je ne me suis pas posé plus que questions étant donné que la création avait échoué.
contenant .systemPrefs/.system.lock et .systemRootModFile (des fichiers vide), dans tmp/ un repertoire sans nom ou plutôt nommé par un espace qui contenait mbot.tgz et un rep init/ avec divers fichiers, et dans var/tmp/ le shellbot prèt pour transformer ma Sarge en serveur IRC. J'ai supprimé le tout et gardé un copie pour étude mais j'aimerais savoir si vous avez déjà été victime de ce genre d'attaque ou tentative ? A l'heure qu'il est je n'est pas encore trouvé comment celà avait bien put se produire, un serveur de test n'étant pas forcément le mieux rangé !! Je vous remercie par avance pour toute infos pouvant éclairer ma lanterne.
Un petit malin a réussi à installer cette chose sur un serveur Debian
Sarge qui me sert à effectuer des tests à la maison, cette machine
est placé derrière un IPCop 1.4.6 mais sans DMZ.
Je suis tombé dessus un peu par hasard et l'utilisation de chkrootkit
et de rootkit hunter me la confirmé.
Je me suis retouvé avec un repertoire caché : etc/.java
J'ai remarqué que la procédure make-jpkg avec un binaire de chez sun
tentait de créer le répertoire /etc/.java ...
(1.5.0-04 pour amd64.. qui ne sert d'ailleurs à rien car il ne contient
pas le plugin jaja..)
Mais je ne me suis pas posé plus que questions étant donné que la
création avait échoué.
contenant .systemPrefs/.system.lock et .systemRootModFile (des
fichiers vide), dans tmp/ un repertoire sans nom ou plutôt nommé par
un espace qui contenait mbot.tgz et un rep init/ avec divers
fichiers, et dans var/tmp/ le shellbot prèt pour transformer ma Sarge
en serveur IRC.
J'ai supprimé le tout et gardé un copie pour étude mais j'aimerais
savoir si vous avez déjà été victime de ce genre d'attaque ou
tentative ?
A l'heure qu'il est je n'est pas encore trouvé comment celà avait
bien put se produire, un serveur de test n'étant pas forcément le
mieux rangé !!
Je vous remercie par avance pour toute infos pouvant éclairer ma
lanterne.
Un petit malin a réussi à installer cette chose sur un serveur Debian Sarge qui me sert à effectuer des tests à la maison, cette machine est placé derrière un IPCop 1.4.6 mais sans DMZ. Je suis tombé dessus un peu par hasard et l'utilisation de chkrootkit et de rootkit hunter me la confirmé. Je me suis retouvé avec un repertoire caché : etc/.java
J'ai remarqué que la procédure make-jpkg avec un binaire de chez sun tentait de créer le répertoire /etc/.java ... (1.5.0-04 pour amd64.. qui ne sert d'ailleurs à rien car il ne contient pas le plugin jaja..)
Mais je ne me suis pas posé plus que questions étant donné que la création avait échoué.
contenant .systemPrefs/.system.lock et .systemRootModFile (des fichiers vide), dans tmp/ un repertoire sans nom ou plutôt nommé par un espace qui contenait mbot.tgz et un rep init/ avec divers fichiers, et dans var/tmp/ le shellbot prèt pour transformer ma Sarge en serveur IRC. J'ai supprimé le tout et gardé un copie pour étude mais j'aimerais savoir si vous avez déjà été victime de ce genre d'attaque ou tentative ? A l'heure qu'il est je n'est pas encore trouvé comment celà avait bien put se produire, un serveur de test n'étant pas forcément le mieux rangé !! Je vous remercie par avance pour toute infos pouvant éclairer ma lanterne.
j'ai pu à l'époque reconstituer ce qu'avait fait le gars (je l'ai repéré 8heures après son exploit). Les conclusions notables étaient
1) Il n'avait pas fait ça que pour le sport 2) checkrootkit ne fonctionnait pas (le rootkit pourtant connu n'était pas détecté, le mode promiscuous des cartes non plus)
Ca a abouti à la création d'un programme que j'ai installé sur tous les serveurs qui cherche tous les programmes cachés (paquet cacheproc) et un autre qui teste l'intégrité d'une liste de fichiers (paquet surveillance) que j'ai installé sur toutes mes machines exposées. Les paquets se trouvent sur mon site
(deb http://boisson.homeip.net/sarge/ ./ )
La liste avait beaucoup aidé à la mise au point du paquet cacheproc àà l'époque (il y avait eu un premier prototype en bash!! toujours accessible sur http://boisson.homeip.net/processus , je l'ai réecrit en Caml).
François Boisson
Merci beaucoup, j'ai lu très attentivement tout le fil et testé cacheproc au fur et à mesure des évolutions, apparemment je n'ai pas de processus caché qui traine. Reste à surveiller si la faille qui lui a permis de rentrer n'est pas toujours la.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
j'ai pu à l'époque reconstituer ce qu'avait fait le gars (je l'ai repéré
8heures après son exploit). Les conclusions notables étaient
1) Il n'avait pas fait ça que pour le sport
2) checkrootkit ne fonctionnait pas (le rootkit pourtant connu n'était
pas détecté, le mode promiscuous des cartes non plus)
Ca a abouti à la création d'un programme que j'ai installé sur tous les
serveurs qui cherche tous les programmes cachés (paquet cacheproc) et un
autre qui teste l'intégrité d'une liste de fichiers (paquet
surveillance) que j'ai installé sur toutes mes machines exposées. Les
paquets se trouvent sur mon site
(deb http://boisson.homeip.net/sarge/ ./ )
La liste avait beaucoup aidé à la mise au point du paquet cacheproc àà
l'époque (il y avait eu un premier prototype en bash!! toujours
accessible sur http://boisson.homeip.net/processus , je l'ai réecrit en
Caml).
François Boisson
Merci beaucoup, j'ai lu très attentivement tout le fil et testé
cacheproc au fur et à mesure des évolutions, apparemment je n'ai pas de
processus caché qui traine.
Reste à surveiller si la faille qui lui a permis de rentrer n'est pas
toujours la.
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
j'ai pu à l'époque reconstituer ce qu'avait fait le gars (je l'ai repéré 8heures après son exploit). Les conclusions notables étaient
1) Il n'avait pas fait ça que pour le sport 2) checkrootkit ne fonctionnait pas (le rootkit pourtant connu n'était pas détecté, le mode promiscuous des cartes non plus)
Ca a abouti à la création d'un programme que j'ai installé sur tous les serveurs qui cherche tous les programmes cachés (paquet cacheproc) et un autre qui teste l'intégrité d'une liste de fichiers (paquet surveillance) que j'ai installé sur toutes mes machines exposées. Les paquets se trouvent sur mon site
(deb http://boisson.homeip.net/sarge/ ./ )
La liste avait beaucoup aidé à la mise au point du paquet cacheproc àà l'époque (il y avait eu un premier prototype en bash!! toujours accessible sur http://boisson.homeip.net/processus , je l'ai réecrit en Caml).
François Boisson
Merci beaucoup, j'ai lu très attentivement tout le fil et testé cacheproc au fur et à mesure des évolutions, apparemment je n'ai pas de processus caché qui traine. Reste à surveiller si la faille qui lui a permis de rentrer n'est pas toujours la.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Francois Boisson
Le Tue, 12 Jul 2005 02:03:30 +0200 snoopy a écrit:
Merci beaucoup, j'ai lu très attentivement tout le fil et testé cacheproc au fur et à mesure des évolutions, apparemment je n'ai pas de processus caché qui traine.
L'intérêt est qu'on apprend beaucoup avec une histoire de ce style. Dans la pratique, j'ai mis une entrée dans crontab qui l'éxécute régulièrement. Quelques faux positifs (en gros un par mois, ce sont des processus qui se termine pile entre la découverte du processus et la vérification de sa visibilité). Avec le paquet surveillance, cela me tranquillise pas mal....
Sinon, la recherche des fichiers détruits via recover est très instrutive pour trouver les traces des actions du pirate.
Reste à surveiller si la faille qui lui a permis de rentrer n'est pas toujours la.
Un coup de Nessus sur la machine donne la faille en général.
François Boisson
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Le Tue, 12 Jul 2005 02:03:30 +0200
snoopy <snoopy@home.snoopyouaib.com> a écrit:
Merci beaucoup, j'ai lu très attentivement tout le fil et testé
cacheproc au fur et à mesure des évolutions, apparemment je n'ai pas
de processus caché qui traine.
L'intérêt est qu'on apprend beaucoup avec une histoire de ce style.
Dans la pratique, j'ai mis une entrée dans crontab qui l'éxécute
régulièrement. Quelques faux positifs (en gros un par mois, ce sont des
processus qui se termine pile entre la découverte du processus et la
vérification de sa visibilité). Avec le paquet surveillance, cela me
tranquillise pas mal....
Sinon, la recherche des fichiers détruits via recover est très
instrutive pour trouver les traces des actions du pirate.
Reste à surveiller si la faille qui lui a permis de rentrer n'est pas
toujours la.
Un coup de Nessus sur la machine donne la faille en général.
François Boisson
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le Tue, 12 Jul 2005 02:03:30 +0200 snoopy a écrit:
Merci beaucoup, j'ai lu très attentivement tout le fil et testé cacheproc au fur et à mesure des évolutions, apparemment je n'ai pas de processus caché qui traine.
L'intérêt est qu'on apprend beaucoup avec une histoire de ce style. Dans la pratique, j'ai mis une entrée dans crontab qui l'éxécute régulièrement. Quelques faux positifs (en gros un par mois, ce sont des processus qui se termine pile entre la découverte du processus et la vérification de sa visibilité). Avec le paquet surveillance, cela me tranquillise pas mal....
Sinon, la recherche des fichiers détruits via recover est très instrutive pour trouver les traces des actions du pirate.
Reste à surveiller si la faille qui lui a permis de rentrer n'est pas toujours la.
Un coup de Nessus sur la machine donne la faille en général.
François Boisson
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Philippe Monroux
Bonjour,
Jean-Luc Coulon (f5ibh) a écrit :
J'ai remarqué que la procédure make-jpkg avec un binaire de chez sun tentait de créer le répertoire /etc/.java ... (1.5.0-04 pour amd64.. qui ne sert d'ailleurs à rien car il ne contient pas le plugin jaja..)
Ahem...J'ai sur ma machine (qui n'est pas un serveur apache, enfin apache est installé mais le port 80 est fermé) les fichiers :
par contre je n'ai pas les autres : tmp/(espace) init/ var/tmp/ le shellbot
ce qui laisse penser que les /etc/.java viennent d'une procédure normale non ? (enfin on se rassure comme on peut hein ?)
Sinon que dois-je faire ?
Note : shorewall fonctionnel J'ai ouvert à une époque le port 80 mais me rappelle pu qd (les fichiers /etc/.java/.etc datent du 13 Mars)
-- Philippe Monroux Ile de la Reunion E 55.3 S 21.5
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Bonjour,
Jean-Luc Coulon (f5ibh) <jean.luc.coulon@gmail.com> a écrit :
J'ai remarqué que la procédure make-jpkg avec un binaire de chez sun
tentait de créer le répertoire /etc/.java ... (1.5.0-04 pour
amd64.. qui ne sert d'ailleurs à rien car il ne contient pas le
plugin jaja..)
Ahem...J'ai sur ma machine (qui n'est pas un serveur apache, enfin
apache est installé mais le port 80 est fermé) les fichiers :
J'ai remarqué que la procédure make-jpkg avec un binaire de chez sun tentait de créer le répertoire /etc/.java ... (1.5.0-04 pour amd64.. qui ne sert d'ailleurs à rien car il ne contient pas le plugin jaja..)
Ahem...J'ai sur ma machine (qui n'est pas un serveur apache, enfin apache est installé mais le port 80 est fermé) les fichiers :
-- Philippe Monroux Ile de la Reunion E 55.3 S 21.5
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
snoopy
Philippe Monroux a écrit :
Bonjour,
Jean-Luc Coulon (f5ibh) a écrit :
J'ai remarqué que la procédure make-jpkg avec un binaire de chez sun tentait de créer le répertoire /etc/.java ... (1.5.0-04 pour amd64.. qui ne sert d'ailleurs à rien car il ne contient pas le plugin jaja..)
Ahem...J'ai sur ma machine (qui n'est pas un serveur apache, enfin apache est installé mais le port 80 est fermé) les fichiers :
par contre je n'ai pas les autres : tmp/(espace) init/ var/tmp/ le shellbot
ce qui laisse penser que les /etc/.java viennent d'une procédure normale non ? (enfin on se rassure comme on peut hein ?)
Sinon que dois-je faire ?
Note : shorewall fonctionnel J'ai ouvert à une époque le port 80 mais me rappelle pu qd (les fichiers /etc/.java/.etc datent du 13 Mars)
-- Philippe Monroux Ile de la Reunion E 55.3 S 21.5
En fait je vient de vérifier sur une machine d'un collègue sur laquelle nous avons installer OpenExchange et donc Tomcat+Java et il apparait la même arbo /etc/.java/ Donc je suppose qu'il ne faut pas s'inquiéter plus que cela. Par contre par sécurité un petit coup de chkroootkit ou mieux rkhunter "http://www.rootkit.nl/projects/rootkit_hunter.html" et ensuite lire le fil que nous indique François Boisson qui est très instructif et lancer son script pour trouver les processus caché (s'il y en a). Ensuite utiliser ses divers programme en crontable peut certainnement éviter les problèmes. Voilu
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Philippe Monroux a écrit :
Bonjour,
Jean-Luc Coulon (f5ibh) <jean.luc.coulon@gmail.com> a écrit :
J'ai remarqué que la procédure make-jpkg avec un binaire de chez sun
tentait de créer le répertoire /etc/.java ... (1.5.0-04 pour
amd64.. qui ne sert d'ailleurs à rien car il ne contient pas le
plugin jaja..)
Ahem...J'ai sur ma machine (qui n'est pas un serveur apache, enfin
apache est installé mais le port 80 est fermé) les fichiers :
par contre je n'ai pas les autres :
tmp/(espace)
init/
var/tmp/ le shellbot
ce qui laisse penser que les /etc/.java viennent d'une procédure
normale non ? (enfin on se rassure comme on peut hein ?)
Sinon que dois-je faire ?
Note : shorewall fonctionnel
J'ai ouvert à une époque le port 80 mais me rappelle pu qd (les
fichiers /etc/.java/.etc datent du 13 Mars)
--
Philippe Monroux
Ile de la Reunion
E 55.3 S 21.5
En fait je vient de vérifier sur une machine d'un collègue sur laquelle
nous avons installer OpenExchange et donc Tomcat+Java et il apparait la
même arbo /etc/.java/
Donc je suppose qu'il ne faut pas s'inquiéter plus que cela.
Par contre par sécurité un petit coup de chkroootkit ou mieux rkhunter
"http://www.rootkit.nl/projects/rootkit_hunter.html" et ensuite lire le
fil que nous indique François Boisson qui est très instructif et lancer
son script pour trouver les processus caché (s'il y en a).
Ensuite utiliser ses divers programme en crontable peut certainnement
éviter les problèmes.
Voilu
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
J'ai remarqué que la procédure make-jpkg avec un binaire de chez sun tentait de créer le répertoire /etc/.java ... (1.5.0-04 pour amd64.. qui ne sert d'ailleurs à rien car il ne contient pas le plugin jaja..)
Ahem...J'ai sur ma machine (qui n'est pas un serveur apache, enfin apache est installé mais le port 80 est fermé) les fichiers :
par contre je n'ai pas les autres : tmp/(espace) init/ var/tmp/ le shellbot
ce qui laisse penser que les /etc/.java viennent d'une procédure normale non ? (enfin on se rassure comme on peut hein ?)
Sinon que dois-je faire ?
Note : shorewall fonctionnel J'ai ouvert à une époque le port 80 mais me rappelle pu qd (les fichiers /etc/.java/.etc datent du 13 Mars)
-- Philippe Monroux Ile de la Reunion E 55.3 S 21.5
En fait je vient de vérifier sur une machine d'un collègue sur laquelle nous avons installer OpenExchange et donc Tomcat+Java et il apparait la même arbo /etc/.java/ Donc je suppose qu'il ne faut pas s'inquiéter plus que cela. Par contre par sécurité un petit coup de chkroootkit ou mieux rkhunter "http://www.rootkit.nl/projects/rootkit_hunter.html" et ensuite lire le fil que nous indique François Boisson qui est très instructif et lancer son script pour trouver les processus caché (s'il y en a). Ensuite utiliser ses divers programme en crontable peut certainnement éviter les problèmes. Voilu
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
