Un petit malin a réussi à installer cette chose sur un serveur Debian
Sarge qui me sert à effectuer des tests à la maison, cette machine est
placé derrière un IPCop 1.4.6 mais sans DMZ.
Je suis tombé dessus un peu par hasard et l'utilisation de chkrootkit et
de rootkit hunter me la confirmé.
Je me suis retouvé avec un repertoire caché : etc/.java contenant
.systemPrefs/.system.lock et .systemRootModFile (des fichiers vide),
dans tmp/ un repertoire sans nom ou plutôt nommé par un espace qui
contenait mbot.tgz et un rep init/ avec divers fichiers, et dans
var/tmp/ le shellbot prèt pour transformer ma Sarge en serveur IRC.
J'ai supprimé le tout et gardé un copie pour étude mais j'aimerais
savoir si vous avez déjà été victime de ce genre d'attaque ou tentative ?
A l'heure qu'il est je n'est pas encore trouvé comment celà avait bien
put se produire, un serveur de test n'étant pas forcément le mieux rangé !!
Je vous remercie par avance pour toute infos pouvant éclairer ma lanterne.
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le jeudi 14 juillet 2005, Philippe Monroux a écrit...
> $ strace /usr/bin/regarde
fais un : strace -f -o strace.log /usr/bin/regarde
et envoie lui le strace.log
-- jm
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Francois Boisson
Le Thu, 14 Jul 2005 11:35:20 +0400 Philippe Monroux a écrit:
Bonjour,
Francois Boisson a écrit :
> Donc chercheprocess fonctionne mais pas regarde qui est pourtant le > même en silencieux... Bizarre.
> Si tu peux faire > $ regarde 2> /tmp/sortie.err
génère un fichier de 0 octet. C'est strace qui donne une grosse sortie. Donc je te l'envoie en privé.
2x10M, le privé s'imposait. Mais c'est bizarre car il n'a pas l'air de finir en segfault:
open("65535", O_RDONLY) = -1 ENOENT (No such file or directory)
exit_group(0) = ?
En tout état de cause, tout à l'air de bien se dérouler. Visiblement tu as un noyau 2.6. Je ne comprends pas ce segfault. Il se produit systématiquement?
François Boisson
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Le Thu, 14 Jul 2005 11:35:20 +0400
Philippe Monroux <spam.monroux-listesATwanadoo.fr@homelinux.org> a
écrit:
Bonjour,
Francois Boisson <user.anti-spam@maison.homelinux.net> a écrit :
> Donc chercheprocess fonctionne mais pas regarde qui est pourtant le
> même en silencieux... Bizarre.
> Si tu peux faire
> $ regarde 2> /tmp/sortie.err
génère un fichier de 0 octet. C'est strace qui donne une grosse
sortie. Donc je te l'envoie en privé.
2x10M, le privé s'imposait. Mais c'est bizarre car il n'a pas l'air de
finir en segfault:
open("65535", O_RDONLY) = -1 ENOENT (No such file or
directory)
exit_group(0) = ?
En tout état de cause, tout à l'air de bien se dérouler. Visiblement tu
as un noyau 2.6. Je ne comprends pas ce segfault. Il se produit
systématiquement?
François Boisson
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le Thu, 14 Jul 2005 11:35:20 +0400 Philippe Monroux a écrit:
Bonjour,
Francois Boisson a écrit :
> Donc chercheprocess fonctionne mais pas regarde qui est pourtant le > même en silencieux... Bizarre.
> Si tu peux faire > $ regarde 2> /tmp/sortie.err
génère un fichier de 0 octet. C'est strace qui donne une grosse sortie. Donc je te l'envoie en privé.
2x10M, le privé s'imposait. Mais c'est bizarre car il n'a pas l'air de finir en segfault:
open("65535", O_RDONLY) = -1 ENOENT (No such file or directory)
exit_group(0) = ?
En tout état de cause, tout à l'air de bien se dérouler. Visiblement tu as un noyau 2.6. Je ne comprends pas ce segfault. Il se produit systématiquement?
François Boisson
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Philippe Monroux
Bonjour,
Francois Boisson a écrit :
En tout état de cause, tout à l'air de bien se dérouler. Visiblement tu as un noyau 2.6. Je ne comprends pas ce segfault. Il se produit systématiquement?
attendons quelques temps.
-- Philippe Monroux Ile de la Reunion E 55.3 S 21.5
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Bonjour,
Francois Boisson <user.anti-spam@maison.homelinux.net> a écrit :
En tout état de cause, tout à l'air de bien se dérouler. Visiblement
tu as un noyau 2.6. Je ne comprends pas ce segfault. Il se produit
systématiquement?
attendons quelques temps.
--
Philippe Monroux
Ile de la Reunion
E 55.3 S 21.5
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
En tout état de cause, tout à l'air de bien se dérouler. Visiblement tu as un noyau 2.6. Je ne comprends pas ce segfault. Il se produit systématiquement?
attendons quelques temps.
-- Philippe Monroux Ile de la Reunion E 55.3 S 21.5
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
JusTiCe8
Bonjour,
Francois Boisson a écrit :
Le Thu, 14 Jul 2005 11:35:20 +0400 Philippe Monroux a écrit:
[...]
2x10M, le privé s'imposait. Mais c'est bizarre car il n'a pas l'air de finir en segfault:
open("65535", O_RDONLY) = -1 ENOENT (No such file or directory)
exit_group(0) = ?
En tout état de cause, tout à l'air de bien se dérouler. Visiblement tu as un noyau 2.6. Je ne comprends pas ce segfault. Il se produit systématiquement?
ce msg ne fait pt pas reference à un crash. C'est pt logcheck qui rencontre un tit soucis.
François Boisson
J8.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Bonjour,
Francois Boisson a écrit :
Le Thu, 14 Jul 2005 11:35:20 +0400
Philippe Monroux <spam.monroux-listesATwanadoo.fr@homelinux.org> a
écrit:
[...]
2x10M, le privé s'imposait. Mais c'est bizarre car il n'a pas l'air de
finir en segfault:
open("65535", O_RDONLY) = -1 ENOENT (No such file or
directory)
exit_group(0) = ?
En tout état de cause, tout à l'air de bien se dérouler. Visiblement tu
as un noyau 2.6. Je ne comprends pas ce segfault. Il se produit
systématiquement?
Le Thu, 14 Jul 2005 11:35:20 +0400 Philippe Monroux a écrit:
[...]
2x10M, le privé s'imposait. Mais c'est bizarre car il n'a pas l'air de finir en segfault:
open("65535", O_RDONLY) = -1 ENOENT (No such file or directory)
exit_group(0) = ?
En tout état de cause, tout à l'air de bien se dérouler. Visiblement tu as un noyau 2.6. Je ne comprends pas ce segfault. Il se produit systématiquement?
ce msg ne fait pt pas reference à un crash. C'est pt logcheck qui rencontre un tit soucis.
François Boisson
J8.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Philippe Monroux
Bonjour,
Francois Boisson a écrit :
En tout état de cause, tout à l'air de bien se dérouler. Visiblement tu as un noyau 2.6. Je ne comprends pas ce segfault. Il se produit systématiquement?
En fait je soupçonne cron d'avoir pris en compte /etc/cron.d/regarde~(un ancien)
depuis pas de pb
-- Philippe Monroux Ile de la Reunion E 55.3 S 21.5
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Bonjour,
Francois Boisson <user.anti-spam@maison.homelinux.net> a écrit :
En tout état de cause, tout à l'air de bien se dérouler. Visiblement
tu as un noyau 2.6. Je ne comprends pas ce segfault. Il se produit
systématiquement?
En fait je soupçonne cron d'avoir pris en compte
/etc/cron.d/regarde~(un ancien)
depuis pas de pb
--
Philippe Monroux
Ile de la Reunion
E 55.3 S 21.5
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
En tout état de cause, tout à l'air de bien se dérouler. Visiblement tu as un noyau 2.6. Je ne comprends pas ce segfault. Il se produit systématiquement?
En fait je soupçonne cron d'avoir pris en compte /etc/cron.d/regarde~(un ancien)
depuis pas de pb
-- Philippe Monroux Ile de la Reunion E 55.3 S 21.5
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Roger Mampey
Bonjour,
Je veux installer un noyau 2.6 (> 2.6.3) sur une machine où je ne peux booter que sur disquettes. Et toutes les images que je trouve sur le site Debian ne concernent que le 2.4.27.
Donc ma question est : Existe t-il des images disquettes boot.img, root.img et net-drivers.img pour la Sarge et un noyau 2.6 (comme c'est le cas pour les images cdrom) ?
Sinon, est-il possible - quand on n'est pas un spécialiste du noyau - de les fabriquer sur une machine disposant de la Sarge et d'un noyau 2.6 ?
Roger Mampey
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Bonjour,
Je veux installer un noyau 2.6 (> 2.6.3) sur une machine où je ne peux
booter que sur disquettes. Et toutes les images que je trouve sur le
site Debian ne concernent que le
2.4.27.
Donc ma question est : Existe t-il des images disquettes boot.img,
root.img et net-drivers.img pour la Sarge et un noyau 2.6 (comme c'est
le cas pour les images cdrom) ?
Sinon, est-il possible - quand on n'est pas un spécialiste du noyau - de
les fabriquer sur une machine disposant de la Sarge et d'un noyau 2.6 ?
Roger Mampey
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Je veux installer un noyau 2.6 (> 2.6.3) sur une machine où je ne peux booter que sur disquettes. Et toutes les images que je trouve sur le site Debian ne concernent que le 2.4.27.
Donc ma question est : Existe t-il des images disquettes boot.img, root.img et net-drivers.img pour la Sarge et un noyau 2.6 (comme c'est le cas pour les images cdrom) ?
Sinon, est-il possible - quand on n'est pas un spécialiste du noyau - de les fabriquer sur une machine disposant de la Sarge et d'un noyau 2.6 ?
Roger Mampey
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
RTyler
Roger Mampey a écrit :
Bonjour,
Je veux installer un noyau 2.6 (> 2.6.3) sur une machine où je ne peux booter que sur disquettes. Et toutes les images que je trouve sur le site Debian ne concernent que le 2.4.27.
Donc ma question est : Existe t-il des images disquettes boot.img, root.img et net-drivers.img pour la Sarge et un noyau 2.6 (comme c'est le cas pour les images cdrom) ?
Oui sur une netinst de Sarge il y a dans le répertoire tools l'outil qu'il faut pour créer les disquettes qui permettront de booter sur le CD. Les images (boot.img, root.img et cd-drivers.img) sont dans install/floppy
Sinon, est-il possible - quand on n'est pas un spécialiste du noyau - de les fabriquer sur une machine disposant de la Sarge et d'un noyau 2.6 ?
Roger Mampey
RTyler
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Roger Mampey a écrit :
Bonjour,
Je veux installer un noyau 2.6 (> 2.6.3) sur une machine où je ne peux
booter que sur disquettes. Et toutes les images que je trouve sur le
site Debian ne concernent que le
2.4.27.
Donc ma question est : Existe t-il des images disquettes boot.img,
root.img et net-drivers.img pour la Sarge et un noyau 2.6 (comme c'est
le cas pour les images cdrom) ?
Oui sur une netinst de Sarge il y a dans le répertoire tools l'outil
qu'il faut pour créer les disquettes qui permettront de booter sur le
CD. Les images (boot.img, root.img et cd-drivers.img) sont dans
install/floppy
Sinon, est-il possible - quand on n'est pas un spécialiste du noyau - de
les fabriquer sur une machine disposant de la Sarge et d'un noyau 2.6 ?
Roger Mampey
RTyler
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Je veux installer un noyau 2.6 (> 2.6.3) sur une machine où je ne peux booter que sur disquettes. Et toutes les images que je trouve sur le site Debian ne concernent que le 2.4.27.
Donc ma question est : Existe t-il des images disquettes boot.img, root.img et net-drivers.img pour la Sarge et un noyau 2.6 (comme c'est le cas pour les images cdrom) ?
Oui sur une netinst de Sarge il y a dans le répertoire tools l'outil qu'il faut pour créer les disquettes qui permettront de booter sur le CD. Les images (boot.img, root.img et cd-drivers.img) sont dans install/floppy
Sinon, est-il possible - quand on n'est pas un spécialiste du noyau - de les fabriquer sur une machine disposant de la Sarge et d'un noyau 2.6 ?
Roger Mampey
RTyler
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
