Reprise du message précédent :
Merci pour cette réponse très complète.
 
 
1)
srvlinux01tmp# ls -ail
total 20
145729 drwxrwxrwt  5 root root 4096 2007-06-13 09:00 .
     2 drwxr-xr-x 21 root root 4096 2007-01-05 17:28 ..
161923 drwxrwxrwt  2 root root 4096 2007-06-12 16:24 .ICE-unix
161925 drwx------  2 root root 4096 2007-06-12 17:42 mc-root
161922 drwxrwxrwt  2 root root 4096 2007-06-12 16:24 .X11-unix
 
2) Je viens de faire la modification dans le php.ini
 
3)
srvlinux01:~# nmap localhost
 
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2007-06-13 09:03 CEST
Interesting ports on localhost.localdomain (127.0.0.1):
Not shown: 1668 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
25/tcp   open  smtp
53/tcp   open  domain
80/tcp   open  http
110/tcp  open  pop3
139/tcp  open  netbios-ssn
143/tcp  open  imap
443/tcp  open  https
445/tcp  open  microsoft-ds
783/tcp  open  spamassassin
953/tcp  open  rndc
3306/tcp open  mysql
 
Et depuis l'extérieur seul les ports 80, 25 et 110 sont accéssible.
 
4) J'utilise bien un système d'upload d'image, mais je vérifie bien le type du fichier et ici, je viens de faire une recherche manuelle et aucun fichier déguisé.
 
5) Je n'ai pas les commandes fetch et curl, par contre j'ai mis wget en 700
 
6) Malheureusement, je ne peux pas mettre le safe mode a On, sinon j'ai des scritps qui ne fonctionnent pas.
 
7) J'ai un site phpnuke que je suis obligé de garder, je vais voir si je ne pourrais pas le migrer vers un blog récent et tenu à jour
 
8)srvlinux01:~# ps aux | grep nc
root     15817  0.0  0.4   1872   624 pts/0    S+   09:02   0:00 grep nc
C'est ok de ce coté là
 
9)J'utilise la version Apache/2.2.3

Oui, car j'utilise des dynamiques virutals hosts, et je n'ai pas réussi à faire un fichier de log par site de cette manière.

Des conseils sur comment brider cet utilisateur ?

En chrootant apache...
 
Verifi au cas ou que ton serveur n'ai pas été rootkitté quand meme avec chkrootkit ou rkhunter.

A mon avis le gars a uploadé son script, tenter de l'executer, mais vu que tu bloques tout les ports à part quelques-uns qui sont deja utilisé, il a du renoncé (pour le moment).
Il n'en reste pas moins que tu as une faille et qu'il faut la corriger.
Et a ta place, je couperai tout tant que je ne l'ai pas trouver (service ou pas service). Surtout que tu as aussi ce problème de spam en parallèle.
 
Essaye de localiser le fichier back.txt dans ton système de fichier, si il est encore la.

une machine infiltrée comme ça (ou rootée) on la réinstalle et c'est tout

Au fait pourquoi il y a le port microsoft-ds ouvert ?

A mon avis, le programme de Spam vient de là, cette nuit, rien à signalé, c'est vraiment pas période. Je vais me farcir toutes les fonctions mails un de ces quatre. Sinon, j'ai déjà fait une recerche sur le back.txt et rien du tout nulle part. Aucune trace.
 

J'avoue ne pas avoir l'envie, le courage et le temps de le faire.

Je suppose que c'est à cause de Samba.

Ha oui pas bete pour samba

Et rndc ? ce n'est pas fait pour gerer named a distance ce truc ? Il y en a vraiment besoin ?

J'ai bind9 sur cette machine que j'utilise pour les dns locaux, mais je ne le gère pas à distance, donc je ne sais pas trop pq il est ouvert ce port.

edit : BIND includes a utility called rndc which allows command line administration of the named daemon from the localhost or from a remote host.

Tu avais vu juste

On doit pouvoir le désactiver.

Elle est pas rooté
Y a juste un phpNuke dessus

Quoi elle est phpnuké ?

Donc pour PHP :
-Passer en fail safe
-Desactiver le allow url
-Disable function : mail (et mettre /dev/null comme sendmail)

Et normalement ça devrait aller

 
 
En tout cas, merci pour votre participation et vos réponses
Je sens que je vais faire dégager ce truc de phpnuke, mais bon, on a pas non plus la certitude que ça vient de là.

Tu ne peux pas passer en safe mode ? Les utilisateurs on qu'a adapter leur script et autre trojan donc il ne te reste qu'a chrooter apache, bon courrage.

Alors le script qui pose problème en safe made n'est pas d'un utilisateur, mais de moi J'ai un site d'hébergement d'images http://www.hostipics.net et en safe mode, le transfert de fichier ne fonctionne pas.
 
Je vais regarder comme chrooter apache

Bizarre, tu utilises quoi de particulier pour que çe na passe pas en safe mode? imagemagick en ligne de commande ?

Non pas du tout, je fais cela avec gd de manière propre normalement Je n'ai pas regardé exactement pourquoi ca ne fonctionnait pas, mais y a un soucis avec le transfert de fichier vers le serveur.

Tient : http://www.phpcs.com/codes/CONTOUR [...] 33572.aspx
 

Merci pour le lien, actuellement  tous les mois se crée un dossier "Année-Mois" et tous les jours se crée un sous dossier "Jour" dans lequel sont placées les images.
 
Il faudrait donc que lorsque je crée le répertoire "Jour", que je copie automatiquement le script dans celui-ci et ne pas oublier de l'effacer plus tard.
 
La logique serait donc :

 
En fait, ca doit être faisable un peu tordu seulement

sinon tu peux uploader ou il y a le script, puis faire un copy vers le repertoire, c'est con mais ça a l'air de marcher (en lisant les commentaires)

Ah oui, c'est encore plus simple

Sur le mien fait a la va vite, je met les images dans un sous repertoire, qui se nomme 1 puis 2... et chaque repertoires contiennent 1000 photos, tout con.