Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1739 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Comment supprimer backdoor eggdrop

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Comment supprimer backdoor eggdrop

n°1017709
the_silenc​er
Posté le 03-03-2008 à 19:59:44  profilanswer
 

Bonjour,
 
je viens de découvrir ce backdoor sur mon serveur debian,
il a été visiblement installé via mon phpbb.
 
J'ai trouvé pas mal de choses :
 
ls -la /proc/{le pid du precess eggdrop}/
 
donne entre autres :
 
www-data www-data 0 2008-03-03 18:53 exe -> /var/www/virtual/mon site/htdocs/images/avatars/.dev12/eggdrop
 
le dossier /var/www/virtual/mon site/htdocs/images/avatars/.dev12/ contient des fichiers.
 
J'ai aussi vu que l'utilisateur www-data avait le shell /bin/sh !!?
 
Bref, j'aimerais savoir comment supprimer le plus proprement ceci.
 
Merci d'avance :)  
 
 
 
 

mood
Publicité
Posté le 03-03-2008 à 19:59:44  profilanswer
 

n°1017713
Mjules
Modérateur
Parle dans le vide
Posté le 03-03-2008 à 20:03:13  profilanswer
 

honnêtement, à part la réinstall, il y a peu d'autres solutions. Surtout qu'une faille noyau récente permettait d'avoir un shell root très facilement.


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
n°1017717
Bigon
Avis défavorable
Posté le 03-03-2008 à 20:10:00  profilanswer
 

Mouais je te conseillerais une réinstalle complète de ta machine aussi

n°1017774
the_silenc​er
Posté le 03-03-2008 à 23:32:07  profilanswer
 

:pfff: Woua je m'attendais pas à ca quand même.
 
Ca semble un faille phpbb...enfin bon, repartir sur une machine propre ca fera pas de mal.
 
 :jap:

n°1017967
Mjules
Modérateur
Parle dans le vide
Posté le 04-03-2008 à 14:05:16  profilanswer
 

le problème, c'est que manifestement, www-data a récupéré un shell, et vu qu'il y a un exploit récent sur certains noyau (2.6.18 > 2.6.24.2) qui permet d'obtenir un accès root très facilement, je ne ferais plus confiance à ma machine pour ma part.


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
n°1018023
memaster
ki a volé mon 62?
Posté le 04-03-2008 à 14:54:49  profilanswer
 

Bigon a écrit :

Mouais je te conseillerais une réinstalle complète de ta machine aussi


+1000 :sweat:


---------------
ma conduite intérieure .:R | memaster pilote officiel de la HFR Badoit-Auchan F1 Team | zéro tracas, zéro blabla MMa.ster
n°1018034
Taz
bisounours-codeur
Posté le 04-03-2008 à 15:15:14  profilanswer
 

ton www-data a la possibilité de passer root ou pas ? Réponds à ça et t'auras la réponse à "est-ce que je dois réinstaller"


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Comment supprimer backdoor eggdrop

 

Sujets relatifs
[Shell] Supprimer des fichiers en fonction de la dateinstallation eggdrop
Supprimer completement GRUBUnix supprimer une route définitivement
installation eggdropSupprimer des lignes entre deux balises sous linux
Neogia compta : supprimer une catégorie ?Supprimer tout les mails en queue d'exim ...
supprimer dans tous les sous-dossiers 
Plus de sujets relatifs à : Comment supprimer backdoor eggdrop


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR