Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
3202 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs

  Worms Slapper

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Worms Slapper

n°367267
ipnoz
Les militaires sociopathes
Posté le 29-11-2003 à 22:35:49  profilanswer
 

J'ai verifier les logs de ma passerelle (MDK 9.1) tout a l'heure et j'ai vu les resultats de plusieurs chkrootkit . Parfois j'ai un warning comme quoi je serais probablement infecté par Slapper , parfois Slapper et Scalpper , parfois aucun pb.  
De plus parfois mon /root/.bash_history est vide ce qui me laisse une sale impression que quelqu'un est passé sur ma passerelle , puis a effacé ses traces .
 
Pourtant , je me suis renseigné sur Slapper et Scalper , et se sont des worms qui n'attaquent que certaines versions d'Apache encore vulnerable a une faille openssh vieux de 1 ans et demi ( apache qui ne tourne pas sur ma passerelle mais sur un serveur dans mon reseau) .
 
Je flippe un peu la mais je vois pas trop quoi faire pour pousser mes recherches , y rien qui tourne dessus sauf un p'tit mldonkey  [:nikolai] , update toujours a jours ...
 
Qlq'1 a une idée ?

mood
Publicité
Posté le 29-11-2003 à 22:35:49  profilanswer
 

n°367289
rawcut
tw: @_rawcut
Posté le 29-11-2003 à 22:45:22  profilanswer
 

Oui, coupe ton mozilla et refait le test :D

n°367296
rawcut
tw: @_rawcut
Posté le 29-11-2003 à 22:48:02  profilanswer
 

Ha oué nan en fait ct pour LKM que ca me faisait des alertes si je laissais ouvert firebird. :o

n°367394
ipnoz
Les militaires sociopathes
Posté le 30-11-2003 à 00:09:52  profilanswer
 

Ah sinon , je trouve ca dans mon /tmp :
 


[root@passerelle dav]# ls -alh /tmp/
total 8,0K
drwxrwx-wt    2 root     adm          4,0K nov 29 23:57 ./
drwxr-x--x   18 root     adm          4,0K oct 10 23:12 ../
-rw-------    1 root     root            0 nov 25 16:15 .resolv.conf.00LTZE
-rw-------    1 root     root            0 nov 22 19:02 .resolv.conf.00ZdCs
-rw-------    1 root     root            0 nov 26 03:21 .resolv.conf.0jXoaV
-rw-------    1 root     root            0 nov 21 00:19 .resolv.conf.0zyJCS
-rw-------    1 root     root            0 nov 26 22:22 .resolv.conf.1NabKQ
-rw-------    1 root     root            0 nov 22 08:19 .resolv.conf.2k04bO
-rw-------    1 root     root            0 nov 28 15:46 .resolv.conf.2ooDmE
-rw-------    1 root     root            0 nov 19 12:28 .resolv.conf.4aeqkN
-rw-------    1 root     root            0 nov 19 06:41 .resolv.conf.5EkNOL
-rw-------    1 root     root            0 nov 27 03:24 .resolv.conf.7xW3nm
-rw-------    1 root     root            0 nov 23 11:39 .resolv.conf.9mxnhZ
-rw-------    1 root     root            0 nov 23 00:36 .resolv.conf.bmauPo
-rw-------    1 root     root            0 nov 23 21:45 .resolv.conf.CCTwuE
-rw-------    1 root     root            0 nov 20 19:11 .resolv.conf.CFnPHq
-rw-------    1 root     root            0 nov 25 05:30 .resolv.conf.CHH6oI
-rw-------    1 root     root            0 nov 20 03:52 .resolv.conf.cLwPYi
-rw-------    1 root     root            0 nov 21 09:48 .resolv.conf.E3m7be
-rw-------    1 root     root            0 nov 26 08:07 .resolv.conf.EcvZ62
-rw-------    1 root     root            0 nov 28 20:46 .resolv.conf.Ev5iR6
-rw-------    1 root     root            0 nov 19 23:12 .resolv.conf.FgkTcu
-rw-------    1 root     root            0 nov 24 19:47 .resolv.conf.fM8kIz
-rw-------    1 root     root            0 nov 26 17:38 .resolv.conf.FZRFil
-rw-------    1 root     root            0 nov 25 00:35 .resolv.conf.gb3n0o
-rw-------    1 root     root            0 nov 25 11:26 .resolv.conf.GEkx8G
-rw-------    1 root     root            0 nov 20 14:00 .resolv.conf.ifpjnp
-rw-------    1 root     root            0 nov 29 02:33 .resolv.conf.jaJ6s6
-rw-------    1 root     root            0 nov 28 10:46 .resolv.conf.JQpgHM
-rw-------    1 root     root            0 nov 24 13:59 .resolv.conf.jSSuZl
-rw-------    1 root     root            0 nov 26 12:59 .resolv.conf.Ke20ZV
-rw-------    1 root     root            0 nov 29 23:57 .resolv.conf.KJpFZF
-rw-------    1 root     root            0 nov 27 07:56 .resolv.conf.KM4O2c
-rw-------    1 root     root            0 nov 23 16:12 .resolv.conf.kWrF71
-rw-------    1 root     root            0 nov 24 03:36 .resolv.conf.M5BaAs
-rw-------    1 root     root            0 nov 27 23:22 .resolv.conf.mgOx3i
-rw-------    1 root     root            0 nov 29 13:25 .resolv.conf.oh4zNX
-rw-------    1 root     root            0 nov 22 13:16 .resolv.conf.p5tBLQ
-rw-------    1 root     root            0 nov 24 09:06 .resolv.conf.pOzRaG
-rw-------    1 root     root            0 nov 25 21:53 .resolv.conf.PPkHTW
-rw-------    1 root     root            0 nov 27 18:23 .resolv.conf.QAmRS3
-rw-------    1 root     root            0 nov 29 18:44 .resolv.conf.s6KUUs
-rw-------    1 root     root            0 nov 28 05:17 .resolv.conf.TGCNPe
-rw-------    1 root     root            0 nov 27 13:29 .resolv.conf.UEi55r
-rw-------    1 root     root            0 nov 22 03:10 .resolv.conf.Us9Mim
-rw-------    1 root     root            0 nov 29 07:55 .resolv.conf.vUjfX5
-rw-------    1 root     root            0 nov 19 18:25 .resolv.conf.xeYZ8w
-rw-------    1 root     root            0 nov 20 09:14 .resolv.conf.y2GjqL
-rw-------    1 root     root            0 nov 21 21:12 .resolv.conf.Ylrtrt
-rw-------    1 root     root            0 nov 21 05:15 .resolv.conf.yNXD3L
-rw-------    1 root     root            0 nov 21 15:33 .resolv.conf.ZD5dYl
-rw-------    1 root     root            0 nov 23 05:53 .resolv.conf.zF97CV
[root@passerelle dav]#


 
ca veux dire quoi ca ?


Message édité par ipnoz le 30-11-2003 à 00:12:03
n°367400
ipnoz
Les militaires sociopathes
Posté le 30-11-2003 à 00:14:33  profilanswer
 

et j'ai aussi ca de temps en temps dans mon /var/log/message
 


Nov 28 17:10:30 passerelle kernel: KERNEL: assertion (newsk->state != TCP_SYN_RECV) failed at tcp.c(2229)
Nov 28 17:10:30 passerelle kernel: KERNEL: assertion ((1<<sk2->state)&(TCPF_ESTABLISHED|TCPF_CLOSE_WAIT|TCPF_CLOSE)) failed at af_inet.c(693)
Nov 28 17:11:01 passerelle CROND[20662]: (root) CMD (   /usr/share/msec/promisc_check.sh)
Nov 28 17:11:13 passerelle kernel: KERNEL: assertion (newsk->state != TCP_SYN_RECV) failed at tcp.c(2229)
Nov 28 17:11:13 passerelle kernel: KERNEL: assertion ((1<<sk2->state)&(TCPF_ESTABLISHED|TCPF_CLOSE_WAIT|TCPF_CLOSE)) failed at af_inet.c(693)
Nov 28 17:11:57 passerelle kernel: KERNEL: assertion (newsk->state != TCP_SYN_RECV) failed at tcp.c(2229)
Nov 28 17:11:57 passerelle kernel: KERNEL: assertion ((1<<sk2->state)&(TCPF_ESTABLISHED|TCPF_CLOSE_WAIT|TCPF_CLOSE)) failed at af_inet.c(693)
 

n°367463
Kristoph
Posté le 30-11-2003 à 10:23:52  profilanswer
 

Installe chkrootkit et utilise le.

n°367590
ipnoz
Les militaires sociopathes
Posté le 30-11-2003 à 14:10:23  profilanswer
 

Kristoph a écrit :

Installe chkrootkit et utilise le.


 
???
 
Dans mon 1er post , je dis bien que j'utilise chkrootkit . Mais chkrootkit permet de virer un worm ou un rootkit ?

n°367940
nikosaka
Posté le 01-12-2003 à 08:13:57  profilanswer
 

ipnoz a écrit :


 
???
 
Dans mon 1er post , je dis bien que j'utilise chkrootkit . Mais chkrootkit permet de virer un worm ou un rootkit ?


Non tu ne peux pas virer un rootkit avec (enfin je crois)
Ton kernel serait pas un 2.4.20 compilé à la main ?
Est ce que ta passerelle freeze parfois ?
Fais quelques tests avec memtest86

n°368309
ipnoz
Les militaires sociopathes
Posté le 01-12-2003 à 20:45:41  profilanswer
 

c'est ce qui me semblait , on peut pas virer un rootkit avec ce prog.  
Non mon kernel est un 2.4.21 MDK donc je pense pas que l'exploit ptrace soit possible dessus , mais sait on jamais ...

n°368318
Kristoph
Posté le 01-12-2003 à 20:58:50  profilanswer
 

ipnoz a écrit :


 
???
 
Dans mon 1er post , je dis bien que j'utilise chkrootkit . Mais chkrootkit permet de virer un worm ou un rootkit ?


 
Oups ! J'avais pas vu dsl :)

mood
Publicité
Posté le 01-12-2003 à 20:58:50  profilanswer
 

n°368340
void_ppc
Posté le 01-12-2003 à 21:22:26  profilanswer
 

tu utilise un client dhcp ?

n°368361
ipnoz
Les militaires sociopathes
Posté le 01-12-2003 à 21:39:04  profilanswer
 

moi ? oui .

n°368373
void_ppc
Posté le 01-12-2003 à 21:54:22  profilanswer
 

c'est pour les fichiers qui sont dans /tmp, c'est sans doute lui qui te les crées ;)

n°368394
ipnoz
Les militaires sociopathes
Posté le 01-12-2003 à 22:16:43  profilanswer
 

void_ppc a écrit :

c'est pour les fichiers qui sont dans /tmp, c'est sans doute lui qui te les crées ;)


 
ah ok  [:nikolai]

n°368407
void_ppc
Posté le 01-12-2003 à 22:32:29  profilanswer
 

ipnoz a écrit :


 
ah ok  [:nikolai]  


 
relation dhcp <=> resolv.conf voyons (il le modifie selon ce que le serveur dhcpd lui donne)
 
 :o


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs

  Worms Slapper

 

Sujets relatifs
Plus de sujets relatifs à : Worms Slapper

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.055 secondes

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)