Author: Reveret Julien Date: To: guilde Subject: Re: worm slapper B
On Tue, Oct 01, 2002 at 08:38:24PM +0200, michel wrote: > aie....
> mon serveur web /firewall a ete infecté hier par le ver Linux.Worm.Slapper.B/C ( variante B )
>
>
> j'ai viré les fichiers cachés dans /tmp ( .cinik ) et tué les process qui tournaient , mais mon serveur continue a avoir une activitée reseaux sur ppp0 alors que plus rien ne tourne. ( led du modem adsl qui pedale a fond )
>
> quel outil je pourrais utiliser pour nettoyer ce vers qui m'a infecté, et scanner l'activité IP ?
> Le worm est dans /tmp, je crois qu'il ne tente pas de mettre de backdoor
au système, donc tu en fait une copie pour examiner plus tard.
Ensuite, tu déconnectes la machine pour éviter qu'elle en contamine
d'autres.
Ensuite, tu upgrades la libssl (package libssl, openssl).Si tu as été
contaminé c'est sûrement parce que tu utilises apache avec le mod_ssl et
que tu as une librairie openssl 0.9.6e ou inférieure.
Toujours installé le minimum, donc si on a pas besoin du mod_ssl, on ne
le mets pas.
--
We are the knights who say
echo '16i[q]sa[ln0=aln100%Pln100/snlbx]sbA0D4D465452snlbxq'|dc