d'apres les pages que j'ai trouvé, il installe bien un backdoor.
j'ai devalidé ssl en attendant.
j'ai vite effacé les fichiers /tmp/.cinik /tmp/.cinik.go ......j'e les ai
pas gardé dommage , j'aurais du les regarder a tete reposé.
je vais mettre a jour .....
merci.
----- Original Message -----
From: "Reveret Julien" <shaddai@???>
To: <guilde@???>
Sent: Wednesday, October 02, 2002 7:34 PM
Subject: Re: worm slapper B
> On Tue, Oct 01, 2002 at 08:38:24PM +0200, michel wrote:
> > aie....
> > mon serveur web /firewall a ete infecté hier par le ver
Linux.Worm.Slapper.B/C ( variante B )
> >
> >
> > j'ai viré les fichiers cachés dans /tmp ( .cinik ) et tué les process
qui tournaient , mais mon serveur continue a avoir une activitée reseaux sur
ppp0 alors que plus rien ne tourne. ( led du modem adsl qui pedale a fond )
> >
> > quel outil je pourrais utiliser pour nettoyer ce vers qui m'a infecté,
et scanner l'activité IP ?
> >
> Le worm est dans /tmp, je crois qu'il ne tente pas de mettre de backdoor
> au système, donc tu en fait une copie pour examiner plus tard.
> Ensuite, tu déconnectes la machine pour éviter qu'elle en contamine
> d'autres.
> Ensuite, tu upgrades la libssl (package libssl, openssl).Si tu as été
> contaminé c'est sûrement parce que tu utilises apache avec le mod_ssl et
> que tu as une librairie openssl 0.9.6e ou inférieure.
> Toujours installé le minimum, donc si on a pas besoin du mod_ssl, on ne
> le mets pas.
>
> --
> We are the knights who say
> echo '16i[q]sa[ln0=aln100%Pln100/snlbx]sbA0D4D465452snlbxq'|dc
>