Re: Machine vérolée

To: debian-user-french@lists.debian.org
Subject: Re: Machine vérolée
From: BERTRAND Joël <joel.bertrand@systella.fr>
Date: Sun, 25 Jun 2023 11:34:38 +0200
Message-id: <[🔎] 36a828eb-f684-3c62-7759-5dc9ad7ccbcb@systella.fr>
In-reply-to: <[🔎] 87a5wqplse.fsf@free.fr>
References: <[🔎] b8975793-7a70-d931-ea65-44e8b0cc65f5@systella.fr> <[🔎] 87a5wqplse.fsf@free.fr>

	Quelques nouvelles.

	Le bot en question est une version moderne d'un vieux truc (on en
trouve des traces depuis 2003) :

https://www.politoinc.com/post/2015/04/01/analysis-of-a-romanian-botnet
https://forum.directadmin.com/threads/cannot-restart-apache.17795/
https://forums.gentoo.org/viewtopic-t-316934-postdays-0-postorder-asc-start-0.html

	Je n'ai rien trouvé de bizarre en examinant les disques. Je me demande
si ce vers ne vient pas par une injection externe, la machine ayant été
tagguée quelque part comme vulnérable. Le bot ne se lance pas à une
heure précise comme dans le cas d'un cron (apache2 utilise mod-secure).

	Petite remarque : j'ai modifié allow_url_fopen de on à off dans le
fichier de configuration de php 8.2 (je ne vois pas pourquoi c'est 'on'
par défaut). /tmp est maintenant en noexec.

	À suivre.

	JB

Reply to:

Follow-Ups:
- Re: Machine vérolée
  - From: BERTRAND Joël <joel.bertrand@systella.fr>
- Re: Machine vérolée
  - From: Michel Verdier <mv524@free.fr>

References:
- Machine vérolée
  - From: BERTRAND Joël <joel.bertrand@systella.fr>
- Re: Machine vérolée
  - From: Michel Verdier <mv524@free.fr>

Prev by Date: Re: Re : Re: RAID5 (Mdadm) non fonctionnel sous Debian 11
Next by Date: Re: Machine vérolée
Previous by thread: Re: Machine vérolée
Next by thread: Re: Machine vérolée
Index(es):
- Date
- Thread