Re: Machine vérolée
Erwann Le Bras a écrit :
> bonjour
Bonjour,
> plusieurs pistes :
>
> - un truc qui se lance au démarrage de la machine et reste bien planqué
> qui lance la saleté de temps en temps) ?
> Je pense par exemple, s'il a exploité une faille de Apache à la base, a
> pu modifié la config pour se lancer? Ou au boot de la machine
> (systemctl) si les privilèges acquis permettaient d'avoir les droits "root"
Il n'y a pas de systemctl, c'est un serveur Devuan.
> -SPIP est basé sur PHP ; je ne pense pas que le système SPIP lui-même
> serait touché (pas assez populaire) , mais les lancement de PHP?
>
> -Même remarque avec Perl, puisqu'il tourne avec.
>
> - Tu as fait un script /bin/sh, c'est très bien... à condition qu'il
> passe bien par sh et pas directement par un autre shell. dans ce cas,
> renommer tous les shelles présents en .sav, les remplacer par des liens
> vers ton /bin/sh, et enfin lancer le script légitime avec le shell
> d'origine.sav.
Il passe par sh (j'ai le script zombie qui me l'indique).
JB
Reply to: