[Ubuntu-QC] Newbots? Ordinateur envahi!
David Montminy
david.montminy at gmail.com
Jeu 3 Déc 23:10:30 GMT 2009
Gilbert Dion wrote:
>
> Il y a aussi des services comme VirusTotal qui sont très pratique pour
>
> identifier les fichiers:
>
> http://www.virustotal.com/
>
>
>
> David,
> Je dois préciser: sauf le programme bash, ce sont tous des fichiers
> texte (des scripts, des logs, des documents texte brut...), donc, pas de
> virus comme tels, juste un bot qui scanne des adresses, IP je crois.
> Gilbert
>
Ca ne change pas le fait que ces fichiers sont exécutables. VirusTotal
passe ces fichiers à travers 20 Anti-virus connu et donne les
résultats... possitif et négatif.
En passant un peu de recherche à partir des noms de fichiers me donne:
http://www.webhostingtalk.com/showthread.php?p=5323420
http://www.linode.com/forums/viewtopic.php?p=23253
http://www.linuxquestions.org/questions/linux-security-4/i-got-rootkitted-recommendations-for-recovery-729212/
Tout me porte à croire qu'il s'agit d'un "kit" écrit en bash qui se
connecte à un serveur IRC et qui attend des ordres.
Quand au vecteur d'infection: difficile à savoir. Le 'owner' des
fichiers est une bonne indication. Sur les forum que j'ai trouver, une
personne a mentionner que les fichiers appartenait à postgres, un autre
qui a eu des fichiers semblables avait comme 'owner' apache et le 3e a
été 'scanner' sur le port ssh. (visible dans /var/log/auth.log )
Je vais continuer à fouiller, mais je peux confirmer qu'il s'agit bel et
bien d'un vers(worm) créer à partir d'un kit.
David Montminy
Plus d'informations sur la liste de diffusion Ubuntu-quebec