Discussion :

[slyz0r]

arf, dommage...

sauf que tu confonds deux choses à mon avis, ce que tu as bloqué c'est l'IP du C&C, pas l'IP qui t'a infecté (et donc qui a exploité la faille), par nature comme il s'agit d'un botnet les IP susceptibles d'exploiter la faille sont nombreuses

Ha là, tu viens de me faire comprendre un point supplémentaire. Dans ma vision du scénario, c'était bien le C&C qui infectait les différents serveurs et exploitait ensuite la backdoor.

Pour être honnête je connais très mal le monde des botnets. Je commence seulement à lire des articles sur le sujet

Médisant ? qu'ai-je donc dit que tu as mal pris ?

Mhmm, je trouve que tu es parfois un peu rabaissant dans tes réponses... Je prends comme exemple celle au sujet de la ré-exploitation de la faille

Je suis, sans doute, un peu trop susceptible

[Jipété]

Je suis, sans doute, un peu trop susceptible

Et BB est très taquin !
Calme, calme...

Ça va mieux ton rhume, BB ?

[BufferBob]

Et BB est très taquin !

oui voilà, disons ça... ça me conforte surtout dans l'idée que chacun sa merde aider les autres for free tout ça c'est très bien mais trop peu gratifiant, je laisse ça à d'autres qui le feront bien mieux que moi ou facture à l'appui, j'suis trop vieux pour ces conneries

Ça va mieux ton rhume, BB ?

J'ai la rate qui s'dilate, j'ai le foie qu'est pas droit, j'ai le ventre qui se rentre, j'ai l'pylore qui s'colore...

[Jipété]

oui voilà, disons ça... ça me conforte surtout dans l'idée que chacun sa merde aider les autres for free tout ça c'est très bien mais trop peu gratifiant, je laisse ça à d'autres qui le feront bien mieux que moi ou facture à l'appui, j'suis trop vieux pour ces conneries

Ah, ça dépend du contexte...
HS : ce matin on sonne c'est le voisin, l'air un peu désespéré il me lance "tu t'y connais en connexion à la box, toi ?"
Bon, c'est pas ma tasse de thé mais je sais deux-trois trucs alors je vais voir.
Il me raconte qu'il a passé la journée d'hier (ouais ! Toute la journée avec la hotline de son FAI !) au tél pour keud, ce matin la machine n'est toujours pas connectée, suite à je sais plus quoi on s'en fout.
Je regarde la bête, je lance une boîte Dos, ipconfig me renvoie l'adresse en 169.etc., je lui demande comment il se connecte il me répond "wifi" ohlala ça pue, ça, t'as pas un câble ?
Il me le sort on le branche je reboote et valà, je suis devenu le dieu de l'informatique dans le secteur, ça fait plaize,

[slyz0r]

oui voilà, disons ça... ça me conforte surtout dans l'idée que chacun sa merde aider les autres for free tout ça c'est très bien mais trop peu gratifiant, je laisse ça à d'autres qui le feront bien mieux que moi ou facture à l'appui, j'suis trop vieux pour ces conneries

Haaaaaaaaaaa mais non ! Ce n'était pas ce que je cherchais :o) ! Surtout que je t'ai remercié plusieurs fois, en précisant que tu m'aidais beaucoup. Je trouverais cela gratifiant à ta place

Blague à part, toute cette histoire me rend tendu, sans compter ma susceptibilité

Par contre, en y réfléchissant, en plus de la faille, il me reste encore quelque chose à élucider lol. Au départ, dans la sortie de la commande ps, il n'affiche pas la commande perl mais un autre processus. Dans ce cas-ci, apache2...

Il y a donc un autre script qui vient dissimuler cette backdoor...

J'ai ajouté des checks via mon outil de monitoring, installé atop et configuré des utilisateurs particuliers pour chaque serveur d'application. Je serai alerté et j'aurai plus d'info si il se reconnecte.

Bref, suite au prochain épisode !

Encore merci à tous les 2.

Soigne bien ton rhume & bonne soirée