Discussion :

[tom75]

bonjour tt le monde,

A cause d'un ralentissement hier soir, j'ai vérifié mes logs (/var/log/httpd/error_log), voici ce que j'ai trouvé :

----------------------------------------------------
--23:55:47-- http://tododescargas.co.ve/images/.bot/sunbeam
=> `sunbeam'
Connexion vers tododescargas.co.ve:80...Connecté!
requête HTTP transmise, en attente de la réponse...200 OK
Longueur: 16,833 [text/plain]

0K .......... ...... 100% @ 30.00 KB/s

23:55:48 (30.00 KB/s) - `sunbeam' sauvegardé [16833/16833]
----------------------------------------------------

Pourriez vous m'aider SVP, est ce que vous pouvez me dire si c'est une tentative de hack de mon SD, le lien (http://tododescargas.co.ve/images/.bot/sunbeam) est accessible mais à vrai dire je n'y comprends pas grand chose. Comment pourrais je corriger ou prévenir à ce trou de sécurité, si vulnérabilité il y a ?

Merci

[FeaR]

Huh etrange... Du perl :S Heureusement, le script ne peut pas s'exécuter car tu na pas installer PERL.

C'est toi qui la envoyer??? Sinon regarde dans tes scripts d'upload ( si t'en a un )

[tom75]

Non, ce n'est pas moi qui ait envoyé le script.

PERL est installé, et par moment je vois en faisant un top, un process nobody avec Perl comme commande, ce process me prend 54% de mon CPU et je suis obligé de faire un kill à chaque fois pour l'arrêter.

Jusqu'à maintenant je n'ai pas pu voir d'où vient cette intrusion. Le seul système d'upload sur mon site est via Invision board 2 et j'ai réduit le type de fichiers attachés aux images uniquement.

Si vous pouvez m'aider car là j'suis vraiment coincé

Merci

[FeaR]

Tu peux toujours bloquer le répertoire avec une commandes Apache

[tom75]

C'est ce que j'ai fait heureusement. Après de nombreux scans, j'ai enfin découvert la faille de sécurité !

Pour ceux qui passent par là, la vulnérabilité vient de Joomla, la solution est disponible sur leur site !