Forum Clubic

Serveur piraté !

Bonjour,

Sur mon serveur dédié, lorsque je lance un top via la console SSH, il m’apparait une commande inconnue :
“ka-wg.out” et elle tourne depuis un ptit moment déjà…
Elle consomme entre 7 et 11% du CPU.

Connaissez-vous cette commande ?

Commande identifiée…

Il s’agit tout “simplement” d’un pirate !!

Le prog est un floodeur d’irc…

http://packetstormsecurity.nl/irc/kaiten.c

Comment l’a-t-il installé sur la machine par contre…

Ta donné ton mot de passe root à quelqu’un ?

Tu utilises un kernel faillé ou des applications faillées ?

Quelqu’un a bien pu installer un rootkit et d’autres choses pas très réjouissantes.

Non, je ne l’ai donné à personne… on va étudier cela avec mon hébergeur.

Apparemment il aurait installé le truc hier et lancé l’attaque cette nuit à 3h26 pour être préci.

Et ça a duré toute la journée… jusqu’à l’intervention de mon hébergeur qui malheureusement n’était pas là de la journée.

un bon chkrootkit tous les jours, y’a que ca de vrai :smiley:

ya aussi rk-hunter qui est bcp plus efficace (scannage des fichers la première fois puis détéction des chagement de signatures)

Oki, merci.

une bonne excuse pour te mettre à la sécurité :slight_smile:

les alertes de sécu Debian permettent de connaitre les failles de la plupart des paquets utilisé sous linux
www.debian.org

et pense a faire le ménages dans tes services ouvert, si ca se trouve ta encore un telnet en fonctionnement :slight_smile:

Ca existe encore Telnet ??? Je croyais qu’il n’y avait plus que Windows pour utiliser ça ? :stuck_out_tongue:

y a pas mal de tuto qui aprenne a utiliser les faille irc qui traine sur le net meme pour hacker des unix mais j en avai jamais vu ki avai reussi a intallé un soft sans pass :o
soit ton pass est trop facil soit tu a subi du social engenering
soit une tite faille tipe fake login
fo ke tu cherche sur le net du coté des tuto des hackeurs