Cette archive me fait penser à ce qu'on appelle un possible "honeypot".
C'est une sorte de kit du "hacker débutant".
Je ne pense même pas que ce soit avec celle-là qui a accédé à la machine. Le dictionnaire est trop inconsistant, et pour la placer et la mettre en route il lui a fallu déjà s'introduire.
Il suffit de comparer les logins sur le log et sur le dictionnaire il y en a qui ne matchent pas.
Par contre il a du s'introduire avec le même outil (avec un plus gros dictionnaire), et placer cette archive avec peut-être l'intention l'utiliser comme "zombie" (pour attaquer d'autres machines).
Je disais un honeypot parce que ce n'est pas là que se situe le mal, et cette archive a très bien pu être placée juste pour que le propriétaire du serveur se concentre là-dessus.
Maintenant si l'authentification est faite quelque soit le mot de passe il a du modifier les librairies du méchanisme d'authentification (pam, comme l'a souligné benoit).
Cela peut-être vérifiable si on a deux vm dans le même état de mises-à-jour avec un sha1sum. Sinon dans le doute réinstaller les librairies.
L'intelligence, c'est le seul outil qui permet à l'homme de mesurer l'étendue de son malheur. (Pierre Desproges)
[^] # Re: teste le rootkit
Posté par Benjamin_Perdrielle . En réponse au message Machine compromise.. Évalué à 4. Dernière modification le 09 juillet 2013 à 11:12.
Cette archive me fait penser à ce qu'on appelle un possible "honeypot".
C'est une sorte de kit du "hacker débutant".
Je ne pense même pas que ce soit avec celle-là qui a accédé à la machine. Le dictionnaire est trop inconsistant, et pour la placer et la mettre en route il lui a fallu déjà s'introduire.
Il suffit de comparer les logins sur le log et sur le dictionnaire il y en a qui ne matchent pas.
Par contre il a du s'introduire avec le même outil (avec un plus gros dictionnaire), et placer cette archive avec peut-être l'intention l'utiliser comme "zombie" (pour attaquer d'autres machines).
Je disais un honeypot parce que ce n'est pas là que se situe le mal, et cette archive a très bien pu être placée juste pour que le propriétaire du serveur se concentre là-dessus.
Maintenant si l'authentification est faite quelque soit le mot de passe il a du modifier les librairies du méchanisme d'authentification (pam, comme l'a souligné benoit).
Cela peut-être vérifiable si on a deux vm dans le même état de mises-à-jour avec un sha1sum. Sinon dans le doute réinstaller les librairies.
L'intelligence, c'est le seul outil qui permet à l'homme de mesurer l'étendue de son malheur. (Pierre Desproges)