http://linuxfr.org/~frbn/ LinuxFr fr http://linuxfr.org/~frbn/ http://linuxfr.org/images/favicon.png 30 null@linuxfr.org (frbn) Fri, 09 Mar 2007 11:01:30 +0100 http://linuxfr.org/forums/12/21076.html http://linuxfr.org/forums/12/21076.html general bonjour,<br /> un des comptes d'une de mes machines a été abusé et utilisé pour procéder à un scan ssh sur d'autres machines extérieures.<br /> Apparemment, j'ai affaire à un script skid qui n'a pas pu compromettre autre chose (bien que mon noyau soit un peu vieux) et a laissé toutes ses traces:<br /> <br /> - session screen ouverte<br /> - bash_history intacte<br /> - stupide changement de passwd du user <br /> - création de dossiers imbriqués au nom discret ('. ') puis install du scanner et lancement de nombreuses instances très gourmandes en cpu<br /> <br /> j'ai toutes les traces de la session interactive de ce gamin mais l'attaque semble venir de 2 adr ip dynamiques de chez aol (probablement compromises aussi).<br /> <br /> J'ai aussi l'adresse mail chez yahoo qui sert à collecter les machines vulnérables découvertes par le scanner.<br /> <br /> Que me conseillez vous comme démarche ?<br /> 1- on oublie<br /> 2- on écrit à abuse@aol.com ?<br /> 3- dépôt de plainte ?<br /> 4- on joue avec le mail du gars ?<br /> 5- on le laisse revenir ?<br /> <br /> D'habitude je prévenais l'ISP ou le propriétaire de la machine en lui demandant de corriger sa machine, mais là on a affaire a un gros mastodonte stupide qui doit crouler sous les "abuses" (aol).<br /> <br /> Sachant que, bien sûr, j'ai corrigé l'impardonnable trou de sécurité que j'avais laissé qui était le mot de passe trivial...<br /> <br /> ps: J'ai bien envie de replacer la vulnérabilité du compte et m'attacher à la session screen qu'il met en route juste pour m'amuser, mais bon j'ai peut-être autre chose à faire aussi... null@linuxfr.org (frbn) Fri, 13 May 2005 10:27:52 +0200 http://linuxfr.org/forums/12/8723.html http://linuxfr.org/forums/12/8723.html general Salut,<br /> <br /> lorsque je créé un compte imap, je renseigne le dossier<br /> Mail pour travailler sur le serveur (postfix): pas de problème.<br /> <br /> Cependant, je me retrouve systématiquement avec un sous-dossier supplémentaire "Mail" qui apparait sur le poste client, que je n'ai pas créé, qui n'existe pas sur le serveur dans le home du compte et qui réapparait même après que je l'aie supprimé de partout (client, serveur et arborescence de thunderbird).<br /> <br /> (J'ai essayé de détruire les .msf sur le client aussi)<br /> <br /> Si quelque'un a une idée de ce comportement énervant, si celà vient du client ou du serveur ?<br /> <br /> <br /> merci