shirokoweb
30/11/2014, 20h46
Hmm ça m'a tout l'air d'un bon vieux C99Shell (ftpquickbrute)
Qu'as-tu comme sécurité d'installée sur ton serveur ? (Fail2Ban, Jail ... ?)
Est-ce que tu log les connexions non autorisées ?
Fais une recherche sur ton serveur pour un fichier contenant : Shell_org.php (un ptit updatedb avant )
Si tu veux voir un de ces script en action, tu as ce serveur qui semble infecté :
Lien vers script malicieux
La date d'apparition de tes symptômes coïncide avec la vague d'attaques "shellshock" apparue y'a 1 mois, il se peut que tu aies été infecté par l'une d'entre elles.
D'ailleurs, plusieurs machines hébergées par OVH sont à l'origine de nombreuses attaques, mais ils s'en tapent complètement, vu la réponse faite par le support quand je leur ai signalé.
Qu'as-tu comme sécurité d'installée sur ton serveur ? (Fail2Ban, Jail ... ?)
Est-ce que tu log les connexions non autorisées ?
Fais une recherche sur ton serveur pour un fichier contenant : Shell_org.php (un ptit updatedb avant )
Si tu veux voir un de ces script en action, tu as ce serveur qui semble infecté :
Lien vers script malicieux
La date d'apparition de tes symptômes coïncide avec la vague d'attaques "shellshock" apparue y'a 1 mois, il se peut que tu aies été infecté par l'une d'entre elles.
D'ailleurs, plusieurs machines hébergées par OVH sont à l'origine de nombreuses attaques, mais ils s'en tapent complètement, vu la réponse faite par le support quand je leur ai signalé.