742 vues 0 commentaires

Les roumains m’en veulent !!

par le17 novembre 2007
 

Mon serveur chez dedibox plante depuis deux jours sans vraiment savoir pourquoi je me tape un processus Perl avec la commande Top qui monte à 100% le CPU. Donc je le kill et commence à vérifier tous mes fichiers de log. Et dans le fichier error.log, je m’apercois que mon serveur a fait des demandes vers :

  • http://human-design.ru/adm/faqsupport/config/popup.txt
  • http://www.wsteam.net/bt/sys.txt

D’autres pages sont également de la partie, ce sont des scripts qui peuvent permettre de prendre la main sur mon serveur ou de jouer avec les bases de données. Je vérifie ma crontab et notamment celle de l’utilisateur exécutant apache pour finalement trouver un processus en .bash_history appelé Y2kupdate. Depuis j’ai supprimé cette ligne et redémarrer le serveur.

Mais bon, ensuite je regarde les stats de mon site et voit beaucoup de pages appelées par des ip roumaines plutôt inhabituel pour un site rédigé dans la langue de Molière. Enfin, de toute façon je ne pense pas que ce soit eux qui posent le problème de mon script Perl. Ca va replanter et je ne sais pas encore pourquoi.

J’ai installé Chkrootkit et son scan n’a pas indiquer d’infections.

Sois le premier à commenter !
 
Ajouter un commentaire »

 

    Laisser un commentaire