Servidor infectado OSF
Introducción
Certains hackeurs, lorsqu'ils hackent la machine, mettent un virus sur celle-ci afin de pouvoir toujours se connecter dessus. Le virus a pu aussi s'installer avec une compilation dont les sources ont été vérolées. Dans tous les cas, ça se passe en root.
Comment voir ?
Ce n'est pas simple. Chaque virus est différent et très rare sous Linux.
OSF
sh-2.04# ls -l /sbin/halt
Segmentation fault
sh-2.04# ls -l /sbin/halt
Segmentation fault
sh-2.04# cd /bin
sh-2.04# ls -l
total 5896
Segmentation fault
sh-2.04# netstat -tanpu
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
udp 0 0 0.0.0.0:3049 0.0.0.0:* 331/rpm
Là on voit que
ls ne veut plus s'exécuter. et qu'il y a quelque chose qui écoute le port 3049 en udp à partir de
rpm. rpm n'a rien à avoir avec le port 3049 en udp.
sh-2.04# grep "OSF" /bin/ls
Binary file /bin/ls matches