[gull] Un ver sur mon serveur

[Simon Schmidig]

Bonjour,

J'ai découvert un probablement un ver sur mon serveur WEB (Fedora C 4,
apache, Zope et Plone).
Depuis hier il y avait de processus PERL qui tourné sans interruption.
Et il y avait quelqu'un qui a ouvert un autre session d'admin. Dans le
répertoire /home/admin (qui n'excitait pas avant) tout une série de
fichiers étrange...
Par exemple un fichier avec :
> ################################### Microsoft Search Worm - by br0k3d ###########################################
>              #### ##### From the same author of LinuxDay Worm and other variants #### #######
> 		######   Brazil , BR , 08/01/2006, the date you were compromissed !  #####

# ps ax | grep httpd
 5154 ?        S      0:02 /usr/local/apache/bin/httpd -DSSL

mais le chemin normal de httpd est plustôt /usr/sbin/httpd

J'ai fait une copie du répertoire /home/admin et j'ai effacé /home/admin
J'ai fait kill 5154
J'ai redémarre
J'ai changé les mots de passe

Est-ce que j'ai tous fait ? Ces fichiers (20 MB), je les envoie à quelqu'un pour une analyse ?
Est-ce que je dois réinstaller le serveur ?

Cordialement

simon schmidig | manzoni schmidig architectes sia
39 eugène marziano | 127 les acacias | t 022 301 70 90 | f 022 301 70 89
| schmidig at perso.ch