FS#90 — attaque via p19-3
Attached to Project— Serveurs dédiés
Incident | |
ALL | |
CLOSED | |
![]() |
Nous avons reçu une petite attaque sur un serveur dédié
qui hébergeait un bot irc sauvage. Visiblement les
hackeurs ont trouvé qu'un login backup a été créé sur
la machine avec un mot de passe trivial ce qui leur a
permit d'avoir un accès en shell sur la machine.
backup 28377 0.0 0.3 2048 856 ? S Oct30 0:38 cupsd
backup 4397 0.0 0.2 2080 592 ? S Nov12 4:05 tcsh
tcp 0 0 0.0.0.0:6668 0.0.0.0:* LISTEN 4397/tcsh
tcp 0 35 213.186.45.203:63081 194.134.7.195:6667 ESTABLISHED 4397/tcsh
tcp 0 0 213.186.45.203:34413 161.53.2.81:6667 ESTABLISHED 28377/cupsd
tcp 0 0 213.186.45.203:34432 66.198.160.2:6667 ESTABLISHED 28377/cupsd
tcp 0 0 213.186.45.203:34414 216.152.77.10:6667 ESTABLISHED 28377/cupsd
Le but d'attaque a été probablement l'envie de recuperer
l'accès d'un channel irc.
Nous avons bloqué la machine sur nos routeurs afin d'annuler
l'attaque.
Date: Monday, 06 December 2004, 03:17AMqui hébergeait un bot irc sauvage. Visiblement les
hackeurs ont trouvé qu'un login backup a été créé sur
la machine avec un mot de passe trivial ce qui leur a
permit d'avoir un accès en shell sur la machine.
backup 28377 0.0 0.3 2048 856 ? S Oct30 0:38 cupsd
backup 4397 0.0 0.2 2080 592 ? S Nov12 4:05 tcsh
tcp 0 0 0.0.0.0:6668 0.0.0.0:* LISTEN 4397/tcsh
tcp 0 35 213.186.45.203:63081 194.134.7.195:6667 ESTABLISHED 4397/tcsh
tcp 0 0 213.186.45.203:34413 161.53.2.81:6667 ESTABLISHED 28377/cupsd
tcp 0 0 213.186.45.203:34432 66.198.160.2:6667 ESTABLISHED 28377/cupsd
tcp 0 0 213.186.45.203:34414 216.152.77.10:6667 ESTABLISHED 28377/cupsd
Le but d'attaque a été probablement l'envie de recuperer
l'accès d'un channel irc.
Nous avons bloqué la machine sur nos routeurs afin d'annuler
l'attaque.
Reason for closing: None