Le ver Gumblar se répand comme une traînée de poudre sur les sites Internet. En utilisant des mots de passe volés, il infecte de nombreux fichiers sur les serveurs Web avec un code malicieux qui, une fois exécuté sur la machine locale de la victime, lui vole ses mots de passe — permettant ainsi d’aller infecter ses sites Internet.
Pour plus d’informations (en anglais) sur ce ver, lire http://blog.unmaskparasites.com/200... et http://www.martinsecurity.net/2009/....
Une astuce pour protéger mes propres serveurs est d’ajouter la ligne suivante dans le cron
qui y tourne chaque minute :
for i in $(grep -E "(image|index).php" /var/log/xferlog | cut -d' ' -f10 | sort -u); do grep unescape $i 2>/dev/null; done | $twitter
$twitter
est un script qui m’envoie un message, cf. Mon ordinateur me twitte.
En d’autres termes : dès qu’un fichier nommé index.php
ou image.php
est chargé par FTP sur mon serveur (laissant une trace dans le journal /var/log/xferlog
), il sera contrôlé ; si le mot "unescape
" y figure, je recevrai un twit dans la minute qui suit.
J’espère que ça ne se déclenchera pas !
2 Messages de forum