Bulletin hebdomadaire du CERT Renater 12/01/2007

Bonjour,

Durant la semaine du 12/01/07 au 19/01/07, 7 cas de
compromissions ont été portés à notre attention.
Au total, 2081063 adresses IP ont été scannées par
13953 sources distinctes.

Cette semaine 4 modifications de site web sont à signaler.

Dans un premier cas l’attaque a touché une ancienne faille de l’outil
Awstats datant de 2005. La faille exploitée portait sur la variable
« configdir ».
Références:
http://secunia.com/advisories/13893/
http://secunia.com/advisories/20164/

Deux autres modifications de site web ont touché les applications mambo
et Joomla! au niveau de la variable « mosConfig_absolute_path » de
plusieurs composantes « components » de ces outils (mambo 4.5.2 et joomla
1.0.0 ). Il s’agit de failles anciennes qui auraient pu être bloquées
si le paramètre « register_globals » avait été mis à off.
Référence:
http://secunia.com/search/?search=mosConfig_absolute_path

Une autre modification de site web a porté sur l’exploitation
de failles présentes sur plusieurs variables ajoutées au niveau
des pages « index.php » qui permettaient l’exécution de code.

Quatre machines compromises ont été mises au jour à la suite d’attaques
sur des comptes SSH. Dans un cas on note que l’intrus avait déjà
récupéré les mots de passe sans avoir au préalable lancé de scans
de type brute force sur les comptes ssh du serveur.
Dans le premier cas l’intrus a installé de nombreux outils sous
/tmp/.font-unix/. / dont un scanner de port, un shell et un bot irc.
Dans un deuxième cas la machine a été repérée après l’envoi de scans
sur le port 6000/tcp, elle contenait plusieurs outils suspects
dont deux backdoors Trojan.Linux.RST.b, PHP.Defash.B et deux scanners
de port nommés pscan2, pscan21.
Dans le troisième cas l’intrus a installé des outils sous
/dev/shm/.shm/krad et a utilisé la machine pour envoyer de
nombreux mails, probablement de type spam ou d’hameçonnage (phishing).

Un dernier cas est en attente d’analyse.

Origine de l’article :
http://www.up.univ-mrs.fr/wcri/d_serv/d_reseau/d_cert/2007/certmsgSTAT003