Bonjour,
 
je viens de découvrir ce backdoor sur mon serveur debian,
il a été visiblement installé via mon phpbb.
 
J'ai trouvé pas mal de choses :
 
ls -la /proc/{le pid du precess eggdrop}/
 
donne entre autres :
 
www-data www-data 0 2008-03-03 18:53 exe -> /var/www/virtual/mon site/htdocs/images/avatars/.dev12/eggdrop
 
le dossier /var/www/virtual/mon site/htdocs/images/avatars/.dev12/ contient des fichiers.
 
J'ai aussi vu que l'utilisateur www-data avait le shell /bin/sh !!?
 
Bref, j'aimerais savoir comment supprimer le plus proprement ceci.
 
Merci d'avance  
 
 
 
 

honnêtement, à part la réinstall, il y a peu d'autres solutions. Surtout qu'une faille noyau récente permettait d'avoir un shell root très facilement.

Mouais je te conseillerais une réinstalle complète de ta machine aussi

Woua je m'attendais pas à ca quand même.
 
Ca semble un faille phpbb...enfin bon, repartir sur une machine propre ca fera pas de mal.
 
 

le problème, c'est que manifestement, www-data a récupéré un shell, et vu qu'il y a un exploit récent sur certains noyau (2.6.18 > 2.6.24.2) qui permet d'obtenir un accès root très facilement, je ne ferais plus confiance à ma machine pour ma part.

+1000

ton www-data a la possibilité de passer root ou pas ? Réponds à ça et t'auras la réponse à "est-ce que je dois réinstaller"