>>> A ce sujet, il n'y aurait pas moyen de limiter les dégats que fait ce virus >>> sur nos serveurs en "occuppant" le virus lorsqu'il fait une requete. >>> Exemple, >>> créér un /scripts/root.exe en php ou cgi ou autre qui ferait betement un >>> sleep et ferait perdre du temps au virus?
J'ai fait une erreur de copier/coller tout à l'heure. Pour IPTABLE voici la routine qui tue : # routine iptable pour filtrage http iptables -I INPUT -i eth0 -p tcp --tcp-flags ACK ACK --dport 80 -m string --string 'root.exe' -j REJECT --reject-with tcp-reset Vous pouvez aussi en faire une autre pour codered avec default.ida (toujours là celui-là). Défaut, elle ferme salement le port. L'avantage c'est que cette routine est "temps réel" par rapport au filtrage de fichiers de logs Apache des autres routines. Pour infos, dans mon serveur le plus scanné, j'ai trouvé 544 IP contaminé pour la date du 25 septembre... Stef... .......................................................... . Linux - Debian - php4 - Apache - MySQL - Infogerance . . email: [EMAIL PROTECTED] - http://www.actionweb.fr . . Tel: (0)141 906 100 - Fax: (0)141 906 101 . ..........................................................
