Le Wed, 15 Jun 2011 10:15:04 +0200, Romaric DEFAUX <r...@audaxis.com> a écrit :
> Salut la liste ! > > J'aurai besoin de conseil. > On a un serveur corrompu (on en est sûr à 99% qu'il est corrompu). > C'est un serveur web Ubuntu 8.04.4 LTS. > Voici les symptômes : > > - des fichiers php sont modifiés tous les 4h : > la balise php ouvrante est remplacée par : > <?php eval(base64_decode( > suivi de code en base 64 > > - des process qui ne devraient pas font des connections vers notre > ldap : tcp 1 0 192.168.2.201:51954 > 192.168.2.182:389 CLOSE_WAIT 6333/postgres > tcp 0 0 192.168.2.201:41109 192.168.2.182:389 > TIME_WAIT - > tcp 1 0 192.168.2.201:51946 192.168.2.182:389 > CLOSE_WAIT 6256/mysqld > tcp 0 0 192.168.2.201:41110 192.168.2.182:389 > TIME_WAIT - > tcp 1 0 192.168.2.201:51963 192.168.2.182:389 > CLOSE_WAIT 6384/nrpe > > - des process cachés sont découverts avec unhide (ce sont peut-être > des faux positifs ?) > unhide brute > Unhide 02-11-2007 > yje...@security-projects.com > > > [*]Starting scanning using brute force against PIDS > > Found HIDDEN PID: 1875 > Found HIDDEN PID: 11836 > Found HIDDEN PID: 19403 > Found HIDDEN PID: 22328 > Found HIDDEN PID: 22333 > Found HIDDEN PID: 22541 > Les pid changent. > > On ne sait pas comment c'est arrivé (mais on suppose via un joomla ou > un wordpress), du coup on craint qu'une réinstallation totale ne > serve à rien. > > Est-ce que vous auriez des conseils à donner ? > Etant donné que c'est un serveur de prod, on ne l'a pas encore isolé > du réseau. > > Merci d'avance > Romaric > Bonjour, Cherche dans les logs d'apache les requetes POST. Ces scripts sont souvent commandés à distance. Sinon, cherche des fichiers php dans les répertoire où les utilisateurs peuvent uploader (et plus globalement là où ils ne devraient pas y en avoir). Tu peux aussi, si tu as les sources quelque part, comparer les arborescences. Bon courage Bruno -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20110615104716.499b6...@bruno.vf-online.local
