Un copain Windoweur me contacte: une de ses machines est hack�e. Il a pu le voir grace � son mail hub qui commen�ait � spammer dans toutes les directions. Il fabrique en vitesse des filtres pour arr�ter �a et remarque que l'origine du probl�me se trouve sur une box SuSE 7.2. L'administateur unix est parti sans laisser d'addresse et il me demande de jetter un coup d'oeil car il ne connais pas du tout linux...
La boite SuSE h�berge 50 sites virtuels sous apache, avec proftpd pour les mises a jour.
Chaque site contien un formulaire html de contacte permettant de g�rer les demandes d'information. Une demande d'info ainsi g�n�r�e est achemin�e au propri�taire du site via le mail hub. L'utilisateur www est donc le principal utilisateur de sendmail et le hack utilise manifestement cette faille connue car les spam sont issus de l'utilisateur www.
Ce que j'ai pu voir: 1. Un spam porno est exp�di� toutes les 5 secondes. Il rempli completement mqueue. 2. La commande qui provoque l'exp�dition est 'sendmail -i -t'. j'ai pu la visualiser en lan�ant une boucle 'ps -ax | grep sendmail' apr�s avoir stop� le d�mon sendmail. 3. La v�rification du package sendmail install�, soit 'rpm -V sendmail' indique que la somme MD5 ne correspond pas. Suite de quoi, j'ai sorti le binaire de la commande sendmail. 4. Idem pour la commande 'makemap', dont la somme MD5 ne correspond pas. 5. J'ai ensuite referm� quelques ports ouverts...
L'�tat g�n�ral du serveur est le suivant: 1. La machine a �t� mise en prod il y a deux ans. 2. Jamais mise � jour 3. Kernel d'origine, non recompil� (2.4.4) 4. Inetd actif avec login, telnet, time, talk et ntalk ! (referm�s depuis) 5. X install� mais non-actif. 6. Pas de firewall actif (install� un filtre minimum depuis). 7. Aucune mesure IDS. 8. mySQL actif sur le r�seau alors qu'il pourrait �tre limit� � localhost.
Evidement, c'est un peu l�ger niveau s�curit� et, � vrai dire, je suis �galement
un peu largu�.
Quelques questions dont les r�ponses pourraient certainement m'aider:
1. Je n'ai pas compris le sens de la commande 'sendmail -i -t', quelqu'un saurait-il m'�clairer ?
2. Que peut-on entreprendre de s�rieux au stade actuel, que ce soit pour affiner le diagnostique, pour pister le hacker, ou pour sauver les meubles ?
3. Quelqu'un aurait-il l'exp�rience de ce cas ou d'un cas analogue et aurait une ou deux recommendation � faire � ce sujet ?
D'avance, merci pour le coup de pouce et amicales salutations � tous Bertrand
-- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se d�sabonner aussi.
