Un copain Windoweur me contacte: une de ses machines est hackée. Il a pu le voir grace à son mail hub qui commençait à spammer dans toutes les directions. Il fabrique en vitesse des filtres pour arrêter ça et remarque que l'origine du problème se trouve sur une box SuSE 7.2. L'administateur unix est parti sans laisser d'addresse et il me demande de jetter un coup d'oeil car il ne connais pas du tout linux...
La boite SuSE héberge 50 sites virtuels sous apache, avec proftpd pour les mises a jour.
Chaque site contien un formulaire html de contacte permettant de gérer les demandes d'information. Une demande d'info ainsi générée est acheminée au propriétaire du site via le mail hub. L'utilisateur www est donc le principal utilisateur de sendmail et le hack utilise manifestement cette faille connue car les spam sont issus de l'utilisateur www.
Ce que j'ai pu voir: 1. Un spam porno est expédié toutes les 5 secondes. Il rempli completement mqueue. 2. La commande qui provoque l'expédition est 'sendmail -i -t'. j'ai pu la visualiser en lançant une boucle 'ps -ax | grep sendmail' après avoir stopé le démon sendmail. 3. La vérification du package sendmail installé, soit 'rpm -V sendmail' indique que la somme MD5 ne correspond pas. Suite de quoi, j'ai sorti le binaire de la commande sendmail. 4. Idem pour la commande 'makemap', dont la somme MD5 ne correspond pas. 5. J'ai ensuite refermé quelques ports ouverts...
L'état général du serveur est le suivant: 1. La machine a été mise en prod il y a deux ans. 2. Jamais mise à jour 3. Kernel d'origine, non recompilé (2.4.4) 4. Inetd actif avec login, telnet, time, talk et ntalk ! (refermés depuis) 5. X installé mais non-actif. 6. Pas de firewall actif (installé un filtre minimum depuis). 7. Aucune mesure IDS. 8. mySQL actif sur le réseau alors qu'il pourrait être limité à localhost.
Evidement, c'est un peu léger niveau sécurité et, à vrai dire, je suis également
un peu largué.
Quelques questions dont les réponses pourraient certainement m'aider:
1. Je n'ai pas compris le sens de la commande 'sendmail -i -t', quelqu'un saurait-il m'éclairer ?
2. Que peut-on entreprendre de sérieux au stade actuel, que ce soit pour affiner le diagnostique, pour pister le hacker, ou pour sauver les meubles ?
3. Quelqu'un aurait-il l'expérience de ce cas ou d'un cas analogue et aurait une ou deux recommendation à faire à ce sujet ?
D'avance, merci pour le coup de pouce et amicales salutations à tous Bertrand
-- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
