Journal : XPL exploit sous linux, Quelqu'un connaît?
Posté par Gazel () le 18 novembre 2005
Hier j'ai découvert sur un de mes serveur apache un processus appelé XPL (une bonne trentaine d'instances étaient démarrés) et la machine broutait comme une malade.
Sans trop me soucier et presser de remettre le système en route, j'ai fait un "killall -s KILL xpl" et voila tout mes processus mort et la machine répond de nouveau.
Je regarde un peu partout ou se trouve ce fameux processus xpl et je trouve dans /var/tmp/ une série de fichier dont un appelé "scanx.tar.gz" et deux répertoires appelles ".m" et ".de" et dans l'un des répertoire le fameux binaire "xpl". J'efface donc tous ça et j'attends.
5 minutes plus tard, même bordel, le processus xpl de nouveau en route et les même fichiers dans /var/tmp, je décide de prendre le problème a bras le corps et je supprime le compte utilisé pour créer ces fichiers, au passage le système m'indique que ce compte est "logged in" en ssh donc un petit kill sur le process et voila le compte disparu. Depuis plus rien...
Quelqu'un connaît ce truc? Le seul truc que j'ai trouver sur Google c'est un lien vers une liste de virus mais pas d'explication sur la bête.
J'aimerais savoir si mon infection est véritablement fini ou bien faut que je réinstalle tout...J'ai vérifié la plupart des binaires important et leurs checksums correspondent bien à ceux sur le CD. J'utilise la dernière mouture de OpenSSH et de Proftpd (seul port ouvert sur la machine) donc je sais pas trop comment ce truc est entrer.
Sans trop me soucier et presser de remettre le système en route, j'ai fait un "killall -s KILL xpl" et voila tout mes processus mort et la machine répond de nouveau.
Je regarde un peu partout ou se trouve ce fameux processus xpl et je trouve dans /var/tmp/ une série de fichier dont un appelé "scanx.tar.gz" et deux répertoires appelles ".m" et ".de" et dans l'un des répertoire le fameux binaire "xpl". J'efface donc tous ça et j'attends.
5 minutes plus tard, même bordel, le processus xpl de nouveau en route et les même fichiers dans /var/tmp, je décide de prendre le problème a bras le corps et je supprime le compte utilisé pour créer ces fichiers, au passage le système m'indique que ce compte est "logged in" en ssh donc un petit kill sur le process et voila le compte disparu. Depuis plus rien...
Quelqu'un connaît ce truc? Le seul truc que j'ai trouver sur Google c'est un lien vers une liste de virus mais pas d'explication sur la bête.
J'aimerais savoir si mon infection est véritablement fini ou bien faut que je réinstalle tout...J'ai vérifié la plupart des binaires important et leurs checksums correspondent bien à ceux sur le CD. J'utilise la dernière mouture de OpenSSH et de Proftpd (seul port ouvert sur la machine) donc je sais pas trop comment ce truc est entrer.
> Lire le journal (15 commentaires, moyenne: 2,2).
Vous avez demandé le commentaire #649905.
Run by 
Cette page a été générée par Templeet en 0.0469s (dont 0.0048 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Bah ...
Il n'y a même pas de question à se poser. Une fois que tu auras trouvé la cause (tu es sûr qu'il n'y avait pas d'outils web sur cette machine ?), il n'y a qu'une chose à faire : formatage et reinstallation.
N'essaie pas de te persuader que tout est redevenu normal, tu as 99% de chances de perdre. Tu n'es plus chez toi.
"Dans le doute, abstiens-toi d'être sûr"
M
[^]Re: Bah ...
J'ai trouve la cause, il est rentrer en utilisant la force brute grace a un dictionnaire de username et mot de passe. Un des utilisateur avait un mot de passe a la noix.
Par contre ensuite je suis quasiment sur qu'il n'y as pas eu d'access en root, tous les su et sudo ont echoues dans les logs et tous les fichiers creer sont estampilles avec le nom et numero du compte en question et seulement dans des repertoire a ecriture universelle genre tmp.
Comme le serveur est surveille par Nagios je m'en suis rendu compte presque qu'instantanement donc je pense que personne ne s'est loggue physiquement sur le serveur, uniquement les robots qui essayent toutes les combines pour trouver laquelle va peter.
Mais bon dans de le doute je pense que je vais re-installer.
[^]Re: Bah ...
Rien ne vaut un John le ripper qui tourne en tache de fond, et qui envoie un mail aux utilisateurs lorsqu'il a craqué le mot de passe ... effet psychologique garanti :)
http://www.openwall.com/john/
Caeies, qui a déjà rencontré ce type de force brut contre ssh sur le serveur d'un copain ...
[^]Re: Bah ...
Tu as peut-être simplement trouvé un effet d'un hack précédant. Je m'explique:
Dans un club de sécurité, nous avons utilisé un dépassement de tampon dans le but de changer un mot de passe. Nous pouvions ensuite nous logguer en utilisant ce mot de passe. Le mot de passe utilisé est simplement, un utilisateur un peu béta pourrai même pas remarquer ce changement de mot de passe. Si il y a eu force brute, la manoeuvre aurait alors été de faire croire à une force brute dans le but de cacher la faille (tout comme l'un des dernier virus sur téléphone mobile qui installe un autre virus sur le mobile dans le but de se camoufler un peu) et de pouvoir encore ce connecter par la suite en la répétant.
Toutefois, je ne remets pas en cause ton analyse des différents logs et l'attaque peut se résumer à ce que tu a dit. Mais le conseil de Maillequeule est justifié.
KiKouN, Bucheron-Geek