Bonjour,
Un serveur d'un client a reçu la visite d'un malware :-/
J'ai vu quelqu'un se connecter en root donc j'ai tout de suite supprimé la connexion root dans ssh
j'ai retrouvé sa clé public dans les authorized_keys donc je l'ai mise de côté
il écoute sur le port 17 donc j'ai rajouté une règle iptables sur ce port
il semble qu'il ddos deux ip en chine, j'ai rajouté une règle iptables en sortant vers ces deux ip
Dans les process qui tournent, il y a /etc/dockera
dans /etc/init.d il a rajouté selinux et DbSecuritySpt il a aussi remplacé /bin/ps et /bin/netstat dans /usr/bin il a créé/modifié .sshd et lsof
J'ai essayé de :
update-rc.d selinux disable
update-rc.d selinux DbSecuritySpt
rm /etc/dockera
kill -9 $dockeraPID
apt-get install --reinstall net-tools
apt-get install --reinstall procps
mais je dois mal me débrouiller ou il manque quelque chose car il revient toujours et se réinstall complètement :(
Et dans la crontab je n'ai rien vu.
J'ai plusieurs questions :
Comment me débarrasser de ce truc ?
Qu'est-ce que je n'ai pas pensé à regarder suite à l'infection qui pourrait être compromettant ?
Est-ce que pour le moment je suis safe en attendant de réinstaller la machine ?
Merci
# ddos ou remote control, analyse à froid
Posté par NeoX . Évalué à 9.
il est probable que ce soit l'inverse, les chinois qui cherche à controler la machine avant de faire une DDOS vers ailleurs.
1°) debranches le cable reseau
2°) analyses la machine à froid (depuis un liveCD, liveUSB)
et si tu veux vraiment comparer, il te faut un systeme identique pour chercher les differents
maintenant, et dans le doute, si tu ne sais pas ce qui a été modifié, le mieux c'est la reinstallation complete,
[^] # Re: ddos ou remote control, analyse à froid
Posté par matthieu bollot (site web personnel, Mastodon) . Évalué à 3.
J'ai oublié de préciser, c'est une machine sur online.net et ce sont eux qui ont prévenus que la machine "floodait vers l'extérieur".
[^] # Re: ddos ou remote control, analyse à froid
Posté par NeoX . Évalué à 4.
mais t'ont-ils fournit un log de ces floods ?
bref dans le doute, met ta machine en mode rescue (c'est une reboot sur liveCD/liveUSB)
tu pourras alors te connecter dessus, monter les partitions en chroot, les analyser, etc
[^] # Re: ddos ou remote control, analyse à froid
Posté par matthieu bollot (site web personnel, Mastodon) . Évalué à 2.
Ils ont passé la machine eux-même en mode rescue à cause du flood. Pour l'analyse j'ai déjà fait ce que je pouvais. Et non j'ai pas de log venant de leur part :(
[^] # Re: ddos ou remote control, analyse à froid
Posté par NeoX . Évalué à 4.
parce que le flood ca peut etre du ping, de l'email, des requetes massives…
# rootkité
Posté par Brunus . Évalué à 4.
Il y a certainement un rootkit installé sur la machine.
Donc, déjà, si c'est une machine chez un hébergeur genre Online, OVH, Gandi etc, réinstaller le système.
En prenant soin de formatter les partitions.
Bien sur, ça suppose d'avoir une sauvegarde des datas/sites/bases…et de préférence propre…
Lors de la réinstallation, installer et configurer rkhunter et chkrootkit.
Si c'est une machine bootable depuis une clé USB ou CD, il est possible de booter un live cd contenant ces deux packages, chkrootkit et rkhunter et de checker le système.
Si le serveur héberge du site web, il faut impérativement faire un audit de tous les fichiers présents dans les arbos des sites…
[^] # Re: rootkité
Posté par matthieu bollot (site web personnel, Mastodon) . Évalué à 2.
C'est une machine chez Online pour les dev, il y a surtout de la config à sauver, tout est dockerisé.
Comme je le disais c'est prévu de réinstaller mais ça prend du temps de tout backup et tout réinstaller donc si ça peut attendre quelques jours/semaine ça m'arrange.
[^] # Re: rootkité
Posté par NeoX . Évalué à 4.
c'est pas maitenant qu'il faut backuper
car tu risques de faire un backup avec la verole.
il faut que tu ressortes le backup d'il y a quelques mois…
si t'en n'as pas, faut simplement reinstaller.
c'est une machine de dev, on peut esperer que le code source est ailleurs, il n'y alors que la reinstallation systeme à faire
[^] # Re: rootkité
Posté par matthieu bollot (site web personnel, Mastodon) . Évalué à 3.
Comme je disais, c'est de la conf et un peu de data que je vais backuper donc le risque est faible de backuper de la verole.
Oui enfin réinstall système + docker + la config applicative + la postgres + importer les données + machin et truc, bref j'en ai quasi pour une journée
[^] # Re: rootkité
Posté par Anonyme . Évalué à 9.
mmh, trouver d'ou ca viens te prendra probablement plus de temps, genre un /us/bin/ghtools qui traine (nom choisi au hasard), avec des ls,top,du modifié aucune chance de le trouver sans livecd. il faudrait la liste de tous tes paquets debian, et controler leur signatures, avec une options que j'eus oublié de apt
concernant la sauvegarde de la vérole, je ne serais pas aussi optimiste. Avec un iptables très restrictifs ya peut etre moyen d'echapper au traffic sortant non désiré
et reviens nous voir avec un journal de tes mesures de sécurité que tu as prises par rapport au serveur troué, j'imagine que plein de monde t'aideront :D, idéalement un vendredi stp.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.