Journal XPL exploit sous linux, Quelqu'un connaît?

Posté par  .
Étiquettes : aucune
0
18
nov.
2005
Hier j'ai découvert sur un de mes serveur apache un processus appelé XPL (une bonne trentaine d'instances étaient démarrés) et la machine broutait comme une malade.

Sans trop me soucier et presser de remettre le système en route, j'ai fait un "killall -s KILL xpl" et voila tout mes processus mort et la machine répond de nouveau.

Je regarde un peu partout ou se trouve ce fameux processus xpl et je trouve dans /var/tmp/ une série de fichier dont un appelé "scanx.tar.gz" et deux répertoires appelles ".m" et ".de" et dans l'un des répertoire le fameux binaire "xpl". J'efface donc tous ça et j'attends.

5 minutes plus tard, même bordel, le processus xpl de nouveau en route et les même fichiers dans /var/tmp, je décide de prendre le problème a bras le corps et je supprime le compte utilisé pour créer ces fichiers, au passage le système m'indique que ce compte est "logged in" en ssh donc un petit kill sur le process et voila le compte disparu. Depuis plus rien...

Quelqu'un connaît ce truc? Le seul truc que j'ai trouver sur Google c'est un lien vers une liste de virus mais pas d'explication sur la bête.

J'aimerais savoir si mon infection est véritablement fini ou bien faut que je réinstalle tout...J'ai vérifié la plupart des binaires important et leurs checksums correspondent bien à ceux sur le CD. J'utilise la dernière mouture de OpenSSH et de Proftpd (seul port ouvert sur la machine) donc je sais pas trop comment ce truc est entrer.
  • # Amha ..

    Posté par  . Évalué à 3.

    fait une iso complète de ton système, pour analyse post-incident.
    vérifie les logs
    essaye de corréler les connections du compte et les login ftp/ssh...
    • [^] # Re: Amha ..

      Posté par  . Évalué à 2.

      As-tu un awstat sur ta machine? Car le "piratage" de ma machine était dû à une version d'Awstat ayant une faille de sécurité.
      De même, je regarderais dans les logs d'apache en cherchant le nom du répertoire ou de l'éxécutable histoire de voir.
      De même, regarder si le fichier "History" de l'utilisateur est encore là :)

      bonne chasse
    • [^] # Re: Amha ..

      Posté par  . Évalué à 3.

      La premiere chose que je ferais, serais de faire un petit "bilan" avec chkrootkit qui te permettra d'avoir une idée sur l'étendue des dégats.
    • [^] # Re: Amha ..

      Posté par  . Évalué à 2.

      Bon je viens de voir que le mec a utilise la technique du dictionnaire pour rentre sur le systeme et comme par hasard le compte en question avait le meme mot de passe que le login...putain d'utilisateur windows.

      Un petit whois de l'IP me donne (decidement les etudiants russes ont rien de mieux a faire):

      h253.net40.bmstu.ru (195.19.40.253)

      195.19.40.0 - 195.19.47.255
      1 - Informatics and Control Systems faculty
      2 - Rocket - Spase Techniques Branch Facutly
      3 - State Research and Development Center
      for Scientific Instrumentation
      4 - Campus network operation center

      Igor P Ivanov
      Bauman Moscow State Technical University
      5, 2-nd Baumanskaya str.
      107005 Moscow City
      Russia
      +7 095 2636807
      +7 095 2611378
      ivanov@bmstu.ru

      Victor A Grachov
      Bauman Moscow State Technical University
      5, 2-nd Baumanskaya str.
      107005 Moscow City
      Russia
      +7 095 2636702
      grach@bmstu.ru

      Viatcheslav A Lokhtourov
      Bauman Moscow State Technical University
      5, 2-nd Baumanskaya str.
      107005 Moscow City
      Russia
      +7 095 2636474
      +7 095 2611378
      val@bmstu.ru
      • [^] # Re: Amha ..

        Posté par  . Évalué à 4.

        C'est balot aussi de laisser les utilisateurs avoir le même mot de passe que leur login. C'est quand même la leçon de sécurité numéro 1.
      • [^] # Suggestion

        Posté par  . Évalué à 2.

        Passait un coup de John de temps en temps afin de reperer les comptes avec un mot de pass faiblard, et ensuite contacter le proprio de ce compte.

        Bon aprés faut voir si tu as des contraintes et etc ...
      • [^] # Re: Amha ..

        Posté par  (site web personnel) . Évalué à 2.

        c'est marrant, j'ai justement moi aussi eu a faire avec eux, et pour les meme raisons ...
        mais j'était justement sur la machine a ce moment et le CPU qui tourne a 100% m'a intrigué. j'ai purgé le tout avant qu'ils ne puissent vraiment commencer leur travail.
        un repertoire " " (espace espace) dans /var/tmp contenait un scanneur de mots de passe.
        pour le coup j'ai revu toute la secu de ma machine. c'est pas plus mal en fait
    • [^] # Autre suggestion ...

      Posté par  . Évalué à 3.

      que j'ai oublié de mettre dans mon 1er message, bref ...

      Mettre ton /tmp sur une partoche montée avec l'option noexec, ce qui interdit l'excution de tout programme etant localisé sur ce repertoire temporaire. C'est tout con mais ça evites l'execution de pas mal d'exploit/trojan et autres joyeusetés qui rend la vie de l'admin plus palpitante :D

      En tout cas si tu connais deja tout ça, ça servira peut etre a d'autres personnes.
  • # Plus d'infos

    Posté par  (site web personnel) . Évalué à 2.

    Tu as probablement été victime d'une attaque similaire à celle ci :
    http://linuxfr.org/~alis/18871.html

    Tu y trouveras des infos intéressantes et des suggestions pour éviter que ça se reproduise.
  • # Bah ...

    Posté par  . Évalué à 3.

    Il n'y a même pas de question à se poser. Une fois que tu auras trouvé la cause (tu es sûr qu'il n'y avait pas d'outils web sur cette machine ?), il n'y a qu'une chose à faire : formatage et reinstallation.

    N'essaie pas de te persuader que tout est redevenu normal, tu as 99% de chances de perdre. Tu n'es plus chez toi.

    "Dans le doute, abstiens-toi d'être sûr"

    M
    • [^] # Re: Bah ...

      Posté par  . Évalué à 1.

      J'ai trouve la cause, il est rentrer en utilisant la force brute grace a un dictionnaire de username et mot de passe. Un des utilisateur avait un mot de passe a la noix.

      Par contre ensuite je suis quasiment sur qu'il n'y as pas eu d'access en root, tous les su et sudo ont echoues dans les logs et tous les fichiers creer sont estampilles avec le nom et numero du compte en question et seulement dans des repertoire a ecriture universelle genre tmp.

      Comme le serveur est surveille par Nagios je m'en suis rendu compte presque qu'instantanement donc je pense que personne ne s'est loggue physiquement sur le serveur, uniquement les robots qui essayent toutes les combines pour trouver laquelle va peter.

      Mais bon dans de le doute je pense que je vais re-installer.
      • [^] # Re: Bah ...

        Posté par  . Évalué à 2.

        Rien ne vaut un John le ripper qui tourne en tache de fond, et qui envoie un mail aux utilisateurs lorsqu'il a craqué le mot de passe ... effet psychologique garanti :)

        http://www.openwall.com/john/

        Caeies, qui a déjà rencontré ce type de force brut contre ssh sur le serveur d'un copain ...
      • [^] # Re: Bah ...

        Posté par  . Évalué à 1.

        Tu as peut-être simplement trouvé un effet d'un hack précédant. Je m'explique:
        Dans un club de sécurité, nous avons utilisé un dépassement de tampon dans le but de changer un mot de passe. Nous pouvions ensuite nous logguer en utilisant ce mot de passe. Le mot de passe utilisé est simplement, un utilisateur un peu béta pourrai même pas remarquer ce changement de mot de passe. Si il y a eu force brute, la manoeuvre aurait alors été de faire croire à une force brute dans le but de cacher la faille (tout comme l'un des dernier virus sur téléphone mobile qui installe un autre virus sur le mobile dans le but de se camoufler un peu) et de pouvoir encore ce connecter par la suite en la répétant.

        Toutefois, je ne remets pas en cause ton analyse des différents logs et l'attaque peut se résumer à ce que tu a dit. Mais le conseil de Maillequeule est justifié.
  • # Mesures judiciaires ?

    Posté par  . Évalué à 1.

    Une intrusion sur un système est une infraction grave (un délit je pense). Je pense qu'il faudrait que tu gardes toutes les preuves possibles en ta possession et que tu portes plaintes contre X. Si tu ne veux pas aller jusque là, je pense que le minimum dans un premier temps serait de contacter l'Université en question.

    Pour ton système, effectivement, sauvegarde tout pour preuves et réinstalle.
    • [^] # Re: Mesures judiciaires ?

      Posté par  . Évalué à 2.

      Pour ton système, effectivement, sauvegarde tout pour preuves et réinstalle.
      Oui surtout si la machine a servit a faire des choses pas tres catholiques, les traces peuvent servir a se disculper.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.