Hier j'ai découvert sur un de mes serveur apache un processus appelé XPL (une bonne trentaine d'instances étaient démarrés) et la machine broutait comme une malade.
Sans trop me soucier et presser de remettre le système en route, j'ai fait un "killall -s KILL xpl" et voila tout mes processus mort et la machine répond de nouveau.
Je regarde un peu partout ou se trouve ce fameux processus xpl et je trouve dans /var/tmp/ une série de fichier dont un appelé "scanx.tar.gz" et deux répertoires appelles ".m" et ".de" et dans l'un des répertoire le fameux binaire "xpl". J'efface donc tous ça et j'attends.
5 minutes plus tard, même bordel, le processus xpl de nouveau en route et les même fichiers dans /var/tmp, je décide de prendre le problème a bras le corps et je supprime le compte utilisé pour créer ces fichiers, au passage le système m'indique que ce compte est "logged in" en ssh donc un petit kill sur le process et voila le compte disparu. Depuis plus rien...
Quelqu'un connaît ce truc? Le seul truc que j'ai trouver sur Google c'est un lien vers une liste de virus mais pas d'explication sur la bête.
J'aimerais savoir si mon infection est véritablement fini ou bien faut que je réinstalle tout...J'ai vérifié la plupart des binaires important et leurs checksums correspondent bien à ceux sur le CD. J'utilise la dernière mouture de OpenSSH et de Proftpd (seul port ouvert sur la machine) donc je sais pas trop comment ce truc est entrer.
# Amha ..
Posté par Loic Jaquemet . Évalué à 3.
vérifie les logs
essaye de corréler les connections du compte et les login ftp/ssh...
[^] # Re: Amha ..
Posté par Mathieu Feulvarc'h . Évalué à 2.
De même, je regarderais dans les logs d'apache en cherchant le nom du répertoire ou de l'éxécutable histoire de voir.
De même, regarder si le fichier "History" de l'utilisateur est encore là :)
bonne chasse
[^] # Re: Amha ..
Posté par Frederic Brugmans . Évalué à 3.
[^] # Re: Amha ..
Posté par Gazel . Évalué à 2.
Un petit whois de l'IP me donne (decidement les etudiants russes ont rien de mieux a faire):
h253.net40.bmstu.ru (195.19.40.253)
195.19.40.0 - 195.19.47.255
1 - Informatics and Control Systems faculty
2 - Rocket - Spase Techniques Branch Facutly
3 - State Research and Development Center
for Scientific Instrumentation
4 - Campus network operation center
Igor P Ivanov
Bauman Moscow State Technical University
5, 2-nd Baumanskaya str.
107005 Moscow City
Russia
+7 095 2636807
+7 095 2611378
ivanov@bmstu.ru
Victor A Grachov
Bauman Moscow State Technical University
5, 2-nd Baumanskaya str.
107005 Moscow City
Russia
+7 095 2636702
grach@bmstu.ru
Viatcheslav A Lokhtourov
Bauman Moscow State Technical University
5, 2-nd Baumanskaya str.
107005 Moscow City
Russia
+7 095 2636474
+7 095 2611378
val@bmstu.ru
[^] # Re: Amha ..
Posté par lezardbreton . Évalué à 4.
[^] # Suggestion
Posté par Fabien Engels . Évalué à 2.
Bon aprés faut voir si tu as des contraintes et etc ...
[^] # Re: Amha ..
Posté par vincent LECOQ (site web personnel) . Évalué à 2.
mais j'était justement sur la machine a ce moment et le CPU qui tourne a 100% m'a intrigué. j'ai purgé le tout avant qu'ils ne puissent vraiment commencer leur travail.
un repertoire " " (espace espace) dans /var/tmp contenait un scanneur de mots de passe.
pour le coup j'ai revu toute la secu de ma machine. c'est pas plus mal en fait
[^] # Autre suggestion ...
Posté par Fabien Engels . Évalué à 3.
Mettre ton /tmp sur une partoche montée avec l'option noexec, ce qui interdit l'excution de tout programme etant localisé sur ce repertoire temporaire. C'est tout con mais ça evites l'execution de pas mal d'exploit/trojan et autres joyeusetés qui rend la vie de l'admin plus palpitante :D
En tout cas si tu connais deja tout ça, ça servira peut etre a d'autres personnes.
# Plus d'infos
Posté par Benoît Déchamps (site web personnel) . Évalué à 2.
http://linuxfr.org/~alis/18871.html
Tu y trouveras des infos intéressantes et des suggestions pour éviter que ça se reproduise.
# Bah ...
Posté par Maillequeule . Évalué à 3.
N'essaie pas de te persuader que tout est redevenu normal, tu as 99% de chances de perdre. Tu n'es plus chez toi.
"Dans le doute, abstiens-toi d'être sûr"
M
[^] # Re: Bah ...
Posté par Gazel . Évalué à 1.
Par contre ensuite je suis quasiment sur qu'il n'y as pas eu d'access en root, tous les su et sudo ont echoues dans les logs et tous les fichiers creer sont estampilles avec le nom et numero du compte en question et seulement dans des repertoire a ecriture universelle genre tmp.
Comme le serveur est surveille par Nagios je m'en suis rendu compte presque qu'instantanement donc je pense que personne ne s'est loggue physiquement sur le serveur, uniquement les robots qui essayent toutes les combines pour trouver laquelle va peter.
Mais bon dans de le doute je pense que je vais re-installer.
[^] # Re: Bah ...
Posté par Caeies . Évalué à 2.
http://www.openwall.com/john/
Caeies, qui a déjà rencontré ce type de force brut contre ssh sur le serveur d'un copain ...
[^] # Re: Bah ...
Posté par KiKouN . Évalué à 1.
Dans un club de sécurité, nous avons utilisé un dépassement de tampon dans le but de changer un mot de passe. Nous pouvions ensuite nous logguer en utilisant ce mot de passe. Le mot de passe utilisé est simplement, un utilisateur un peu béta pourrai même pas remarquer ce changement de mot de passe. Si il y a eu force brute, la manoeuvre aurait alors été de faire croire à une force brute dans le but de cacher la faille (tout comme l'un des dernier virus sur téléphone mobile qui installe un autre virus sur le mobile dans le but de se camoufler un peu) et de pouvoir encore ce connecter par la suite en la répétant.
Toutefois, je ne remets pas en cause ton analyse des différents logs et l'attaque peut se résumer à ce que tu a dit. Mais le conseil de Maillequeule est justifié.
# Mesures judiciaires ?
Posté par tiennou_minet . Évalué à 1.
Pour ton système, effectivement, sauvegarde tout pour preuves et réinstalle.
[^] # Re: Mesures judiciaires ?
Posté par M . Évalué à 2.
Oui surtout si la machine a servit a faire des choses pas tres catholiques, les traces peuvent servir a se disculper.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.