Problème d'attaque et/ou de virus sur mon serveur (Debian 3.1)

Problème d'attaque et/ou de virus sur mon serveur (Debian 3.1) - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 20-07-2005 à 11:49:32    

Bonjour à tous,
 
Comment être bref. En fait je rencontre depuis 2 jours des problèmes sur le serveur qui héberge mon site. J'ai constater une hausse du débit en download du serveur. Visiblement cela provient d'une faille dans du code PHP et donc via le compte webusers la commande wget est lancée.
 
Hier nous avons découvert un fichier .pl qui était présent dans /tmp et qui réapparaissait peu de temps après sa suppression.
 
La nuit s'est bien passé, nous avons mis à jour la Debian, ainsi qu'un PhpBB qui a reçu une maj aujourd'hui mais j'ai toujours le problème.
 
Je copie colle ci dessous ce que j'ai trouvé
 

Citation :

11:45:22 up  2:12,  2 users,  load average: 6.43, 6.14, 5.56
117 processes: 99 sleeping, 10 running, 8 zombie, 0 stopped
CPU states:  84.5% user,  15.5% system,   0.0% nice,   0.0% idle
Mem:    506080K total,   500388K used,     5692K free,    19624K buffers
Swap:   512024K total,        0K used,   512024K free,   353208K cached
 
  PID USER     PRI  NI  SIZE  RSS SHARE STAT %CPU %MEM   TIME COMMAND
 5920 webusers  19   0  2860 2860  1380 R    10.9  0.5   1:54 perl
 5918 webusers  20   0  2852 2852  1380 R    10.7  0.5   2:16 perl
 5924 webusers  17   0  2852 2852  1380 R    10.7  0.5   2:16 perl
 5931 webusers  14   0  2852 2852  1380 R    10.3  0.5   2:14 perl


 

Citation :

  5918  webusers  11:31  [bdflush]
   5920  webusers  11:31  [bdflush]
   5921  webusers  11:31  [bdflush]
   5923  webusers  11:31  [bdflush]
   5924  webusers  11:31  [bdflush]
   5926  webusers  11:31  [bdflush]
   5931  webusers  11:31  [bdflush]


 

Citation :

For process [bdflush]  (PID 5931)
 
Open files
File Descriptor  Type  File size  Inode  Path
Current dir  Directory  4096  2  /
Root dir  Directory  4096  2  /
Program code  Regular file  708808  734851  /usr/bin/perl
Shared library  Regular file  90210  490956  /lib/ld-2.2.5.so
Shared library  Regular file  8008  490962  /lib/libdl-2.2.5.so
Shared library  Regular file  130088  490963  /lib/libm-2.2.5.so
Shared library  Regular file  1153784  490959  /lib/libc-2.2.5.so
Shared library  Regular file  19136  490960  /lib/libcrypt-2.2.5.so
Shared library  Regular file  13964  33346  /usr/lib/perl/5.6.1/auto/IO/IO.so
Shared library  Regular file  14740  66000  /usr/lib/perl/5.6.1/auto/Socket/Socket.so
Shared library  Regular file  16944  490549  /lib/libnss_db-2.2.so
Shared library  Regular file  32668  490967  /lib/libnss_files-2.2.5.so
Shared library  Regular file  684092  669784  /usr/lib/libdb3.so.3.0.2
0r  Character special  
 163375  /dev/null
1w  fifo  
 11726692  pipe
2w  Regular file  9850317  408003  /usr/local/apache/logs/error_log
15w  Regular file  9850317  408003  /usr/local/apache/logs/error_log
16w  Regular file  20666  1490964  /home/web/forzacup.com/logs/error_forzacup.log
17w  Regular file  84537024  1130511  /home/web/xboxlive.fr/logs/error_xboxlive.log


 

Citation :

Open network connections
Type  Protocol  File Descriptor  Details
IPV4  TCP  3u  194.146.226.138:37725  ->  216.55.133.20:webcache  ESTABLISHED


 

Citation :

Information du processus
Commande  [bdflush]
Numéro de processus 5931  Processus parent  init [3]
Propriétaire  webusers  Processeur  17.9 %
Taille  4400 kB  Temps d'exécution  00:00:51
Niveau de priorité
 
Groupe  11111  Véritable utilisateur  webusers
Numéro de groupe du processus  308  Started  11:31
TTY  Aucun  Véritable groupe  11111


 
Juste un truc, pour en revenir au fichier .pl, il contenait un virus que mon antivirus a détécté comme le virus IRC.Backdoor.Trojan
 
On m'a conseillé d'activer le mode safe de PHP dans httpd.com mais le problème est que certains de mes scripts utilises des commandes Linux et donc je ne peux pas activer ce mode.
 
Enfin, je cherche un moyen d'arrêter la charge du serveur en attendant de revérifier tout mon code.
 
Merci d'avance
 
SnakeX


Message édité par Snake-X le 21-07-2005 à 01:50:37

---------------
http://www.xboxlive.fr
Reply

Marsh Posté le 20-07-2005 à 11:49:32   

Reply

Marsh Posté le 20-07-2005 à 14:11:47    

personne ?


---------------
http://www.xboxlive.fr
Reply

Marsh Posté le 20-07-2005 à 14:19:25    

commence par tout couper. kill tous les process de ton webusers. Nettoie les scripts qui ont été insérés (avec ps aux tu va voir quoi est exécuté), mets à jour tes logiciels serveurs (vérifie les configurations), et mets un "/bin/false" comme shell à webusers.
 
apt-get install chkrootkit checksecurity
 
voire apt-get install tiger
 
et si tu le peux, vérouille bien avec iptables si possible.


Message édité par Taz le 20-07-2005 à 14:20:49
Reply

Marsh Posté le 20-07-2005 à 15:35:30    

ps aux me donne ça  
 
webusers  2524 18.7  0.5  4400 2856 ?        R    15:24   1:54 [bdflush]
webusers  2530 18.7  0.5  4400 2856 ?        R    15:24   1:54 [bdflush]
webusers  2532 18.7  0.5  4400 2856 ?        R    15:24   1:54 [bdflush]
webusers  2534 15.5  0.5  4404 2860 ?        R    15:24   1:35 [bdflush]
webusers  2536 15.6  0.5  4404 2860 ?        R    15:24   1:35 [bdflush]


---------------
http://www.xboxlive.fr
Reply

Marsh Posté le 20-07-2005 à 17:25:32    

Le Manuel de sécurisation Debian contient une mine d'infos utiles pour le comportement avant/après compromission d'un système et plus généralement tout ce qui a trait à la sécurité et aux bons réflexes à avoir sur son serveur Debian.
 
Si tu ne l'as pas déjà consulté, à lire absolument :
---> http://www.debian.org/doc/manuals/ [...] ex.fr.html
 
 
Je te conseillerai également de songer à une mise à jour de ta distribution et de passer de Debian 3.0 (Woody) à Debian 3.1 (Sarge) ; cette dernière est désormais la nouvelle version stable, le support de sécurité est fonctionnel et les paquets sont plus récents.


Message édité par THRAK le 20-07-2005 à 17:26:03

---------------
THRAK (def.) : 1) A sudden and precise impact moving from intention, direction and commitment, in service of an aim. 2) 117 guitars almost striking the same chord simultaneously.
Reply

Marsh Posté le 20-07-2005 à 17:29:37    

Merci pour l'url, pour ce qui est de la version je suis déjà en 3.1.


---------------
http://www.xboxlive.fr
Reply

Marsh Posté le 20-07-2005 à 20:56:15    

Alors change ton titre, parcqu'il contient "3.0"

Reply

Marsh Posté le 21-07-2005 à 13:24:12    

en attendant, si l'attaque n'est pas distribuée, tu peux la récupérer dans les logs apache et faire une règle iptables afin de lui refuser toute connexion.

Reply

Marsh Posté le 22-07-2005 à 09:05:25    

Petit avancement.
 
Je pensais avoir réglé hier le problème. Un technicien de mon hébergeur a activé le mode safe de Php ce qui fait que certaines commandes n'étaient plus exécutables. Et donc le problème réglé. Mais cela aurait été trop facile si mes scripts d'admin n'utilisaient pas quelques commandes Linux.
 
J'ai donc supprimé PhpBB complètement hier et désactivé le mode Safe. Effectivement je n'étais plus attaqué au bout de 4 heures. J'ai donc décidé de remettre PhpBB avec une version téléchargée toute propre toute neuve tout en laissant désactivé le mode Safe. Et là, toujours pas d'attaque pendant 8 heures.
 
Et cette nuit, pas besoin de vous faire de dessin, je vous laisse regarder l'activité réseau de mon serveur.
 
http://switch4.sivit.org/mrtg/192.168.1.62_18-day.png


---------------
http://www.xboxlive.fr
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed