J'ai été hacker, help
londuba
Messages postés
92
Statut
Membre
-
[Dal] Messages postés 6373 Statut Contributeur -
[Dal] Messages postés 6373 Statut Contributeur -
Bonjour tout le monde je pense que j'ai été piraté ou qu'on essaye de me piraté, j'ai besoin de votre aide car je viens de voir ces informations dans le fichier /var/log/httpd/error_log
et ça aussi :
egalement dans le fichier /tmp je vois ces fichiers que je ne connais pas:
Aidez moi s'il vous plait, est ce que mon serveur n'a pas été piraté ?
[Sun Jun 11 04:02:38 2006] [notice] Apache/2.0.51 (Fedora) configured -- resuming normal operations
--08:49:43-- http://srv01.pollynet.com.br/xx.txt
=> `xx.txt'
Resolving srv01.pollynet.com.br... 200.223.16.3
Connecting to srv01.pollynet.com.br[200.223.16.3]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 3,542 [text/plain]
0K ... 100% 13.22 KB/s
08:49:44 (13.22 KB/s) - `xx.txt' saved [3,542/3,542]
curl: no URL specified!
curl: try 'curl --help' or 'curl --manual' for more information
curl: no URL specified!
curl: try 'curl --help' or 'curl --manual' for more information
curl: no URL specified!
curl: try 'curl --help' or 'curl --manual' for more information
Can't open perl script "xx.txt": No such file or directory
sh: line 1: CD: command not found
sh: line 1: CURL: command not found
sh: line 1: CURL: command not found
sh: line 1: PERL: command not found
[Sun Jun 11 10:23:09 2006]
et ça aussi :
--01:14:49-- http://rv.murungo.com/
=> `index.html'
Resolving rv.murungo.com... 216.52.184.240
Connecting to rv.murungo.com[216.52.184.240]:80... connected.
HTTP requisição enviada, aguardando resposta... 302 Found
Localização: http://www.cajazeiras.net/phr/rv.txt [seguinte]
--01:14:50-- http://www.cajazeiras.net/phr/rv.txt
=> `rv.txt'
Resolving www.cajazeiras.net... 66.197.197.21
Connecting to www.cajazeiras.net[66.197.197.21]:80... connected.
HTTP requisição enviada, aguardando resposta... 200 OK
Tamanho: 622 [text/plain]
0K 100% 5.93 MB/s
01:14:51 (5.93 MB/s) - `rv.txt' saved [622/622]
sh: line 1: CD: command not found
sh: line 1: CD: command not found
sh: line 1: CD: command not found
sh: line 1: CD: command not found
sh: line 1: CD: command not found
sh: line 1: CD: command not found
sh: line 1: CD: command not found
sh: line 1: CD: command not found
sh: line 1: CD: command not found
sh: line 1: CD: command not found
sh: line 1: CD: command not found
sh: line 1: CD: command not found
sh: line 1: CD: command not found
sh: line 1: CD: command not found
sh: line 1: CD: command not found
sh: line 1: WGET: command not found
sh: line 1: PERL: command not found
egalement dans le fichier /tmp je vois ces fichiers que je ne connais pas:
-rw------- 1 apache apache 622 May 20 15:12 rv.txt -rw------- 1 apache apache 41445 Jun 11 16:18 sites.txt -rw------- 1 apache apache 598 Jun 11 08:49 wlist.txt -rw------- 1 apache apache 3517440 Jun 9 09:47 impatt2Yys6W -rw------- 1 apache apache 1682432 Jun 10 13:38 impatt4Muox5 -rw------- 1 apache apache 764 Jun 9 09:47 impattcD1fOT -rw------- 1 apache apache 1882112 Jun 10 13:16 impattkSzD85 -rw------- 1 apache apache 1682432 Jun 10 13:14 impattXwxBke
Aidez moi s'il vous plait, est ce que mon serveur n'a pas été piraté ?
A voir également:
- J'ai été hacker, help
- Process hacker - Télécharger - Divers Utilitaires
- Mon compte facebook a été désactivé - Guide
- Mon compte instagram a été désactivé - Guide
- Le compte facebook d'un ami a été piraté - Guide
- Comment savoir si on a été bloqué sur messenger - Guide
8 réponses
Bonjour c'est exactement comme vous l'avez dit, j'ai bien été hacker. Mais Dal tu peux donné s'il te plait ton artillerie lourde afin que je me protege le plus vite possible. Le pirate télécharge toujours ce fichier : flood.tar.gz sur mon serveur dans /tmp à chaque fois que le suprime il le télécharge encore, voici ce qu'il y'a dans error_log
je suprime le fichier flood.tar.gz dans <gras>/tmp et encore toujours dans error_log
[client 213.235.208.68] PHP Warning: passthru(): Cannot execute a blank command in /usr/share/psa-horde/services/help/index.php(56) : eval()'d code on line 1
--16:05:40-- http://trg.uv.ro/flood.tar.gz
=> `flood.tar.gz.1'
Resolving trg.uv.ro... 64.111.196.20
Connecting to trg.uv.ro[64.111.196.20]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 350,063 [application/x-gzip]
0K .......... .......... .......... .......... .......... 14% 118.60 KB/s
50K .......... .......... .......... .......... .......... 29% 472.41 KB/s
100K .......... .......... .......... .......... .......... 43% 2.75 MB/s
150K .......... .......... .......... .......... .......... 58% 451.98 KB/s
200K .......... .......... .......... .......... .......... 73% 622.23 KB/s
250K .......... .......... .......... .......... .......... 87% 830.15 KB/s
300K .......... .......... .......... .......... . 100% 618.52 KB/s
16:05:41 (395.63 KB/s) - `flood.tar.gz.1' saved [350,063/350,063]
[client 213.235.208.68] PHP Warning: passthru(): Cannot execute a blank command
</gras> je viens de le supprimé ce matin encore.
Il n'ya t-il pas un moyen de le bloquer pour empeché cela et comment il arrive à mettre ce fichier sur mon serveur à distance, je pense qu'il se connecte à partir d'un notre site. Vraimen aidé moi, pour l'instant tous les services marchent sur le serveur, c'est vraiment pas le moment pour moi de réinstaller le serveur. HELP PLEASE
[client 213.235.208.68] PHP Warning: passthru(): Cannot execute a blank command in /usr/share/psa-horde/services/help/index.php(56) : eval()'d code on line 1
--16:04:46-- http://trg.uv.ro/flood.tar.gz
=> `flood.tar.gz'
Resolving trg.uv.ro... 64.111.196.20
Connecting to trg.uv.ro[64.111.196.20]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 350,063 [application/x-gzip]
0K .......... .......... .......... .......... .......... 14% 118.50 KB/s
50K .......... .......... .......... .......... .......... 29% 241.17 KB/s
100K .......... .......... .......... .......... .......... 43% 474.55 KB/s
150K .......... .......... .......... .......... .......... 58% 1.91 MB/s
200K .......... .......... .......... .......... .......... 73% 522.83 KB/s
250K .......... .......... .......... .......... .......... 87% 693.46 KB/s
300K .......... .......... .......... .......... . 100% 337.07 KB/s
16:04:47 (324.91 KB/s) - `flood.tar.gz' saved [350,063/350,063]
[client 213.235.208.68] PHP Warning: passthru(): Cannot execute a blank command in /usr/share/psa-horde/services/help/index.php(56) : eval()'d code on line 1
je suprime le fichier flood.tar.gz dans <gras>/tmp et encore toujours dans error_log
[client 213.235.208.68] PHP Warning: passthru(): Cannot execute a blank command in /usr/share/psa-horde/services/help/index.php(56) : eval()'d code on line 1
--16:05:40-- http://trg.uv.ro/flood.tar.gz
=> `flood.tar.gz.1'
Resolving trg.uv.ro... 64.111.196.20
Connecting to trg.uv.ro[64.111.196.20]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 350,063 [application/x-gzip]
0K .......... .......... .......... .......... .......... 14% 118.60 KB/s
50K .......... .......... .......... .......... .......... 29% 472.41 KB/s
100K .......... .......... .......... .......... .......... 43% 2.75 MB/s
150K .......... .......... .......... .......... .......... 58% 451.98 KB/s
200K .......... .......... .......... .......... .......... 73% 622.23 KB/s
250K .......... .......... .......... .......... .......... 87% 830.15 KB/s
300K .......... .......... .......... .......... . 100% 618.52 KB/s
16:05:41 (395.63 KB/s) - `flood.tar.gz.1' saved [350,063/350,063]
[client 213.235.208.68] PHP Warning: passthru(): Cannot execute a blank command
</gras> je viens de le supprimé ce matin encore.
Il n'ya t-il pas un moyen de le bloquer pour empeché cela et comment il arrive à mettre ce fichier sur mon serveur à distance, je pense qu'il se connecte à partir d'un notre site. Vraimen aidé moi, pour l'instant tous les services marchent sur le serveur, c'est vraiment pas le moment pour moi de réinstaller le serveur. HELP PLEASE
Salut,
Une partie de ce que disent tes logs ressemblent à ce que dit ce bulletin du CERT :
http://www.up.univ-mrs.fr/wcri/d_serv/d_reseau/d_cert/2006/certmsgSTAT010
As-tu un script "les visiteurs" de statistiques de fréquentation ? Il est bogué et permet l'exécution de commandes PHP arbitraires. Un patch non officiel est mentionné ici https://securitytracker.com/id/1008011 mais l'URL où le patch est sensé être n'existe plus.
Il est plus sûr de désinstaller ce script.
Par ailleurs, tu as intérêt à déconnecter tout de suite ta machine jusqu'à ce que tu saches ce qu'à réussi à faire ton visiteur (et à la déconnecter du réseau si elle est raccordée à un réseau interne).
Pour chacun de ces fichiers, fait un file <nomfichier> pour voir et ce à quoi on a affaire et, si ce sont des fichiers ASCII, less <nomfichier>.
Ce sont probablement des scripts (pour certains d'entre eux). Ne les exécute pas.
Utilise aussi last pour voir quelles sont les dernières connexions au shell et who juste avant de te déconnecter pour savoir qui est connecté, ainsi qu'un netstat -na et cherche les entrée LISTEN et ESTABLISHED. Si ton firewall produit des logs, tu peux y jeter un oeil aussi.
Dal
Une partie de ce que disent tes logs ressemblent à ce que dit ce bulletin du CERT :
http://www.up.univ-mrs.fr/wcri/d_serv/d_reseau/d_cert/2006/certmsgSTAT010
As-tu un script "les visiteurs" de statistiques de fréquentation ? Il est bogué et permet l'exécution de commandes PHP arbitraires. Un patch non officiel est mentionné ici https://securitytracker.com/id/1008011 mais l'URL où le patch est sensé être n'existe plus.
Il est plus sûr de désinstaller ce script.
Par ailleurs, tu as intérêt à déconnecter tout de suite ta machine jusqu'à ce que tu saches ce qu'à réussi à faire ton visiteur (et à la déconnecter du réseau si elle est raccordée à un réseau interne).
Pour chacun de ces fichiers, fait un file <nomfichier> pour voir et ce à quoi on a affaire et, si ce sont des fichiers ASCII, less <nomfichier>.
Ce sont probablement des scripts (pour certains d'entre eux). Ne les exécute pas.
Utilise aussi last pour voir quelles sont les dernières connexions au shell et who juste avant de te déconnecter pour savoir qui est connecté, ainsi qu'un netstat -na et cherche les entrée LISTEN et ESTABLISHED. Si ton firewall produit des logs, tu peux y jeter un oeil aussi.
Dal
Tu as aussi d'autres conseils intéressants là :
http://lea-linux.org/pho/read/1/294802
dont d'autres commandes de diagnostic, différents programmes de vérification de l'existence de rootkits, et un conseil consistant à utiliser des commandes compilées sur un autre système enregistrées sur CDROM non réinscriptible.
... si ton système est compromis, les commandes standard peuvent être de fausses commandes agravant ta situation .. surtout lancées sous root.
Pour bien faire, il faudrait éteindre la machine (éventuellement brutalement pour garder /proc et /dev en l'état), faire une copie du disque, la monter sur une machine saine et isolée en lecture seule, inspecter /proc, etc.
Il y a des messages d'erreur dans tes logs, aussi, il y a des chances que la tentative d'exécution ait échoué. Alors, peut-être ne faut-il pas sortir l'artillerie lourde tout de suite :)
Dal
http://lea-linux.org/pho/read/1/294802
dont d'autres commandes de diagnostic, différents programmes de vérification de l'existence de rootkits, et un conseil consistant à utiliser des commandes compilées sur un autre système enregistrées sur CDROM non réinscriptible.
... si ton système est compromis, les commandes standard peuvent être de fausses commandes agravant ta situation .. surtout lancées sous root.
Pour bien faire, il faudrait éteindre la machine (éventuellement brutalement pour garder /proc et /dev en l'état), faire une copie du disque, la monter sur une machine saine et isolée en lecture seule, inspecter /proc, etc.
Il y a des messages d'erreur dans tes logs, aussi, il y a des chances que la tentative d'exécution ait échoué. Alors, peut-être ne faut-il pas sortir l'artillerie lourde tout de suite :)
Dal
Salut,
Tu peux déjà commencer par identifier les adresses IP d'où viennent les attaques, ou utilisées pour t'adresser des fichiers et les bloquer.
Par exemple, pour l'IP d'où vient le .tgz tu peux faire celà avec IPTables si tu l'utilises :
iptables -I INPUT -s 64.111.196.20 -j DROP
ou avec route :
/sbin/route add -host 64.111.196.20 reject
Celà devrait l'arrêter un temps, mais ce pirate semble utiliser ta machine pour flooder, alors il est probable qu'il ait à sa disposition de nombreuses autres machines piratées depuis lesquelles il pourra continuer à communiquer avec la tienne avec des IP différentes.
D'autre part, à partir du moment où il a eu accès à ta machine, il est très difficile de savoir ce qu'il a fait exactement, s'il a altéré les commandes iptables ou route, par exemple, etc.
Ce que je te disais de faire en <1> et <3> permettrait d'avoir une idée de ce à quoi s'amuse ton visiteur. Là, je peux pas deviner, vu que tu ne m'as donné aucun élément.
Comme suggéré en <2>, tu peux lancer un programme de recherche de rootkits tel que :
- Rootkit Hunter : http://www.rootkit.nl/ (une page de Howto en français est là http://routes-linux.scooba.org/rootkit_hunter.php )
- Chkrootkit : http://www.chkrootkit.org/
Sinon, la véritable "artillerie lourde" est de tout réinstaller, tu dormiras plus tranquille.
Dal
N.B. : ton visiteur n'est pas un hacker, c'est un pirate.
Tu peux déjà commencer par identifier les adresses IP d'où viennent les attaques, ou utilisées pour t'adresser des fichiers et les bloquer.
Par exemple, pour l'IP d'où vient le .tgz tu peux faire celà avec IPTables si tu l'utilises :
iptables -I INPUT -s 64.111.196.20 -j DROP
ou avec route :
/sbin/route add -host 64.111.196.20 reject
Celà devrait l'arrêter un temps, mais ce pirate semble utiliser ta machine pour flooder, alors il est probable qu'il ait à sa disposition de nombreuses autres machines piratées depuis lesquelles il pourra continuer à communiquer avec la tienne avec des IP différentes.
D'autre part, à partir du moment où il a eu accès à ta machine, il est très difficile de savoir ce qu'il a fait exactement, s'il a altéré les commandes iptables ou route, par exemple, etc.
Ce que je te disais de faire en <1> et <3> permettrait d'avoir une idée de ce à quoi s'amuse ton visiteur. Là, je peux pas deviner, vu que tu ne m'as donné aucun élément.
Comme suggéré en <2>, tu peux lancer un programme de recherche de rootkits tel que :
- Rootkit Hunter : http://www.rootkit.nl/ (une page de Howto en français est là http://routes-linux.scooba.org/rootkit_hunter.php )
- Chkrootkit : http://www.chkrootkit.org/
Sinon, la véritable "artillerie lourde" est de tout réinstaller, tu dormiras plus tranquille.
Dal
N.B. : ton visiteur n'est pas un hacker, c'est un pirate.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Il est probable aussi que ton script /usr/share/psa-horde/services/help/index.php ait une faille, ou que celui-ci ait été modifié par le pirate pour permettre le passage de commandes arbitraires à partir de ton serveur.
Tu devrais vérifier ce script, le mettre à jour, ou le supprimer si tu n'en as pas besoin.
Si le script a été modifié, ton pirate peut le refaire tant que tu n'as pas trouvé de quelle façon il procède.
Dal
Tu devrais vérifier ce script, le mettre à jour, ou le supprimer si tu n'en as pas besoin.
Si le script a été modifié, ton pirate peut le refaire tant que tu n'as pas trouvé de quelle façon il procède.
Dal
Vois çà aussi :
http://forums.sw-soft.com/showthread.php?s=c388bb0253999553cad1da20b92df2fb&threa...
Il y a une version patchée de ce script (qui fait partie du système d'aide de Horde) contribuée par un participant à ce forum qui élimine la vulnérabilité. Si cette version correspond à celle que tu utilises tu peux éventuellement t'en inspirer.
Cependant, cette vulnérabilité a été corrigée dans les versions 3.0.10 et 3.1.1 de Horde. Tu ferais donc mieux de mettre à jour Horde.
Installe toujours les versions les plus à jour de tes logiciels et mets les à jour régulièrement.
Dal
http://forums.sw-soft.com/showthread.php?s=c388bb0253999553cad1da20b92df2fb&threa...
Il y a une version patchée de ce script (qui fait partie du système d'aide de Horde) contribuée par un participant à ce forum qui élimine la vulnérabilité. Si cette version correspond à celle que tu utilises tu peux éventuellement t'en inspirer.
Cependant, cette vulnérabilité a été corrigée dans les versions 3.0.10 et 3.1.1 de Horde. Tu ferais donc mieux de mettre à jour Horde.
Installe toujours les versions les plus à jour de tes logiciels et mets les à jour régulièrement.
Dal
Merci beaucoup Dal , la faille etait biensur sur horde que j'ai mis à jour, en fait j'utilisais plesk 7.5.4 et donc je passé à la version 8.0.1 et de meme j'ai mis à jour horde pour passer à la version horde 3.1.1 depuis là je remarque plus d'anomalie dans mes logs, j'espere que ça sera pour de bon.
Tu es un ange mon pote, merci mille fois.
Tu es un ange mon pote, merci mille fois.
