Fichiers étranges
Thomas
-
thomas -
thomas -
Bonjour,
Ce matin je me suis rendu compte que mon site internet n'était pas en ligne.
Je me connecte alors sur mon serveur dédié_qui tourne sous debian_ , regarde l'état du serveur Apache, il était fonctionnel.
Je regarde alors le répertoire contenant le site, et là, surprise. Plus rien, tout vide.
Je regarde les logs, et je vois un truc bizarre, cron exécute un script dans le répertorie /var/tmp.
Je vais voir et je trouve 2 répertoires, un "expl" et un "smtpdomenii".
Le premier("expl") contient quelques fichiers (9 pour être précis) nommés h00lyshit, h00lyshit.c, padlina, padlina.c, prctl.c,ptrace-kmod-exploit, ptrace-kmod-exploit.c, vmsplice, cmsplice.c.
Du coup je soupçonne l'intervention d'une force divine extérieur... Si quelqu'un pouvait m'aiguiller pour nettoyer tout ça, et sécuriser un peu plus mon serveur.
J'ai du coup changé tous les mots de passe.
Dans l'attente de vous lire, merci.
Ce matin je me suis rendu compte que mon site internet n'était pas en ligne.
Je me connecte alors sur mon serveur dédié_qui tourne sous debian_ , regarde l'état du serveur Apache, il était fonctionnel.
Je regarde alors le répertoire contenant le site, et là, surprise. Plus rien, tout vide.
Je regarde les logs, et je vois un truc bizarre, cron exécute un script dans le répertorie /var/tmp.
Je vais voir et je trouve 2 répertoires, un "expl" et un "smtpdomenii".
Le premier("expl") contient quelques fichiers (9 pour être précis) nommés h00lyshit, h00lyshit.c, padlina, padlina.c, prctl.c,ptrace-kmod-exploit, ptrace-kmod-exploit.c, vmsplice, cmsplice.c.
Du coup je soupçonne l'intervention d'une force divine extérieur... Si quelqu'un pouvait m'aiguiller pour nettoyer tout ça, et sécuriser un peu plus mon serveur.
J'ai du coup changé tous les mots de passe.
Dans l'attente de vous lire, merci.
A voir également:
- Fichiers étranges
- Vérificateur des fichiers système - Guide
- Renommer des fichiers en masse - Guide
- Fichiers epub - Guide
- Wetransfer gratuit fichiers lourd - Guide
- Explorateur de fichiers - Guide
4 réponses
'lut. Toi, t'as laissé un SSH ouvert avec un mot de passe trop simple... Ou y'avait une brèche dans ta config qui a permit à un attaquant de s'amuser sur ton serveur en tant que root.
Fait une copie des dits fichiers suspects, ainsi qu'une sauvegarde de tous les logs, que tu devras lire ligne par ligne pour savoir ce qui s'est passé...
Je suis pas bon en sécurité serveur, mais je pense que c'est déjà la première chose à faire... Après, t'es pas le seul à être passé par la case "serveur piratay".
Fait une copie des dits fichiers suspects, ainsi qu'une sauvegarde de tous les logs, que tu devras lire ligne par ligne pour savoir ce qui s'est passé...
Je suis pas bon en sécurité serveur, mais je pense que c'est déjà la première chose à faire... Après, t'es pas le seul à être passé par la case "serveur piratay".
Salut,
d'après https://packetstormsecurity.com/files/48276/h00lyshit.c :
Linux 2.6 up to and including 2.6.17.4 is vulnerable to a race condition leading to a local root compromise if /proc is not mounted noexec.
Fait donc la mise à jour de ton système : la version stable de Debian tourne avec le noyau 3.2. Même la version 4.0 de 2007 utilisait un noyau ayant corrigé cette faille...
Quand à la désinfection, trouve la date de l'infection dans les log pour chercher les fichiers modifiés à cette date.
d'après https://packetstormsecurity.com/files/48276/h00lyshit.c :
Linux 2.6 up to and including 2.6.17.4 is vulnerable to a race condition leading to a local root compromise if /proc is not mounted noexec.
Fait donc la mise à jour de ton système : la version stable de Debian tourne avec le noyau 3.2. Même la version 4.0 de 2007 utilisait un noyau ayant corrigé cette faille...
Quand à la désinfection, trouve la date de l'infection dans les log pour chercher les fichiers modifiés à cette date.
Salut,
Merci d'avoir jeté un coup d'oeil sur mon poste :-)
Du coup j'ai lancé une réinstalle toute propre avec Debian 7 et j'ai fais chauffer les backup.
Maintenant je potasse tout un tas de doc sur IpTables et Fail2ban. A l'époque je les avais un peu mis de coté.
Du coup niveau sécurité, si j'utilise un jeux de clef pour la connexion ssh, que je configure IpTables et Fail2ban. Que je limite les droits des répertoires web, je devrais être un peu plus tranquille? Y a t il quelque chose de primordiale que j'aurais oublié?
EDIT: Pourrais je vous poster la config d'iptables que vous me dites si j'ai fais des bêtises?
Merci d'avoir jeté un coup d'oeil sur mon poste :-)
Du coup j'ai lancé une réinstalle toute propre avec Debian 7 et j'ai fais chauffer les backup.
Maintenant je potasse tout un tas de doc sur IpTables et Fail2ban. A l'époque je les avais un peu mis de coté.
Du coup niveau sécurité, si j'utilise un jeux de clef pour la connexion ssh, que je configure IpTables et Fail2ban. Que je limite les droits des répertoires web, je devrais être un peu plus tranquille? Y a t il quelque chose de primordiale que j'aurais oublié?
EDIT: Pourrais je vous poster la config d'iptables que vous me dites si j'ai fais des bêtises?