Detection backdoor

Support Debian
#1

Bonjour,

j’ai prix un serveur kimsufi chez ovh, avec debian etch 32 bit.

kernel :

il y a :
vsftpd
bind9
apache2
php
mysql

j’ai reçu un mail comme quoi un backdoor avait été détecté

Detection date: 2007-10-16 14:37:53
Procname: sh
Uid: virtual
Pid: 3625
CommandLine: sh
Exe: /home/virtual/.bash/shell/sh
Port: 13943
Danger Level: 10/10

j’ai supprimer le repertoire shell
arreter le service vsftpd
redemarrer apache2
puis lancer rkhunter -c

cela avait l’air d’aller, puis j’ai reçu un autre message pour la même chose,

j’ai donc supprimer le .bash

j’ai supprimer le serveur vsftpd afin d’éviter toutes intrusion via le ftp car les utilisateur virtuel de vsftpd se connectait au répertoire virtuel

j’ai relance un

cela était encore bon

J’aimerai connaitre le backdoor utiliser afin de ne pas avoir de nouveau ce pb, ce matin en faisant un

netstat -tanpu
j’avais une attente de connexion pour une ip donné pas la mienne sur le port 80, cela devait donc être le serveur apache2

j’ai téléchargé la documentation pour sécuriser un serveur debian je pense installer bastille, afin de m’aider a sécuriser le serveur, tout en sachant qu’il faudra que je sécurise moi même le serveur apache et le ftp

merci de votre aide

#2

Mais de rien, comme tu n’as rien demandé. :laughing:

#3

À ce stade tu devrais vérifier l’intégrité de tes fichiers:

~$ cd /tmp /tmp$ cat /var/lib/dpkg/info/*.md5sums | sort -u > MD5-ORG /tmp$ cd / /$ cat /tmp/MD5-ORG | awk '{print "md5sum "$2}' | grep -v -E "^md5sum *$" > /tmp/gre /$ sh /tmp/gre > /tmp/MD5 /$ cd /tmp /tmp$ diff -urN MD5-ORG MD5
Tu verras les différences. Il y en a des normales, d’autres pas, à toi de juger. Attention, c’est long.

Après tu peux faire ça automatiquement, il y a des paquets pour. J’en ai fait deux que j’utilise sur tous mes serveurs:

  • cacheproc qui cherche des processus cachés
  • surveillance qui teste l’intégrité des fichiers.

deb boisson.homeip.net/debian etch divers

#4

un conseil, surtout, etant donné le fonctionnement de l’hébergement OVH, il est plus surde reinstaller à blanc et de réinstaller les configs, les sites web, et ftp, que de chercher ce qui reste de l’intrusion.
Une machine compromise l’est pour moi définitivement.
Et sinon: debian.org/doc/manuals/secur … ex.fr.html

Toujours pas de question particulière, sinon ?

#5

Matt: qu’a de particulier OVH pour justifier un traitement particulier…

PS: Tu es un peu rude pour une machine compromise, j’envisage la réparation quand même mais bon je n’ai eu affaire qu’à une seule histoire sérieuse…

#6

Une reinstallation d’image par le réseau qui va trés vite.

[quote=“fran.b”]PS: Tu es un peu rude pour une machine compromise, j’envisage la réparation quand même mais bon je n’ai eu affaire qu’à une seule histoire sérieuse…[/quote]C’est un principe de bon parano: la seule certitude absolue qu’on puisse avoir qu’il ne reste rien est quand on formatte à blanc. La faille a pu entre temps être exploitée, et des trucs plus discrets installés.
Le manuel de sécurisation conseille par exemple de travailler la machine >non connectée< lors de l’install pour éviter les intrusions pendant qu’on fait l’install et les màj de sécurité: quand on est parano, il faut l’être jusqu’au bout.

#7

bonsoir,

j’ai remis a neuf la machine,

mais j’aurai voulu savoir quel exploit avait été utilisé afin que cela ne se reproduise pas

merci de votre aide

#8

Pour ça il faut conserver une image de ton disque avant de tout reformatter, tu peux retrouver les fichiers détruits, etc.

#9

Je suis d’accord avec toi mattotop, mais avant de tout réinstaller il faut savoir d’ou venait la faille sinon ça sert à rien

#10

Bonjour,

j’ai remis mon serveur à neuf, j’ai installer bind9

et lorsque je fait un netstat -tanpu

j’ai en tcp sur le port 40561 un service sur l’ip distante 128.31.0.36:80 qui est en attente cela m’affiche en addresse steffani.debian.org

j’aimerai savoir si c’est un pb sur mon serveur et quoi faire car sur le serveur il n’y a que la debian etch de base ainsi que bind9

j’ai installe bastille et fait

puis est mis à la fin de la licence:

puis est répondu au différentes questions, une fois lancer cette attente de connexion sur tcp à disparue, mais j’aimerai savoir ce qui posait pb.

merci

#11

Bonsoir,

j’ai installé php5 afin de mettre apache2 après, mais avant de mettre apache j’ai fait un :

et là j’ai vu la même attende de connexion sur un autre port

là je ne comprends pas où peut être le fichier qui mets cette connexion en attente et que faire pour ne plus l’avoir.

5 minutes après, j’ai refais :

et elle n’y était plus

de plus il n’y a rien dans la crontab

Si quelqu’un pouvait m’aider
Merci encore

#12

linux-france.org/prj/inetdoc … -tutorial/

netstat -laputen
lsof -i -P

et le man pour plus d’info :slightly_smiling:

#13

Bonjour,

[quote=“fran.b”]À ce stade tu devrais vérifier l’intégrité de tes fichiers:

~$ cd /tmp /tmp$ cat /var/lib/dpkg/info/*.md5sums | sort -u > MD5-ORG /tmp$ cd / /$ cat /tmp/MD5-ORG | awk '{print "md5sum "$2}' | grep -v -E "^md5sum *$" > /tmp/gre /$ sh /tmp/gre > /tmp/MD5 /$ cd /tmp /tmp$ diff -urN MD5-ORG MD5 [/quote]

Intéressant ce script. Je me suis empressé de l’essayer mais il a mis en evidence des fichiers listés dans les /var/lib/dpkg/info/*.list qui n’existent plus en réalité. C’est le cas de presque tous les /usr/share/locale//LC_MESSAGE/ des locales que je n’utilise pas sur ce système. Je soupçonne localepurge de n’avoir pas fait le ménage correctement.

Comment corriger ceci proprement avec les outils debian apt(itude) dpkg etc… ?

NB:
En passant, j’ai dû modifier le script plus haut pour qu’il tienne compte des noms de fichiers contenant des parenthèses comme par exemple usr/share/vim/vim70/lang/menu_chinese(gb)_gb.936.vim sinon, l’invocation de sh /tmp/gre se mettait en erreur et n’allait pas plus loin quand il tombait dessus.

[code]- cat /tmp/MD5-ORG | awk ‘{print "md5sum "$2}’ | grep -v -E “^md5sum *$” > /tmp/gre

  • awk ‘$2 !~ /^$/ {print “md5sum “”$2"”"}’ /tmp/MD5-ORG > /tmp/gre[/code]

(le nom de fichier est encadré par des guillemets et j’ai remplacé le grep par la condition awk $2 <> vide)

#14

bonjour,

merci je vais essayer cela

et je vous tiens au courant

#15

[quote=“andarius40”]Bonjour,[/quote]Bonjour.

[quote=“andarius40”]
j’ai remis mon serveur à neuf, j’ai installer bind9

et lorsque je fait un netstat -tanpu

j’ai en tcp sur le port 40561 un service sur l’ip distante 128.31.0.36:80 qui est en attente cela m’affiche en addresse steffani.debian.org
(…)[/quote]Dis, tu ne confondrais pas une connection ENTRANTE sur ton port 80 (le serveur web) venant d’un visiteur habitant sur steffani.debian.org ? :laughing:
Il ne serait pas actif par defaut dans la config ovh ton apache ?
Si tu donnais le resultat brut de tes netstat, on pourrait vraiment juger, remarque.

#16

J’ai utilisé le petit script de fran.b et il a mis en évidence un changement dans le checksum du binaire /sbin/start-stop-daemon appartenant au paquet dpkg.

1- Où puis-je trouver le check-sum “officiel” de Debian pour ce binaire (ailleurs que dans /var/lib/dpkg/info/dpkg.md5sums)

2- Comment ne réinstaller qu’un seul binaire d’un paquet?

3- Sinon, est-ce que je risque qqch à réinstaller tout le paquet dpkg. Je ne vais pas tout casser?

NB: pour le script de fran.b si on veut simplifier la sortie du diff, on peut n’afficher que les lignes du fichier /tmp/MD5 dont les check-sum ne correspondent pas aux check-sum d’origine avec:diff --changed-group-format="%>" --unchanged-group-format="" /tmp/MD5-ORG /tmp/MD5