Hack de serveur via utilisateur Help

Bonjour à tous,

Je possède depuis près de 2 ans, un petit serveur dédié (online - Debian squeeze 6.0 - 2.6.32-5-amd64) faisant tourner quelques services, comme serveur apache2, php, mysql et phpmyadmin, ftp, teamspeak3, …
La semaine dernière, je me le suis fait “hacker” via un utilisateur "Help"
Lorsque je regarde les différents logs, je dirai que l’intrus c’est connecté au système via une attaque par force brut.
Les logs montrent des connexions à la volé pour divers utilisateurs via une adresse IP, puis une connexion à l’utilisateur “help”, mais se déconnecte de suite et continue les tentatives de connexions avec d’autre users.
Dix minutes après cette connexion à “help”, une autre IP s’y connecte change le mot de passe, installe une librairie + un cron et attaque à son tour d’autres serveurs à l’aide d’un dico.
A la vue des dates de création des répertoires, ainsi que l’ordre à laquelle sont apparu les utilisateurs dans le fichier /etc/passwd, il semblerait que l’utilisateur “help” ai été créé lors de la configuration initiale du serveur, il y a de cela 2 ans. Par contre, je n’arrive pas à trouver quel service ou programme aurait pu créer cet utilisateur.

Auriez-vous une petite idée sur le sujet ?

Dominique.

Il se connecte via SSH ?
Je pense que tu as “coupé” aussitôt ton serveur, sinon, à faire d’urgence, même si le ver est dans le fruit.

S’il a été créé par l’installation d’un paquet, tu peux rechercher dans les scripts d’installation de dpkg, par exemple :

Tu peu aussi réclamer un KVM et demander la coupure de la patte réseau de ta machine, changer le port SSH nettoyer après investigation les ‘users’ malicieux et revoir la sécurité de ta machine avec fail2ban.

Tout ce la montrera à ton hébergeur que tu prends le problème à bras le corps et pourra te permettre de négocier le KVM justement pour une journée gratuite.

Maintenant un mots de passe craquer par ‘brute force’ à moins que ça fasse 2 ans que le gars tente, c’est que le mots de passe est vraiment pas top et donc l’ensemble est à revoir d’urgence.

En off il y a une recrudescence d’attaque ciblant les serveurs Teamspeak, ce la ne m’étonnerai qu’a moitié qu’une faille soit présente et permette d’escalader ses droits depuis un utilisateur ‘admin’ ou autre (à vérifier).

Re et merci pour vos réponses.

[quote]Il se connecte via SSH ?
Je pense que tu as “coupé” aussitôt ton serveur, sinon, à faire d’urgence, même si le ver est dans le fruit.[/quote]
Effectivement, il s’est connecté via SSH, malheureusement, j’étais absent et j’ai découvert la présence de l’intrus +/- 36 heures après sa connexion.
J’ai aussitôt arrêter les services et depuis lors la machine semble "tranquille"
J’ai relevé ce matin 3 tentatives de connexions refoulées à l’utilisateur help.

[quote]S’il a été créé par l’installation d’un paquet, tu peux rechercher dans les scripts d’installation de dpkg, par exemple :
Code:
grep “adduser.*help” /var/lib/dpkg/info/*inst[/quote]
Cela donne rien, pourtant il a bien du être créé par quelques “choses” ou par quelqu’un, mais vu que je suis le seul à maintenir ce serveur je comprends pas l’origine de cet utilisateur et c’est cela qui me chagrine.

[quote]Maintenant un mots de passe craquer par ‘brute force’ à moins que ça fasse 2 ans que le gars tente, c’est que le mots de passe est vraiment pas top et donc l’ensemble est à revoir d’urgence.

En off il y a une recrudescence d’attaque ciblant les serveurs Teamspeak, ce la ne m’étonnerai qu’a moitié qu’une faille soit présente et permette d’escalader ses droits depuis un utilisateur ‘admin’ ou autre (à vérifier).[/quote]

Je ne pense pas que le compte “admin” fût craqué (il n’y a qu’un seul sudoer et le auth.log ne remonte pas de connexion anormale ces 3 derniers mois - j’ai toutefois modifié le pwd)
Pour ce qui est des autres comptes, il n’y a rien grand chose 4 ou 5 pour l’accès ftp mais qui n’ont pas accès en bash et 4-5 utilisateurs systèmes pour démarrer les services dont un pour teamspeak donc même si il y a faille les droits devraient être restreins

Pour ce qui est de l’utilisateur Help (utilisateur “normal” faisant partie de son propre groupe et n’ayant aucun autre privilège), tout le soucis est là, je ne sais pas d’où il provient (dans le /etc/passwd il est en 3 positions parmi les 10 users que j’ai créé) la date de création des fichiers .bashrc .profile se situe 3 jours après le up du serveur, donc pendant la configuration des divers services, mais je n’arrive pas à faire coïncider cette date à un évènement de configuration précis.
C’est pour cela que je penche (j’espère ne pas me tromper) pour un utilisateur ayant était créé automatiquement par un service et ou programme et possédant un mot de passe standard qui pourrait facilement être repris dans un dico.

Par contre, lorsque je regarde les tentatives de connexion via l’utilisateur help entre janvier et la semaine dernière, je ne remonte aucun évènement, donc cela me fait également peur pourquoi subitement s’est ton intéressé à lui. (Il y a quand même eu quelques refus de connexion avant l’intrusion)

C’est “Help” ou “help” ? Dans le premier cas, il faut modifier ma commande (ou ajouter -i pour l’insensibilité à la casse).

Le compte a peut-être été créé par le script d’installation d’une application non empaquetée en .deb, tu dois savoir lesquelles sont présentes sur ton serveur.

Merci pour le retour,

Le nom est ‘help’, pour ce qui est des scripts effectivement j’y avais pensé après ton message précédent, mais cela fait 2 ans que cela tourne … c’est loin pour mon petit cerveau
Je vais continuer d’investiguer, il doit pas y en avoir des tas.
merci.

Tu connais quand même la liste de tous les services qui tournent sur ton serveur ? Et tu sais s’ils ont été installés à partir des paquets Debian ou pas ?