Malware Debian

Rhydan · Février 18, 2017, 5:58pm

Bonjour bonjour,

Je sais qu’il est rare de trouver des malwares ici, mais malheureusement j’en suis victime. Ayant laissé mon serveur ssh ouvert sans beaucoup de protection par mégarde, quelqu’un s’est amuser à me faire ch**r.

Après inspection, voilà le comportement du malware : Il crée un éxecutable avec un nom aléatoire style “xxghlpjzzu” qui lance de manière aléatoire une commande pompant 100% de mon CPU. Comment puis-je réussir à m’en débarrasser ? Sachant que ce dernier se lance dès le démarrage, où se trouve le fichier contenant la liste des softs à lancer ?

Il m’est impossible de travailler dans ces conditions, je lance donc cet appel à l’aide urgent

Merci à tous d’avance,
Cordialement.

PascalHambourg · Février 18, 2017, 6:05pm

Quelle question. En réinstallant le système à partir de zéro, comme toujours.
On ne peut plus faire confiance à un système compromis.

Rhydan · Février 18, 2017, 6:08pm

Merci pour votre réponse rapide.

Quelle question. En réinstallant le système à partir de zéro, comme toujours.

C’est une solution que j’avais envisagé, mais n’existe-t-il pas une autre façon de faire, moins radicale ?

PascalHambourg · Février 18, 2017, 7:57pm

Il existe sûrement plein de méthodes moins radicales, mais aucune ne peut garantir un nettoyage total, aussi il ne faut pas compter sur moi pour s’engager dans cette voie.

C’est peut-être juste un petit plaisantin “qui s’amuse à te faire chier”, ou bien un vrai méchant qui utilise le CPU de ta machine pour diverses activités malveillantes (attaque par déni de service distribué, envoi de spam, craquage de mots de passe ou de clés privées par force brute…) et dans ce cas qui te dit qu’il n’a pas implanté autre chose de plus discret ?

J’oubliais : considère tous les mots de passe et clés privées saisis ou stockés sur cette machine comme compromis également et devant être changés au plus vite.

Tachyon · Février 18, 2017, 7:00pm

Démarrer avec un Live et faire un scan me semblerais un bon debut

pascal a entièrement raison, prend ma reponse uniquement pour une analyse ultérieur

Funkygoby · Février 18, 2017, 7:10pm

À mon avis non.
Le seul interêt de bricoler un système compromis est de tenter de comprendre comment s’est déroulée et en quoi consiste l’attaque.

Au boot, il y a un tas de trucs qui peut éxecuter du code: les script rc, cron, un module noyau, etc…

Réinstalle…

Rhydan · Février 19, 2017, 6:13am

Merci à tous, j’ai donc opté pour la réinstallation de Debian.

Sujet clos.

Clochette · Février 19, 2017, 10:25am

En parcourant ce fil, c’est exactement ce que j’aurai conseillé.

En résumé changer de disque, réinstaller, et analyser hors réseau le système infecté sur un poste afin de comprendre ce qu’il s’est passé.
La compromission peux effectivement venir d’une faiblesse dans l’authentification SSH mais peux aussi provenir d’une compromission FTP, faille dans un framework, d’une injection SQL ou par un mail ouvert directement depuis le serveur … en bref le spectre est large pour comprendre et ne pas reproduire cette issue.