Resoudre un problème de Hack de Qmail avec une Debian 4.0

Bonsoir,

J’ai un problème de Hack de boîte mail sur mon serveur hébérgé chez Nuxit. Déjà j’éspère que ma question rentre bien dans le cadre de votre forum, si c’est pas le cas, je m’en excuse, mais je suis dans la m…

Il est sous Débian 4.0 (oui je suis à la bourre…) et je ne peux faire aucune maj puisqu’ils m’ont coupés les flux. Ils m’ont contacté pour me dire ceci :

Nous avons constaté un trafic UDP anormal émanant de votre serveur (130'000 paquets par seconde), nous avons coupé toute connectivité sauf celle de Plesk et du SSH afin que vous puissiez faire le ménage.

la source du problème :

cat /var/spool/cron/crontabs/psaadm 

* * * * * /var/tmp/pdflush >/dev/null 2>&1

* * * * * chmod +x /var/tmp/pdflush;/var/tmp/pdflush >/dev/null 2>&1

Mon frère à identifié que la source du soucis qui venait de Qmail, vu qu’il y avait 220 000 mails dans la file d’attente. Il à purgé la queue d’envoi et desactivé la fonction relai dans Plesk. Le problème est que si j’active le service dans mon panel, je vois mon espace baisser encore et encore.

Du coup, Nuxit me demande d’intervenir, moi je veux bien, mais où ?

En vous remerciant.

Comme je l’ai déjà dit, une machine compromise vaut mieux la réinstaller complètement. Là tu as identifié Qmail mais qui sait en réalité jusqu’où l’intrus est allé ? Tu ne peux malheureusement plus être certain de l’intégrité d’aucun composant logiciel.
Si tu t’es bien fait hacker (ce qui reste à déterminer), la seule solution propre c’est de faire une sauvegarde complète, reformater, et réinstaller les softs et les données un par un. En profitant de l’occasion pour changer tous les mots de passe admin (au minimum, ceux des utilisateurs si tu peux te permettre c’est encore mieux), clés SSH et autres trucs du genre.
Accessoirement tu auras l’avantage de repartir sur des bases saines avec une Debian toute neuve (Wheezy donc, sortie en début d’année) qui bénéficie encore des mises à jour de sécurité pour un bon petit moment.

Je ne suis pas habituellement partisan des réinstallations à gogo “à la Windows”, mais les problèmes de machine compromise c’est un des rares cas où ça s’avère nécessaire puisque tu ne peux plus avoir confiance dans ton système.

Que mon avis n’empêche personne d’essayer de résoudre la question posée, hein.

Je suis de l’avis de Syam. Un système corrompu est un système à réinstaller.
Si ton espace (disque?) baisse de façon significative c’est qu’il y a des process que tu n’a pas encore détectés et qui tente d’envoyer des mail en masse.
Je me demande si ce ne sont pas simplement les logs qui se remplissent sans contrôle.
Utilise les commandes «du» et «df» pour trouver le coupable.

Si tu veux t’amuser/te prendre la tête pour faire le ménage sur ton serveur, demande a ton hébergeur une image de ton serveur (ça doit être un virtualisé) pour le remonter chez toi et prendre tout ton temps pour le décortiquer.

+1

en plus, cela te permettra de mettre à jour ton système, car un système sans mise à jour de sécurité, n’est pas un système fiable.

si ca se trouve, la méthode utilisée pour compromettre ta machine fait peut être partie d’une faille apparu après la dernière mise à jour de sécurité du système…

Bon courage.

Merci de vos réponse.

Le seul point positif c’est que dés que j’ai coupé Qmail, je n’ai plus constaté de perte de données. Bon je vais voir avec Nuxit… je vais peut être prendre 1h d’assistance chez eux car entre la garde de ma fille de 11 mois et ma librairie, je n’ai pas trop le temps de tout faire moi même.