Bonjour Fran.b

Je suis en train regarder ce que tu m’as dit, je suis donc dans les files /tmp a la racine. Je vois les files de session “sess-01af54987324000000000” (enfin des numeros bizarre koi!!!. Seulement, en regardant dans ces fichiers, je vois des lignes telles que “REQ_URI|s:10:”/index.php";" ou “REQ_URI|s:57:”/index.php?option=com_content&task=view&id=117&Itemid=192";"

Sur Google, je ne trouve pas de reel explication, je pense que ces fichiers peuvent etre important, a votre avis comment detecter une intrusion dans les fichiers de session??

Merci d’avance

jp

[color=#0000FF]je ne sais pas si cela peux t’aider …? mais il y avait cette info :

zataz.com/news/18821/Toata-d … avola.html[/color]

Les fichiers session_etc sont les fichiers des sessions php interrompues, ça n’est pas bien grave. Essaye de faire une recherche sur tous les fichiers .php contenant

par exemple. Cherche des fichiers de noms simples genre a.php ou cachés comme «.a.php».
Essaye de regarder dans les logs d’apache des lignes avec comme navigateur “libwww-perl”

Merci a tous pour votre support.

En checkant mes fichiers d’erreurs logs, j’ai trouve des choses qui me paraissent bizarre

03:06:50 (821.39 KB/s) - barbut' saved [22624/22624] --03:06:51-- [217.79.182.58/barbut](http://217.79.182.58/barbut) (try: 2) =>barbut.1’
Connecting to 217.79.182.58:80… connected.
HTTP request sent, awaiting response… 200 OK
Length: 22,624 (22K) [text/plain]
0K … … … 100% 701.81 KB/s
03:06:51 (701.81 KB/s) - `barbut.1’ saved [22624/22624]

J’ai bien l’impression que ce fichier a transferer le fichier barbut a sa guise, dans ce cas, pourquoi est ce que ca apparait dans les erreurs logs??

Fran.b
Pour info, je ne voulais pas t’embeter avec ca, mais j’ai effectivement trouve un dossier bizarre /racine/tmp/shell/1 avec a l’interieur des trucs tels que

handle stef
mask !@mort.users.undernet.org
prot 4
aop
channel *
access 100

Je pense que le mieux est de formater le serveur car ca devient au dessus de les competences la.

Non, ner formatte pas le serveur. Tu n’as qu’une faille dans le serveur web PHP, donc ça n’est pas grave. Il te faut la localiser alors laisse le tourner le temps de la voir. Il te faut éplucher les logs apache autour de 03:06:50. Regarde soigneusement les lignes (éventuellement copie les ici) mais urtout ne formatte pas, de toute façon tu devras remettre le serveur Web en route avec les mêmes scripots DONC la même faille. Le pbm, c’est le serveur Web, pas le serveur lui même.

Eventuellement fais un

$ debsums -a
(mais ne panique pas sur les résultats)

ok ok monsieur, quelque part tu me confortes dans mon idee car a quoi sert un backup avec des failles.

En revanche, j’ai vraiment note des fichiers bizarre, je les ai copies sur mon pc (ca ne craint pas bcp) et je les ai supprimes du serveur.

Je regarde les logs de suite

Cela dit, d’après ce que j’ai lu tu as peut être l’identité (un mail plutôt) de ton pirate:

[quote]handle stef
mask !@mort.users.undernet.org
[/quote]

stef@mort.users.undernet.org apparemment. Envois lui un mail d’insultes, ça te soulagera.

Salut fran,

j’espere que ca roule pour toi.

Heureusement que tu m’as dit de ne pas m’inquieter pour le $ debsums -a …, j’ai eu le temps de prendre un cafe le temps de l’analyse, lol.

Plus serieux, je fais comment pour recuperer le rapport en format texte?? euh si c’est possible.

Sinon, je n’avais pas de log aux alentours de 3.06 hier et pour today, le volume a sensiblement baisser, cependant je continue de tracker

J’ai dis 3:06 à cause de l’action wget à cet instant. Je suis sûr que tu as des traces dans les logs d’apache autour de cette période. Tu devrais faire le script suivant

#!/bin/sh if [ $USER = "www-data" ] ; then date +"%c Commande wget $*">> /var/log/intrusion.log pushd /tmp DIR=`date +".intrus.%s"` mkdir $DIR cd $DIR wget.org $* cd .. chmod 000 $DIR popd exit 0 else wget.org $* fi
Tu déplaces wget sur wget.org et tu mets cette commande wget en éxécutable. Comme cela un wget exécuté par l’intermédiaire de www-data (qui éxécute apache) ne sera pas éxécuté et tu auras la trace de la tentative et la chaine de commande ainsi que les fichiers qu’ils auraient du charger (par rpécaution, les droits sur /tmp/.intrus.??? sont mis à 0. En clair tu auras n…r le pirate

Ah si tu le voulais, tu pourrais en faire des dégâts si tu étais un “black hat”!!!

Je ferais attention à ne jamais me fâcher avec toi

euh bon la je te remercie pour le script mais euh la, je pense ne pas avoir tout capter de ce que tu m’as dit.

J’ai lance le script et voici le message d’erreur
line 14: wget.org: command not found

oui oui, je t’avoue que je suis un peu perdu

Alors, le script est un wrapper qui s’intercale entre l’utilisateur et wget, il est grossier mais relativement invisible quant à ses effets (sauf que le gars ne chargera rien ):
Tu fais les choses suivantes:

mv /usr/bin/wget /usr/bin/wget.org touch /var/log/intrusion.log chown www-data /var/log/intrusion.log
puis tu nommes le fichier /usr/bin/wget le script que je t’ai indiqué
Quand un utilisateur quelconque utilisera wget, wget aura in comprtement normal, par contre si c’est www-data (qui est l’utilisateur exécutant le serveur apache), tu auras les choses suivantes:
le fichier /var/log/intrusion.log contiendra

donc les dates et commandes wget éxécutées par www-data et

[quote]cerbere:/tmp$ ls -altdr .intru*
d--------- 2 www-data www-data 4096 2009-04-09 13:47 .intrus.1239277657
d--------- 2 www-data www-data 4096 2009-04-09 13:51 .intrus.1239277889
d--------- 2 www-data www-data 4096 2009-04-09 13:51 .intrus.1239277911
[/quote]autant de répertoires que de commandes et dans chacun de ces répertoires, les fichiers que voulaient rapatrier le pirate.

[quote]cerbere:/tmp$ chmod -R 777 .intrus*
cerbere:/tmp$ ls -l .intrus*
.intrus.1239277657:
total 4
-rwxrwxrwx 1 www-data www-data 1411 2009-04-09 13:47 index.html

.intrus.1239277889:
total 4
-rwxrwxrwx 1 www-data www-data 1411 2009-04-09 13:51 index.html

.intrus.1239277911:
total 8
-rwxrwxrwx 1 www-data www-data 4943 2009-04-09 13:51 index.html
[/quote]

Si tu as écrasé wget:

apt-get install --reinstall wget

Pour supprimer le wrapper:

mv wget.org wget

Bon ben, voila, le script est en place, j’espere que je l’ai bien fait.

Maintenant, on va attendre et voir ce que ca donne

Merci encore fran.b, en meme temps, j’en ai appris pas mal

il n’y a pas que toi qui apprends, c’est instructif pour beaucoup ici je crois.
j’ai l’impression de suivre un feuilleton des brigades du tigre…ou disons plutôt des brigades du pingouin.

En revanche, j’ai une question qui parait peut etre debile mais bon:

Est ce que ce script peut empecher de faire tourner un site web??

Car j’ai un probleme, certains de mes sites ne tournent plus alors que j’ai acces par ftp et les autres marchent nikels.

Et la, je panique…

Hum, tu peux regarder si le script est appelé par en rajoutant

#!/bin/sh date +"%c wget $*" >> /tmp/wget.log if [ $USER = "www-data" ] ; then date +"%c Commande wget $*">> /var/log/intrusion.log pushd /tmp DIR=`date +".intrus.%s"` mkdir $DIR cd $DIR wget.org $* cd .. chmod 000 $DIR popd exit 0 else wget.org $* fi
(rajoute de la deuxième ligne), tu auras les appels dans /tmp/wget.log et tu sauras donc si ça coïncide avec les sites posant problème…

OK merci Fran, en fait, c’est tout C… mais j’avais fait un reboot du serveur juste apres avoir mis le script tout comme tu m’as dit oui je sais pas top du tout, mais la raison qu’il y avait un intrus et je voulais le forcer a se “reloguer” pour voir si le script fonctionnait bien (sans remettre en cause tes capacites dont je ne doute pas). Le probleme est que le serveur n’a pas redemarre. Bizarrement, on se sent tout petit dans ce cas la!!!

Ensuite, certains sites etaient down car l’IP etait … down aussi et la je ne pouvais rien faire. grrrrr

Bon je refais ce que tu me dis … mais sans rebooter!!! et te tien au courant

Thanks

Bonjour a tous,

J’ai regarde les logs de intrusion.log, et le fichier est vide, je regarde qui est connecte sur le serveur

lsof -i -P et voila ce que je trouve

bda137.bis.eu.blackberry.com:

C’est qui lui??

[quote=“jplorans”]Bonjour a tous,

J’ai regarde les logs de intrusion.log, et le fichier est vide, je regarde qui est connecte sur le serveur

lsof -i -P et voila ce que je trouve

bda137.bis.eu.blackberry.com:

C’est qui lui??[/quote]
Quelqu’un qui regarde ton site avec un blackberry,

Tu as regardé les logs d’apache sur les périodes où il y a eu de l’activité douteuse (et avant)?