:: Version Debian Wheezy ::

Bonjour à tous. J’ai subi une attaque sur un des wordpress hébergés sur mon VPS, peut-être un second également, investigations en cours…

Envois de mails en masse, ip suspendue par OVH…
Il semblerait qu’il y ait eu des injection de fichiers et modif de fichiers d’après les scans effectués par un plug in de sécurité.

Ma question est la suivante pour un cas comme celui-ci ; y a-t-il des outils côté Debian conseillés pour prévenir ce genre de choses et/ou les réparer, ou faut-il intervenir au niveau des sites ?

PS : je pense que vous l’aurez compris, je ne suis pas expert Linux.

Je vous remercie.

J’espère pour toi que tu avais bien fait des backup.
Quand un système est compromis on considère qu’il n’est plus digne de confiance, donc on fait une image du serveur (pour inspection post-mortem) et on le réinstall de zéro.
Ensuite les «outils» Debian n’ont rien de miraculeux, un firewall bien configuré, RKHunter, fail2ban, etc. Penser a bien configurer les utilisateurs et leurs droits, isoler (docker/chroot/…) les services qui le permettent, …
Après si la faille viens d’un soft tiers on ne peux malheureusement pas y faire grand chose. Si l’attaque a utilisé une faille WordPress tous ces outils ne pourront rien faire.

Je vois que tu as toujours une Wheezy, il serait judicieux de passer à Jessie.

Au-Secours !! Malgré mes tentatives, il semble que j’ai un machin qui recréé sans cesse des fichiers, voir qui modifie le htaccess et déclenche des redirections vers d’autres sites entre autres joyeuseries (exemple : http://alleray.fr) J’ai remodifié le htaccess, ça n’a plus l’air de le faire, mais pour combien de temps ? Une idée ? Merci beaucoup.

exemple de code :
`
RewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR]
RewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing)
RewriteRule ^.*$ index.php [L]

`

Tu as lu le message de Mimoza ?

Install et exécute Rkhunter on verra ensuite, mais je te le répète, un serveur compromis ne devrais jamais être remis en service ! Tu as des backup sert toi en ! RAZ de ton serveur et passe à Jessie !

Bonjour, merci pour votre aide

Mais avant de devoir tout supprimer et redéployer tout le serveur (ce que je ne saurais certainement pas faire sans tout aggraver encore plus), je tiens à préciser que sur ce serveur j’ai donc plusieurs wordpress d’installés.

Hors certains (2 pour l’instant du moins) ont cette génération de fichiers automatiques et apparemment , modification à mon insu des fichiers htaccess. Peut-être un script qui tourne ?

De plus, j’ai bien des backups, mais s’ils contiennent le problème et que je les re-envoi, logiquement, je vais récupérer le problème avec ?

Je vais donc commencer par suivre votre conseil et installer Rkhunter

C’est normal une adresse en .re ?

`wtmp begins Mon Aug 29 11:34:12 2016
root@XXXX:/var/log# last -f /var/log/wtmp
root pts/0 179.211.31.93.re Wed Aug 31 12:41 still logged in
root pts/0 179.211.31.93.re Wed Aug 31 00:07 - 02:05 (01:58)
root pts/0 lab75-6-88-185-1 Tue Aug 30 12:37 - 23:29 (10:51)
reboot system boot 2.6.32-042stab11 Mon Aug 29 23:16 - 12:45 (1+13:29)
root pts/0 179.211.31.93.re Mon Aug 29 22:35 - down (00:39)
root pts/0 lab75-6-88-185-1 Mon Aug 29 12:36 - 21:22 (08:46)

wtmp begins Mon Aug 29 11:34:12 2016
root@vXXXX:/var/log# last -f /var/run/utmp
root pts/0 179.211.31.93.re Wed Aug 31 12:41 still logged in
reboot system boot Mon Aug 29 23:16 - 12:46 (1+13:30)
`

Heu, ça commence mal

W: Erreur de GPG : http://packages.dotdeb.org stable Release : Les signatures suivantes n'ont pas pu être vérifiées car la clé publique n'est pas disponible : NO_PUBKEY E9C74FEEA2098A6E W: Erreur de GPG : http://packages.dotdeb.org wheezy Release : Les signatures suivantes n'ont pas pu être vérifiées car la clé publique n'est pas disponible : NO_PUBKEY E9C74FEEA2098A6E W: Erreur de GPG : http://packages.dotdeb.org wheezy-php56 Release : Les signatures suivantes n'ont pas pu être vérifiées car la clé publique n'est pas disponible : NO_PUBKEY E9C74FEEA2098A6E

`30:/# cat /etc/apt/sources.list
deb http://mirror.ovh.net/ftp.debian.org/debian wheezy main
deb http://security.debian.org/ wheezy/updates main

Dotdeb default

deb http://packages.dotdeb.org stable all
deb-src http://packages.dotdeb.org stable all
deb http://packages.dotdeb.org wheezy all
deb-src http://packages.dotdeb.org wheezy all

PHP 5.6 on Debian 7 (without Zend thread safety)

deb http://packages.dotdeb.org wheezy-php56 all
deb-src http://packages.dotdeb.org wheezy-php56 all

`

Hello, bon ça a l’air d’être installé et configuré

/etc# rkhunter --propupd [ Rootkit Hunter version 1.4.0 ] File updated: searched for 171 files, found 136

par contre je n’arrive pas à updater la version, c’est grave ? :
Checking rkhunter version... This version : 1.4.0 Latest version: 1.4.2 Update available

Checking rkhunter data files... Checking file mirrors.dat [ No update ] Checking file programs_bad.dat [ Updated ] Checking file backdoorports.dat [ No update ] Checking file suspscan.dat [ No update ] Checking file i18n/cn [ No update ] Checking file i18n/de [ Updated ] Checking file i18n/en [ Updated ] Checking file i18n/tr [ Updated ] Checking file i18n/tr.utf8 [ Updated ] Checking file i18n/zh [ No update ] Checking file i18n/zh.utf8 [ No update ]

Bon, je tente…

alors voilà :

etc# cat /var/log/rkhunter.log | grep -i "warning" [19:12:17] Info: Emailing warnings to 'xxxx@xxxx.com''oui par panique j'ai supprimer exim !!!) using command '/usr/bin/mail -s "[rkhunter] Warnings found for ${HOST_NAME}"' [19:13:12] /usr/bin/unhide.rb [ Warning ] [19:13:12] Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text [19:16:08] Checking loaded kernel modules [ Warning ] [19:16:08] Warning: No output found from the lsmod command or the /proc/modules file: [19:16:08] Checking kernel module names [ Warning ] [19:16:08] Warning: The kernel modules directory '/lib/modules' is missing or empty. [19:16:31] Checking if SSH root access is allowed [ Warning ] [19:16:31] Warning: The SSH and rkhunter configuration options should be the same: [19:16:32] Checking for a running system logging daemon [ Warning ] [19:16:32] Warning: No running system logging daemon has been found. [19:16:33] Checking for hidden files and directories [ Warning ] [19:16:33] Warning: Hidden file found: /etc/.hostname.swp: Vim swap file, version 7.3

Oui

Bon, suis pas mécontent, après des tonnes de lecture de tutos (plus ou moins bien faits, c’est le moins qu’on puisse dire, pour les bébés pingouins), m’être retrouvé kické à la porte de mon serveur, après avoir suivi un tuto de désactivation de l’accès root (merci OVH et son KVM), après avoir supprimé les WPress vicelards, repris un VPS tout neuf prêt à recevoir (au compte-gouttes) mes back-ups, j’ai réussi (avec l’aide d’un rare tuto CLAIR de : http://elliptips.info/guide-debian-7-gerer-le-trafic-entrant-et-sortant-avec-iptables/ , j’ai réussi à arrêter de faire hurler mon trafic sortant

Avant j’avais ça depuis mon crash :

tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN - tcp 0 1 5.135.146.116:53144 173.194.72.26:25 SYN_SENT - tcp 0 1 5.135.146.116:54923 64.12.88.164:25 SYN_SENT - tcp 0 1 5.135.146.116:48034 98.136.217.203:25 SYN_SENT - tcp 0 1 5.135.146.116:48385 98.136.217.203:25 SYN_SENT - tcp 0 1 5.135.146.116:44894 173.194.72.27:25 SYN_SENT - tcp 0 1 5.135.146.116:52008 173.194.72.26:25 SYN_SENT - tcp 0 1 5.135.146.116:51984 173.194.72.26:25 SYN_SENT - tcp 0 1 5.135.146.116:52135 173.194.72.26:25 SYN_SENT -
multiplié par, chais pas moi… 100

Maintenant j’ai ça :

tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 11790/exim4 tcp6 0 0 ::1:25 :::* LISTEN 11790/exim4

Je poursuis mes investigations et mon apprentissage.

Inconvénient d’une telle dose de nunuxe en une semaine, c’est ça te crame les yeux

M’enfin, si ça intéresse quelqu’un d’échanger sur les problématiques Debian / Wordpress, sui preneur.

A suivre…

PS : Debian-fr.org est franchement le plus lisible des forums que j’ai pu zieuter, et croyez-en mes vielles rétines, ça compte !!!

Il est en effet assez aéré ce qui est pas mal, mais son thème est trop claire … un thème sombre ferais aussi pas mal de bien au rétines