Visiteur inattendu

Bonjour,

Ce matin je me suis rendu compte que mon site internet n’était pas en ligne.
Je me connecte alors sur mon serveur dédié, regarde l’état du serveur Apache, il était fonctionnel.
Je regarde alors le répertoire contenant le site, et là, surprise. Plus rien, tout vide.
Je regarde les logs, et je vois un truc bizarre, cron exécute un script dans le répertorie /var/tmp.
Je vais voir et je trouve 2 répertoires, un “expl” et un “smtpdomenii”.
Le premier(“expl”) contient quelques fichiers (9 pour être précis) nommés h00lyshit, h00lyshit.c, padlina, padlina.c, prctl.c,ptrace-kmod-exploit, ptrace-kmod-exploit.c, vmsplice, cmsplice.c.

Du coup je soupçonne l’intervention d’une force divine extérieur… Si quelqu’un pouvait m’aiguiller pour nettoyer tout ça, et sécuriser un peu plus mon serveur.

J’ai du coup changé tous les mots de passe.

Dans l’attente de vous lire, merci.

Tu avais un MDP solide ?
Tu te connectais en SSH avec un jeu de clefs ?

J’avais un mot de place relativement correct ( 8 caractères, minuscules, majuscules, chiffre).
En revanche je n’utilisais pas de jeux de clefs. J’en ai appris l’existence aujourd’hui seulement…

Du coup je suis en plein dans la doc, et je suis en train de configurer iptables, fail2ban.
Y a t’il autre chose qu’il faut que je mette? Comment savoir si le monsieur n’a pas “modifié” ou “laissé de back door” ?

C’est le point d’interrogation.
Tu faisais des sauvegardes de ton serveur ?
Si oui, ça va mais sinon, je ne sais pas quoi te dire.
À l’avenir, au minimum un bon parefeu, fail2ban, une connexion exclusivement en SSH avec jeu de clefs et bon pass phrase et des limites maximales aux droits dans /var/www/…

oui, j’avais des sauvegardes automatiques, rien n’est réellement perdu.
Penses tu qu’il serait plus simple et plus sage de repartir sur une install “propre” et de faire chauffer les back-ups?

Oui. Tu ne sais pas vraiment à quel point s’étend l’intrusion sur ton serveur, tu n’as peut-être éliminé que la partie visible de l’iceberg.

Moi c’est ce que je ferais mais attends d’autres avis car je suis loin d’être un expert.
C’est déjà une bonne chose que tu aies des sauvegardes.
Par contre, si tu réinstalles avec tes sauvegardes, pense bien à prendre toutes les précautions que j’ai énumérées plus haut, en premier.

À qui appartiennent les fichiers sous /var/tmp?

En attendant, prépare un nouveau serveur sur un nouveau disque ou bien sauvegarde quelque part le disque actuel et refais une installation complète. Puis bascule sur le nouveau disque. Analyse soigneusement le disque vérolé en cherchant d’où vient l’intrusion. À vue de nez il a essayé différents exploits dont certains datent un peu. Puis il a apparemment installé un serveur SMTP sans doute pour faire du spam.

Il a effacé les logs donc ceux ci sont significatifs. Tu peux essayer de les récupérer en utlisant un paquet helpdelete chez moi, qui permet de reconstituer un fichier à partir d’expressions régulières. Tu letrouveras sur mon dépot
deb boisson.homeip.net/depot wheezy
c’est à dire
boisson.homeip.net/depot/pool/wh … _amd64.deb
ou
boisson.homeip.net/depot/pool/et … 2_i386.deb
par exemple (compilé en statique, donc pas de souci de librairies).

Retrouve les logs.

Un principe que j’ai, c’est : le moins possible de dossiers ouverts à tous, même en lecture seule.
Chez moi, un seul : la galerie photo (obligatoire)
Tu remarqueras que le droits sont réduits : ==> MP

Du coup je me suis mis une vm sur mon poste pour apprendre à configurer les clefs pour le ssh, le pare feu et fail2ban.

Des logs je dois en avoir un paquet, lequel sont interresants? Les syslogs?

Quand aux fichiers du répertoire /var/tmp :
[ul]drwxr-xr-x 2 web web 4096 27 janv. 00:12 expl
drwxr-xr-x 4 web web 4096 3 mars 22:17 smtpdomenii
[/ul]

Je viens de me rendre compte que j’avais créer un utilisateur (web justement) pour qu’un copain puisse héberger quelques fichiers. Le mot de passe en étant ridiculement simple, serait il possible qu’il soit passé par là?

[quote=“Creutzou”]…

Je viens de me rendre compte que j’avais créer un utilisateur (web justement) pour qu’un copain puisse héberger quelques fichiers. Le mot de passe en étant ridiculement simple, serait il possible qu’il soit passé par là?[/quote]
Ce n’est pas impossible.
De quels droits disposait ton utilisateur, pour faire quoi, où avait-il accès ?

EDIT : en effet, /var/tmp appartient à un utilisateur mal protégé : aïe !

De plus je viens de faire un petit last -i | grep web
si je ne prêtes pas attention à mon ip, ou celle de mon amis, je trouve quand même 4 adresses ips inconnues.

EDIT:Sur les 4 adresses, deux sont roumaines, une tchèque et la dernière est norvégienne.

Salut,

[quote=“Creutzou”]je me suis rendu compte que mon site internet n’était pas en ligne.
Je me connecte alors sur mon serveur dédié,[/quote]

À titre de curiosité …

Pourrait-on savoir quelles sont les versions : Debian, Php, Mysql et Apache ?
serveur dédié Où cela, ovh ?

Le site en question est basé sur quel CMS ?

[quote=“Creutzou”] je trouve quand même 4 adresses ips inconnues.

EDIT:Sur les 4 adresses, deux sont roumaines, une tchèque et la dernière est norvégienne.[/quote]
Alors, n’hésite pas, refais-toi un serveur propre.
Il ne servirait à rien d’épiloguer sur le mal qui est fait.
Comme tu as eu la sagesse de faire une sauvegarde, vas-y.

Oui refais un serveur propre, tu ne sais pas qu’est-ce qui à été effacé dans les logs… Et tu as certainement un nouvel admin sur celui-là.

@fran.b: je vais jeter un coup d’œil sur tes liens.

As tu regardé à qui appartiennent les fichiers et si les exploits chargés fonctionnaient? Si il n’a pu être root et changer d’utilisateur, mis à part le serveur SMTP, il n’a pas pu faire gd chose dans ce cas.

ricardo :

dave@HAL9000:~$ ls -ld /var/tmp/ drwxrwxrwt 3 root root 4096 Mar 11 14:51 /var/tmp/

Je ne crois pas avoir changé manuellement les droits sur ce répertoire, tu es sûr de tes droits par défaut ?

[quote=“vv222”]ricardo :

dave@HAL9000:~$ ls -ld /var/tmp/ drwxrwxrwt 3 root root 4096 Mar 11 14:51 /var/tmp/

Je ne crois pas avoir changé manuellement les droits sur ce répertoire, tu es sûr de tes droits par défaut ?[/quote]
Tu as entièrement raison, je ne sais pas comment j’ai pu voir une telle connerie J’ai dû me tromper de ligne.

Du coup, j’efface ma précédente intervention.

EDIT :
J’ai compris d’où venait ma confusion :
ce sont les dossiers qui sont dans /var/tmp qui sont en 700 ou en 740 mais certains appartiennent à l’‘user’, d’autres à root.