Topic: Infection Spyware

[fhs74]

Bonsoir à tous,

cela fais quelque temps que mon serveur sous sme 9.1 a le CPU qui tourne autour des 95% de charge.

Je viens de me rendre compte que je suis infecté par des processus bloquant le CPU à pleine charge.

Il se crée automatiquement dans le répertoire etc/rc.d/init.d.

Le fichier crée contient les lignes de codes suivantes :

#!/bin/sh
# chkconfig: 12345 90 90
# description: puxidcmopq
### BEGIN INIT INFO
# Provides:      puxidcmopq
# Required-Start:   
# Required-Stop:   
# Default-Start:   1 2 3 4 5
# Default-Stop:      
# Short-Description:   puxidcmopq
### END INIT INFO
case $1 in
start)
   /usr/bin/puxidcmopq
   ;;
stop)
   ;;
*)
   /usr/bin/puxidcmopq
   ;;
esac

Chaque fois que j'en kill 1, il se recrée automatiquement sous un autre nom.

Je suis arrivé à retrouver leur trace sous usr/bin

Mais idem, quand je kill le process il s'en crée un nouveau ssous le répertoire usr/bin et etc/rc.d (ainsi que sous etc/rc 1 2 3 4 5 6 .d)

Je sèche un peu pour trouver la source...

J'avais fais l’ânerie d'installer il y'a longtemps les packets de compilation gcc et gcc+.

Que faut t'il que je fasse pour me débarrasser de cette cochonnerie?

Merci d'avance de votre retour.

FHS

[Stefano]

Your server has been hacked
I guess you have a bugged web app running
First of all disconnect immediately it from san
Then start from a new server
If you need help, here we are

[stephdl]

Ola

rpm -qf    /usr/bin/puxidcmopq

Va te dire d'ou vient l'installation

Puis   

mv /usr/bin/puxidcmopq /tmp

Cela devrait eviter de lancer le soft puisque tu l'as deplacé....probablement une réinstallation est nécessaire mais avant il faut comprendre ce qui s'est passé

[Daniel B.]

Il y a très peu de chance pour que ce binaire appartienne à un rpm. Dans tous les cas, le serveur est entièrement compromis (y compris le compte root). Il faut immédiatement le déconnecter, et tout réinstaller. Mais comme le dit Stéphane, il va falloir aussi analyser ce qui s'est passé pour savoir à partir de quelle sauvegarde restaurer ça. Comme il s'agit d'un problème de sécu, tant que l'on sait pas quelle faille a été exploitée, il vaut mieux communiquer (en anglais par contre) sur security@contribs.org

[fhs74]

Bonjour à tous,

Merci de vous intéresser à mon problème.

Je viens d'essayer la commande communiqué par StephDL et bien etendu, la réponse est :

le fichier /usr/bin/dgqknzncja n'appartient à aucun paquetage

Je sais que mon serveur à été compromis début février, alors clairement, je ne peu pas m'assoir sur  mois de boulot......

Pour moi, les pistes (très lié au crétin qui est entre la chaise et l'écran...):
- J'avais un souci de sauvegarde avec Affa, et après relecture sur contribs, j'ai désactivé pendant une semaine AutoBlock, et un mot de passe admin/root un peu léger....
- J'ai eu un souci sur une station de travail (cryptage des données par Locker) donc, je me demande si intrusion possible depuis la station de travail sur le serveur...

Voilà ou en sont mes recherches pour l'instant.

Je sais que je vais devoir réinstaller, ce que je voulais faire, c'est reprendre des sauvegardes à la mano (toutes les ibays) et 2 grosses bases de données mysql et bien sur les mails...

Voir ce que cela donne en laissant tourner quelque temps.

Je sais, ce n'est pas la meilleur méthode....

Enfin, pour le communication sur security@contribs.org, vu mon niveau d'anglais, cela va être très tendu.

FHS

[Jean-Philippe Pialasse]

on va oublier les erreurs du passé et les mots de passe pour access ssh en root ( enfin pas trop oublier non plus faut pas recommencer). Créé toi des clefs rsa pour te connecter en ssh, et n'autorise pas le login par mot de passe. TOn mot de passe doit rester fort tout de même à cause de l'accèspossible via le manager

l'attitude est bonne : ne récupérer que les données voulues (ibays, mysql, emails). Je rajouterais considère que même tes fichiers ont pu être compromis et que toute information confidentielle peut être utilisée à ton insu.

Un exemple d'intrusion serait une ibay avec un CMS qui est pas mis a jour, le php basedir a été élargi pour accéder à des elements dans /etc /usr/bin ... Je vois ce genre de chose par exemple pour utiliser imagemagick ou via un phpsysinfo vite installé. Le hacker peut utiliser une faille comme celle recente pour phpmailer pour mettre un script sur l'ibay dans un dossier où il peut écrire. Puis il utilise ce script pour continuer son attaque de différente façon. L'attaque du mot de passe ssh est aussi une belle possibilité.

s'il y a des mots de passes ou d'autres informations sensibles dans des fichiers prévois de les changer.

aussi je tenterais de faire des comparaison des fichiers que tu veux récupérer avec un derniers backup fiable. Cela te permettra de vérifier que les fichiers modifiés sont bien ceux que tu pense, et éventuellement vérifier qu'ils ressemblent bien à ce que tu attends.

pour ce qui est de security@contribs.org, c'est idéalement en anglais, mais communique quand même là même si c'est en Français, il y aura au moins 1 ou 2 personnes capables de communiquer avec toi.