Re: [HS] Serveur corrompu, besoin de conseil
Le Wed, 15 Jun 2011 10:15:04 +0200,
Romaric DEFAUX <rde@audaxis.com> a écrit :
> Salut la liste !
>
> J'aurai besoin de conseil.
> On a un serveur corrompu (on en est sûr à 99% qu'il est corrompu).
> C'est un serveur web Ubuntu 8.04.4 LTS.
> Voici les symptômes :
>
> - des fichiers php sont modifiés tous les 4h :
> la balise php ouvrante est remplacée par :
> <?php eval(base64_decode(
> suivi de code en base 64
>
> - des process qui ne devraient pas font des connections vers notre
> ldap : tcp 1 0 192.168.2.201:51954
> 192.168.2.182:389 CLOSE_WAIT 6333/postgres
> tcp 0 0 192.168.2.201:41109 192.168.2.182:389
> TIME_WAIT -
> tcp 1 0 192.168.2.201:51946 192.168.2.182:389
> CLOSE_WAIT 6256/mysqld
> tcp 0 0 192.168.2.201:41110 192.168.2.182:389
> TIME_WAIT -
> tcp 1 0 192.168.2.201:51963 192.168.2.182:389
> CLOSE_WAIT 6384/nrpe
>
> - des process cachés sont découverts avec unhide (ce sont peut-être
> des faux positifs ?)
> unhide brute
> Unhide 02-11-2007
> yjesus@security-projects.com
>
>
> [*]Starting scanning using brute force against PIDS
>
> Found HIDDEN PID: 1875
> Found HIDDEN PID: 11836
> Found HIDDEN PID: 19403
> Found HIDDEN PID: 22328
> Found HIDDEN PID: 22333
> Found HIDDEN PID: 22541
> Les pid changent.
>
> On ne sait pas comment c'est arrivé (mais on suppose via un joomla ou
> un wordpress), du coup on craint qu'une réinstallation totale ne
> serve à rien.
>
> Est-ce que vous auriez des conseils à donner ?
> Etant donné que c'est un serveur de prod, on ne l'a pas encore isolé
> du réseau.
>
> Merci d'avance
> Romaric
>
Bonjour,
Cherche dans les logs d'apache les requetes POST.
Ces scripts sont souvent commandés à distance.
Sinon, cherche des fichiers php dans les répertoire où les utilisateurs
peuvent uploader (et plus globalement là où ils ne devraient pas y
en avoir). Tu peux aussi, si tu as les sources quelque part, comparer
les arborescences.
Bon courage
Bruno
Reply to: