Re: Exécutable étrange

To: Debian user french <debian-user-french@lists.debian.org>
Subject: Re: Exécutable étrange
From: BERTRAND Joël <joel.bertrand@systella.fr>
Date: Wed, 31 May 2023 11:58:22 +0200
Message-id: <[🔎] 296152c4-b9e9-e66b-b52b-45bfeacd470b@systella.fr>
In-reply-to: <[🔎] f82384e4-9e3f-2f7a-bca9-6e58b423e421@starynkevitch.net>
References: <[🔎] 736e164f-bd83-c8d0-7483-26b18aa0ee55@systella.fr> <[🔎] f82384e4-9e3f-2f7a-bca9-6e58b423e421@starynkevitch.net>

Basile Starynkevitch a écrit :
> 
> On 5/31/23 09:55, BERTRAND Joël wrote:
>>     Bonjour à tous,
>>
>>     Hier soir, je me suis aperçu qu'un serveur ramait énormément. En
>> regardant de près, j'ai trouvé un exécutable étrange :
>>
>> /dev/shm/hwm
>>
>> avec les droits de www-data:www-data, un fichier de configuration et un
>> autre programme (hwmon). /dev/shm/hwm utilisait 100% de chaque CPU. Je
>> n'ai pas noté de trafic réseau anormal.
>>
>>     J'ai viré les trois fichiers en question et j'ai inspecté en
>> profondeur
>> le système, je n'ai rien trouvé de plus. Je pense savoir comment il a
>> été déposé ici (mais aucune trace dans les logs).
> 
> 
> Si un processus actif de pid 1234 est suspect (par exemple résultat de
> de ps ou top) utiliser /usr/bin/strace -p 1234 pour comprendre les
> appels systèmes qu'il fait. Et aussi /usr/bin/ls -l /proc/1234/
> (conserver la sortie ...)
> 
> Je m'inquieterais, et j'aurais tendance (pour une prochaine fois) non
> pas à supprimer les fichiers, mais à les copier ou renommer ailleurs
> (par exemple dans /var/tmp/ ...),  puis à les examiner au minimum avec
> les commandes suivantes

	Mais je me suis inquiété. J'ai passé la nuit sur la machine en
question. Le programme hwm était un exécutable statique. Je n'ai pas
pensé à le passer dans strace. Le fichier de conf à côté
(/dev/shm/hwm.conf) m'indiquait même clairement l'URL d'injection
(dns.xxx.yyy).
C'est donc un blog (b2evolution) qui traîne-là qui est percé. Quelqu'un
sait-il d'ailleurs sur quoi migrer un blog b2evolution ? b2evolution
n'est plus supporté. J'ai bien vu ceci que je vais peut-être tester :

https://github.com/keithbowes/b2evolution

> /bin/ls -l /var/tmp/hwm /var/tmp/hwmon
> 
> /usr/bin/stat /var/tmp/hwm /var/tmp/hwmon
> 
> /usr/bin/file /var/tmp/hwm /var/tmp/hwmon
> 
> /usr/bin/ldd /var/tmp/hwm /var/tmp/hwmon
> 
>>     Quelqu'un a-t-il déjà vu un truc pareil ? Je n'ai rien trouvé en
>> googlisant.
> 
> 
> Ma parano me ferait penser (sur un serveur publiquement accessible sur
> Internet) à un virus informatique..... Ceux-ci existent sous Linux.

	Je sais. Et je suis aussi paranoïaque. La machine semble propre.

	Bien cordialement,

	JB

Reply to:

Follow-Ups:
- Re: Exécutable étrange
  - From: Michel Verdier <mv524@free.fr>

References:
- Exécutable étrange
  - From: BERTRAND Joël <joel.bertrand@systella.fr>
- Re: Exécutable étrange
  - From: Basile Starynkevitch <basile@starynkevitch.net>

Prev by Date: Re : Re: Exécutable étrange
Next by Date: Re: Exécutable étrange
Previous by thread: Re : Re: Exécutable étrange
Next by thread: Re: Exécutable étrange
Index(es):
- Date
- Thread