Le 15140ième jour après Epoch, Romaric DEFAUX écrivait: > Est-ce que vous auriez des conseils à donner ? > Etant donné que c'est un serveur de prod, on ne l'a pas encore isolé > du réseau. Première erreur... Faut le débrancher tout de suite du réseau, et mettre à la place une gentille page disant que ça va revenir bientôt.... Ensuite, éviter de s'y connecter. Si le filesystème est journalisé, alors un bon arrêt électrique suivi d'un redémarrage avec un LiveCD ou un autre disque dur, et ne monter les morceaux infectés qu'avec précaution. > - des fichiers php sont modifiés tous les 4h : > la balise php ouvrante est remplacée par : > <?php eval(base64_decode( > suivi de code en base 64 Tu peux regarder le code en question avec la commande base64, tu seras un peu plus fixé sur ce qu'il s'y passe. > - des process qui ne devraient pas font des connections vers notre ldap : > tcp 1 0 192.168.2.201:51954 192.168.2.182:389 > CLOSE_WAIT 6333/postgres > tcp 0 0 192.168.2.201:41109 192.168.2.182:389 > TIME_WAIT - > tcp 1 0 192.168.2.201:51946 192.168.2.182:389 > CLOSE_WAIT 6256/mysqld > tcp 0 0 192.168.2.201:41110 192.168.2.182:389 > TIME_WAIT - > tcp 1 0 192.168.2.201:51963 192.168.2.182:389 > CLOSE_WAIT 6384/nrpe Je ne connais pas nrpe, mais postgres et mysqld sont prévus pour faire des accès ldap. Tu peux toutefois comparer les binaires (avec un md5sum par exemple) de la machine avec une install "fresh", pour voir si ces binaires sont malicieux. > On ne sait pas comment c'est arrivé (mais on suppose via un joomla ou > un wordpress), du coup on craint qu'une réinstallation totale ne serve > à rien. Si les logs http n'ont pas été effacées, tu devrais pouvoir trouver la source de l'infection avec, si c'est bien passé par Joomla ou Wordpress. Mais dans 99% des cas, c'est une machine zombie elle-même qui a effectué l'infection. Bon courage.
Attachment:
pgpEJ3RPuEjIF.pgp
Description: PGP signature