Re: [HS] Serveur corrompu, besoin de conseil

[Jean-Michel OLTRA <jm.oltra.antispam@espinasse.net>]

    Bonjour,


Le mercredi 15 juin 2011, Romaric DEFAUX a écrit...


> - des fichiers php sont modifiés tous les 4h :

Donc possible crontab. Ce que j'ai repéré récemment dans la machine de
quelqu'un. Un dossier /home/test (utilisateur test créé par le
propriétaire de la machine) corrompu par /home/test/.n/, avec tout un
tas de saloperies (intéressantes !) dedans + crontab pour l'utilisateur
test dans /var/spool/cron/crontab (`crontab -u test` pour voir). La
crontab rechargeait la base de données du bot (c'était un bot spammeur)
caché sous le processus bash

> la balise php ouvrante est remplacée par :
> <?php eval(base64_decode(
> suivi de code en base 64

Passer le début de la chaine b64 chez Google : tu devrais avoir qqch qui
te permettra de savoir ce que fait le bouzin ; j'ai déjà vu ça sur un
site ouèbe « fait maison », un espèce d'appli Command And Control avec
un fichier .png qui était en fait un fichier php déguisé permettant le
CC.

A voir si tu as la  possibilité de repérer d'éventuels fichiers plus ou
moins récents (man find) qui seraient cachés dans du pseudo fichier image, ou
autre extension fréquente dans un site ouèbe.

> Est-ce que vous auriez des conseils à donner ?
> Etant donné que c'est un serveur de prod, on ne l'a pas encore isolé
> du réseau.

Ce n'est pas forcément méchant. Il te faut voir ce que c'est avant de
tout formater. En espérant que tu possèdes des sauvegardes des sites,
car tous les fichiers .php peuvent se trouver infectés.

-- 
jm