Salut la liste ! J'aurai besoin de conseil.On a un serveur corrompu (on en est sûr à 99% qu'il est corrompu). C'est un serveur web Ubuntu 8.04.4 LTS.
Voici les symptômes : - des fichiers php sont modifiés tous les 4h : la balise php ouvrante est remplacée par : <?php eval(base64_decode( suivi de code en base 64 - des process qui ne devraient pas font des connections vers notre ldap :tcp 1 0 192.168.2.201:51954 192.168.2.182:389 CLOSE_WAIT 6333/postgres tcp 0 0 192.168.2.201:41109 192.168.2.182:389 TIME_WAIT - tcp 1 0 192.168.2.201:51946 192.168.2.182:389 CLOSE_WAIT 6256/mysqld tcp 0 0 192.168.2.201:41110 192.168.2.182:389 TIME_WAIT - tcp 1 0 192.168.2.201:51963 192.168.2.182:389 CLOSE_WAIT 6384/nrpe
- des process cachés sont découverts avec unhide (ce sont peut-être des faux positifs ?)
unhide brute Unhide 02-11-2007 yjesus@security-projects.com [*]Starting scanning using brute force against PIDS Found HIDDEN PID: 1875 Found HIDDEN PID: 11836 Found HIDDEN PID: 19403 Found HIDDEN PID: 22328 Found HIDDEN PID: 22333 Found HIDDEN PID: 22541 Les pid changent.On ne sait pas comment c'est arrivé (mais on suppose via un joomla ou un wordpress), du coup on craint qu'une réinstallation totale ne serve à rien.
Est-ce que vous auriez des conseils à donner ?Etant donné que c'est un serveur de prod, on ne l'a pas encore isolé du réseau.
Merci d'avance Romaric
Attachment:
smime.p7s
Description: S/MIME Cryptographic Signature