[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [HS] Serveur corrompu, besoin de conseil



Le 15140ième jour après Epoch,
Romaric DEFAUX écrivait:

> Est-ce que vous auriez des conseils à donner ?
> Etant donné que c'est un serveur de prod, on ne l'a pas encore isolé
> du réseau.

Première erreur... Faut le débrancher tout de suite du réseau, et mettre
à la place une gentille page disant que ça va revenir bientôt....

Ensuite, éviter de s'y connecter. Si le filesystème est journalisé,
alors un bon arrêt électrique suivi d'un redémarrage avec un LiveCD ou
un autre disque dur, et ne monter les morceaux infectés qu'avec
précaution.

> - des fichiers php sont modifiés tous les 4h :
> la balise php ouvrante est remplacée par :
> <?php eval(base64_decode(
> suivi de code en base 64

Tu peux regarder le code en question avec la commande base64, tu seras
un peu plus fixé sur ce qu'il s'y passe.

> - des process qui ne devraient pas font des connections vers notre ldap :
> tcp        1      0 192.168.2.201:51954     192.168.2.182:389
> CLOSE_WAIT  6333/postgres
> tcp        0      0 192.168.2.201:41109     192.168.2.182:389
> TIME_WAIT   -
> tcp        1      0 192.168.2.201:51946     192.168.2.182:389
> CLOSE_WAIT  6256/mysqld
> tcp        0      0 192.168.2.201:41110     192.168.2.182:389
> TIME_WAIT   -
> tcp        1      0 192.168.2.201:51963     192.168.2.182:389
> CLOSE_WAIT  6384/nrpe

Je ne connais pas nrpe, mais postgres et mysqld sont prévus pour faire
des accès ldap.

Tu peux toutefois comparer les binaires (avec un md5sum par exemple) de
la machine avec une install "fresh", pour voir si ces binaires sont
malicieux.

> On ne sait pas comment c'est arrivé (mais on suppose via un joomla ou
> un wordpress), du coup on craint qu'une réinstallation totale ne serve
> à rien.

Si les logs http n'ont pas été effacées, tu devrais pouvoir trouver la
source de l'infection avec, si c'est bien passé par Joomla ou
Wordpress. Mais dans 99% des cas, c'est une machine zombie elle-même qui
a effectué l'infection.

Bon courage.

Attachment: pgpavPdx8hPkM.pgp
Description: PGP signature


Reply to: