Tom75 Posté 10 Décembre 2005 Partager Posté 10 Décembre 2005 bonjour tt le monde, A cause d'un ralentissement ce soir, j'ai vérifié mes logs (/var/log/httpd/error_log), voici ce que j'ai trouvé : ---------------------------------------------------- --23:55:47-- http://tododescargas.co.ve/images/.bot/sunbeam => `sunbeam' Connexion vers tododescargas.co.ve:80...Connecté! requête HTTP transmise, en attente de la réponse...200 OK Longueur: 16,833 [text/plain] 0K .......... ...... 100% @ 30.00 KB/s 23:55:48 (30.00 KB/s) - `sunbeam' sauvegardé [16833/16833] ---------------------------------------------------- Pourriez vous m'aider SVP, est ce que vous pouvez me dire si c'est une tentative de hack de mon SD, le lien (http://tododescargas.co.ve/images/.bot/sunbeam) est accessible mais à vrai dire je n'y comprends pas grand chose. Comment pourrais je corriger ou prévenir à ce trou de sécurité, si vulnérabilité il y a ? Merci Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dan Posté 10 Décembre 2005 Partager Posté 10 Décembre 2005 Bonjour, Tu as un programme perl qui a été installé sur ton serveur. Il faut l'enlever sans délai. Ensuite, le mieux est encore d'enlever les droits sur wget et le laisser uniquement utilisable par root. Cela évitera des soucis, la majorité des hacks sont installés avec wget. Mais il faut absolument scanner ton serveur pour voir si tu n'as pas un backdoor qui aurait été laissé. Regarde aussi dans /tmp et/ou /var/tmp si tu n'as pas de fichiers louches. Utilises un "ls -la" pour afficher les fichiers cachés (commençant par un . ) Dan Lien vers le commentaire Partager sur d’autres sites More sharing options...
Tom75 Posté 10 Décembre 2005 Auteur Partager Posté 10 Décembre 2005 Merci de la réponse. J'ai regardé dans tous mes logs et j'ai aucune trace de "sunbeam". Sinon en début d'aprem j'ai vu en faisant un top, un process nobody avec Perl comme commande, ces process me consomment beaucoup de mon CPU et je suis obligé de faire un kill à chaque fois pour les stopper. PID USER PRI NI SIZE RSS SHARE STAT %CPU %MEM TIME COMMAND10406 nobody 15 0 3160 3160 2784 R 24,5 0,1 56:28 perl 1000 nobody 16 0 3284 3284 2784 R 23,8 0,1 0:19 perl Jusqu'à maintenant je n'ai pas pu voir d'où vient cette intrusion. J'ai regardé du côté des scripts d'upload et le seul système d'upload sur mon site est via Invision board 2, qui est très sécurisé et j'ai réduit le type de fichiers attachés aux images uniquement donc rien de ce côté là. J'ai fait un find "sunbeam" et rien non plus, aucune trace sur mon serveur. Sinon depuis presque 5 heures maintenant je n'ai plus le process donc j'espère que le hack a échoué. Voici ce que j'ai comme fichier dans /tmp : -rw------- 1 root root 0 déc 10 00:52 .shtool.10141-rw------- 1 root root 0 déc 10 00:52 .shtool.10310-rw------- 1 root root 0 déc 10 00:52 .shtool.11681-rw------- 1 root root 0 déc 10 00:54 .shtool.11744etc. Voici ma config, et je viens de mettre à jour webmin : CPU: intel xeon p3.2 ghz Memory: 2 Go SDRAM DDR Hard drive: 2 x 73 Go SCSI 10 000 RAID 1 Linux Redhat 7.2 Apache 1.3.33 PHP Version 5.0.4 MySQL version: 4.1.13 Si tu peux m'aider car là j'suis vraiment coincé, comment fait-on un scan du serveur etc. Est ce que je risque encore quelque chose ? Merci Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dan Posté 10 Décembre 2005 Partager Posté 10 Décembre 2005 Déjà dans /tmp ou /var/tmp tu enlèves tout ce qui commence par un point décimal, sauf .webmin Ensuite, plutôt que de faire un "top" qui ne te donne que l'interpréteur, lances un "ps auwx" tu verras l'intégralité de la ligne de commande. Cela peut te donner des infos supplémentaires. De plus, tu installes rkhunter que tu peux trouver à cette page : http://www.rootkit.nl/ Tu l'installes et le lance une première fois comme ceci: rkhunter --update ensuite tu lances rkhunter -c Et tu nous donne tous les résultats qui ne sont pas markés [OK], [clean] ou [not found] Lien vers le commentaire Partager sur d’autres sites More sharing options...
vespa Posté 11 Décembre 2005 Partager Posté 11 Décembre 2005 ayant eu le même problème j'ai effacé tout ce qu'il y avait dans /tmp et mon serveur mysql refuse de démarer maintenant... J'ai le message : ERROR 2002: Can't connect to local MySQL server through socket '/tmp/mysql.sock' (2) Que puis je faire...j'espère ne pas avoir à reinstaller mysql Lien vers le commentaire Partager sur d’autres sites More sharing options...
Tom75 Posté 11 Décembre 2005 Auteur Partager Posté 11 Décembre 2005 (modifié) La vulnérabilité vient de Joomla, j'ai effectué la mise à jour de sécurité. Sinon voici le résultat du scan * System tools Performing 'known good' check... /bin/ls [ BAD ] /bin/netstat [ OK ] /bin/ps [ OK ] /usr/bin/strings [ OK ] /usr/bin/top [ OK ]--------------------------------------------------------------------------------Rootkit Hunter found some bad or unknown hashes. This can be happen due replacedbinaries or updated packages (which give other hashes). Be sure your hashes arefully updated (rkhunter --update). If you're in doubt about these hashes, contactthe author (fill in the contact form).--------------------------------------------------------------------------------Check: SSH Searching for sshd_config... Found /etc/ssh/sshd_config Checking for allowed root login... Watch out Root login possible. Possible risk! info: Hint: See logfile for more information about this issue Checking for allowed protocols... [ Warning (SSH v1 allowed) ] Ton diagnostic ? J'ai aussi installé Clamav antivirus ainsi que le module pour webmin, j'ai du effacer quelques virus contenus dans les dossier mail. Par contre je n'arrive pas à installer Clamav Milter donc impossible de scanner automatiquement les mails entrants, en effet, j'ai besoin de connaître la version de Sendmail pour le faire. Impossible de trouver la version de sendmail, même avec la commande telenet Machine 25. Les conseils et astuces sont les bienvenues Merci Modifié 11 Décembre 2005 par Tom75 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dan Posté 11 Décembre 2005 Partager Posté 11 Décembre 2005 S'il s'agit d'un serveur OVH, le [bAD] pour /bin/ls est "normal" ... il est le même partout Pour le reste, ce n'est rien de grave... même s'il est préférable de désactiver le login root sous ssh. SInon, un bon mot de passe et c'est nickel Dan Lien vers le commentaire Partager sur d’autres sites More sharing options...
vespa Posté 11 Décembre 2005 Partager Posté 11 Décembre 2005 ayant eu le même problème j'ai effacé tout ce qu'il y avait dans /tmp et mon serveur mysql refuse de démarer maintenant... J'ai le message : ERROR 2002: Can't connect to local MySQL server through socket '/tmp/mysql.sock' (2) Que puis je faire...j'espère ne pas avoir à reinstaller mysql <{POST_SNAPBACK}> autre symptome, apache refuse de redemarrer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Tom75 Posté 11 Décembre 2005 Auteur Partager Posté 11 Décembre 2005 S'il s'agit d'un serveur OVH, le [bAD] pour /bin/ls est "normal" ... il est le même partout Pour le reste, ce n'est rien de grave... même s'il est préférable de désactiver le login root sous ssh. SInon, un bon mot de passe et c'est nickel Dan <{POST_SNAPBACK}> Merci beaucoup, tu me rassures ! Sinon, aucune idée pour le Clamav Milter, le module webmin est très pratique, mais je n'arrive pas à installer la fonction Milter (mise en quarentaine automatique). Je dois installer les binaries de Sendmail Milter pour pouvoir continuer, mais je ne connais pas la version de Sendmail. Au pire, je serai bien tenté d'installer le Bit Defender pour Linux, il a un module webmin également. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dan Posté 11 Décembre 2005 Partager Posté 11 Décembre 2005 autre symptome, apache refuse de redemarrer Normalement un socket est créé au démarrage de mysql. J'avais oublié que tu étais sous freebsd (ou similaire) qui a la fâcheuse habitude de mette les sockets dans /tmp. Un reboot de ta machine devrait résoudre cela. Désolé Tu peux choisir l'emplacement du socket dans le fichaier /etc/my.cnf pour le mettre ailleurs si tu veux. Perso il se trouve dans le répertoire contenant les données des bases. socket = /home/mysql/mysql.sock ... par exemple Dan Lien vers le commentaire Partager sur d’autres sites More sharing options...
vespa Posté 11 Décembre 2005 Partager Posté 11 Décembre 2005 Normalement un socket est créé au démarrage de mysql.J'avais oublié que tu étais sous freebsd (ou similaire) qui a la fâcheuse habitude de mette les sockets dans /tmp. Un reboot de ta machine devrait résoudre cela. Désolé Tu peux choisir l'emplacement du socket dans le fichaier /etc/my.cnf pour le mettre ailleurs si tu veux. Perso il se trouve dans le répertoire contenant les données des bases. socket = /home/mysql/mysql.sock ... par exemple Dan <{POST_SNAPBACK}> Je finissais mes sauvegardes et j'ai rebooté ma machine et effectivement tout est revenu J'ai pas trouvé le fichier my.cnf donc je ne peux pas modifier l'emplacement du fichier mysql.sock mais bon je me pencherais sur ce problème dans quelques temps... Encore mille merci Dan Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant