Fran�ois TOURDE a �crit :
Le 12468i�me jour apr�s Epoch,
Yann Autissier �crivait:
Bonsoir,
Je dispose actuellement sur Paris d'un serveur d'h�bergement d�di�
sous debian, stable avec quelques paquetages "backport�s" (iptables),
ou "sherpyanis�s" (php4).
C'est quoi "sherpyanis�s" ??
J'ai trouv� ces paquets sur apt-get.org :
deb http://debian.netfarm.it/debian/ woody sherpya
deb http://www.backports.org/debian stable all
Jeudi, alors que, depuis une dixaine de minutes, le serveur semblait
r�pondre difficilement, et que l'affichage des textes, en console ssh,
n'�tait plus simultan� � la frappe, j'ai totalement perdu le controle
sur celui-ci.
Apr�s le reboot, il manque, dans les principaux logs, 2 bonnes heures...
Je n'ai plus aucun log du Jeudi 19 Fev. entre 17h et 19h30 (heure du
reboot).
Logcheck ne m'a envoy� aucun mail pendant cette p�riode.
Est-ce normal ?
Oui, si ta machine a �t� hack�e, c'est normal. En g�n�ral on efface la
trace potentielle d'une intrusion quelconque.
C'est effectiviement � cela que je pensais.
syslog:
Feb 19 17:34:55 localhost pop3d-ssl: LOGOUT, user=xxxx, ip=[::ffff:],
top=0, retr=0
Feb 19 17:36:22 localhost ucd-snmp[240]: Connection from XXX.XXX.XXX.XXX
Feb 19 17:36:23 localhost last message repeated 6 times
Feb 19 19:30:09 localhost syslogd 1.4.1#10: restart.
Feb 19 19:30:09 localhost kernel: klogd 1.4.1#10, log source =
/proc/kmsg started.
L�, par contre, c'est un restart de log, genre la machine a reboot� ou
ses d�mons sont repartis. Voir �ventuellement le uptime (modifiable
tout de m�me par un ver) pour �tre s�r.
Effectivement j'ai perdu le controle sur la machine et j'ai demand�
� mon hebergeur de la rebooter imm�diatement.
Que s'est-il pass� ?
Que v�rifier ?
uptime
chkrootkit
coupure de courant chez l'h�bergeur
Mon uptime est reparti de 0 au reboot, par contre chkrootkit
me renvoie deux lignes int�ressantes :
# chkrootkit
Searching for suspicious files and dirs, it may take a while...
/usr/lib/tiger/bin/.bintype
Checking `bindshell'... INFECTED (PORTS: 1524 31337)
# lsof |grep ":1524"
# lsof |grep ":31337"
portsentr 1002 root 40u IPv4 2473 TCP *:31337
(LISTEN)
portsentr 1006 root 30u IPv4 2547 UDP *:31337
J'ai logcheck, tiger, et portsentry d'install� sur cette machine.
Dois-je demander une r�installation ?
A toi de voir...
Je vais essayer de r�cup�rer un max d'info ce week-end, puis je demande
la reinstallation Lundi � la premi�re heure...
Existe-t-il de la documentation pour savoir a peu pr�s comment r�agir dans
ces situations la ?
Merci d'avance
Yann Autissier
