Fran�ois TOURDE a �crit :
Le 12469i�me jour apr�s Epoch,
Yann Autissier �crivait:
Maudit soit plutot l'admin d�butant que je suis :
J'enchaine surprises sur surprises, et je ne pense vraiment plus que
ma machine soit saine.
C'est effectivement portsentry qui �coute sur les ports 1524 et 31337,
d'apr�s netstat et lsof.
N'oublie pas que netstat et lsof peuvent avoir �t� compromis... essaye
de faire un 'sum' et un 'md5sum' des binaires pour les comparer � une
machine saine.
J'ai exactement les m�mes retour sur une machine que j'estime saine.
$ md5sum /bin/netstat
fd2c999a20b1e9bbb395ee8389208923 /bin/netstat
Package: net-tools
Version: 1.60-8.backports.org.1
$ md5sum /usr/sbin/lsof
f74cd4da3c3a526ee8d8707986995429 /usr/sbin/lsof
Package: lsof
Version: 4.57-1
Mais quand j'ai reboot� le serveur, jeudi, il manquait une partie des
logs dans les principaux logs,
mais les logs d'apache avait eux continuer de fonctionner et j'ai pu
regarder dedans certaines
connexions qui ont eu lieu sur ce service. Mais je ne les ai pas
copi�s. Vendredi matin, quand j'ai
voulu v�rifier � nouveau, toutes ces informations n'�taient plus qu'un
vague souvenir :!(
C'est pas une rotation qui a fait �a ?
non, uniquement les infos des connexions entre 17h00 et 19h30...
L'important, c'est de savoir par o� ils sont rentr�s, si effectivement
ils (les vilains) sont rentr�s. Apache a eu un probl�me de s�curit� il
n'y a pas longtemps, mais je ne me souviens plus lequel. Si PHP tourne
aussi sur ta machine, il se peut qu'un 'require()' ou 'include()'
puisse �tre utilis� pour ex�cuter du code malicieux, obtenir un acc�s
root si tu as un noyau <= 2.4.24, et paf!
Effectivement, je suis encore en 2.4.22, et tous les sites h�berg�s sont
d�velopp�s en php.
Je ne peux donc m'en prendre qu'� moi ! :-(
Donc je me sens vraiment b�te, mais si j'ai qd m�me retrouver
certaines i.p. sur lesquelles j'ai
fait quelques traceroute, je n'ai plus aucune information sur les
horaires et les fichiers consult�s !
Bof... En g�n�ral ces IP sont celles de machines d�j� compromises
elles aussi ;)
M�me les logs apache peuvent ne te donner que des IP du m�me genre.
Il devait tout de m�me y avoir une trace de l'intrusion, et
probablement de la requ�te utilis�e pour corrompre mon apache.
