Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 27/11/2006, à 11:09

alexmic

[réglé]Mon serveur piraté.

Salut,

Grosse panique, je me logue ce matin sur mon ssh et je trouve mon serveur très lent.

Je regarde la liste de processus actif et je trouve plein de lignes comme celles-ci:

ftp      10844  0.0  0.0    940   188 ?        S    10:03   0:00 ./ssh-scan 100
ftp      10846  0.3  0.0    960   552 ?        S    10:03   0:01 ./ssh-scan 100
ftp      10850  0.1  0.0    960   552 ?        S    10:03   0:00 ./ssh-scan 100
ftp      10851  0.3  0.0    960   552 ?        S    10:03   0:01 ./ssh-scan 100
ftp      10852  0.1  0.0    960   552 ?        S    10:03   0:00 ./ssh-scan 100
ftp      10853  0.1  0.0    960   552 ?        S    10:03   0:00 ./ssh-scan 100
ftp      10854  0.1  0.0    960   552 ?        S    10:03   0:00 ./ssh-scan 100
ftp      10855  0.3  0.0    960   552 ?        S    10:03   0:01 ./ssh-scan 100
ftp      10858  1.0  0.0    968   516 ?        S    10:03   0:03 ./ssh-scan 100
ftp      10860  0.1  0.0    960   552 ?        S    10:03   0:00 ./ssh-scan 100
ftp      10863  0.4  0.0    960   552 ?        S    10:03   0:01 ./ssh-scan 100
ftp      10864  0.1  0.0    960   552 ?        S    10:03   0:00 ./ssh-scan 100
ftp      10868  0.1  0.0    960   552 ?        S    10:03   0:00 ./ssh-scan 100
ftp      10869  0.1  0.0    960   552 ?        S    10:03   0:00 ./ssh-scan 100
ftp      10870  0.1  0.0    960   552 ?        S    10:03   0:00 ./ssh-scan 100
ftp      10871  0.5  0.0    960   508 ?        S    10:03   0:01 ./ssh-scan 100
ftp      10872  0.4  0.0    960   552 ?        S    10:03   0:01 ./ssh-scan 100
ftp      10873  1.0  0.0    968   516 ?        S    10:03   0:03 ./ssh-scan 100
ftp      10877  0.3  0.0    960   552 ?        S    10:03   0:01 ./ssh-scan 100
ftp      10878  0.2  0.0    960   552 ?        S    10:03   0:00 ./ssh-scan 100

et aussi plein de lignes avec ./ftp_scanner



Je trouve ça suspicieux!

Je regarde le auth.log et je trouve ça

Nov 27 06:36:03 dedibox getty[31576]: ttyS1: ioctl: Input/output error
Nov 27 06:36:03 dedibox sshd[31572]: Failed password for invalid user dorna from 65.98.24.42 port 57481 ssh2
Nov 27 06:36:04 dedibox sshd[31577]: Invalid user ernest from 65.98.24.42
Nov 27 06:36:04 dedibox sshd[31577]: (pam_unix) check pass; user unknown
Nov 27 06:36:04 dedibox sshd[31577]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ns17.jump-server.net
Nov 27 06:36:06 dedibox sshd[31577]: Failed password for invalid user ernest from 65.98.24.42 port 58010 ssh2
Nov 27 06:36:07 dedibox sshd[31581]: Invalid user ed from 65.98.24.42
Nov 27 06:36:07 dedibox sshd[31581]: (pam_unix) check pass; user unknown
Nov 27 06:36:07 dedibox sshd[31581]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ns17.jump-server.net
Nov 27 06:36:09 dedibox sshd[31581]: Failed password for invalid user ed from 65.98.24.42 port 58432 ssh2
Nov 27 06:36:10 dedibox sshd[31585]: Invalid user edi from 65.98.24.42
Nov 27 06:36:10 dedibox sshd[31585]: (pam_unix) check pass; user unknown
Nov 27 06:36:10 dedibox sshd[31585]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ns17.jump-server.net
Nov 27 06:36:12 dedibox sshd[31585]: Failed password for invalid user edi from 65.98.24.42 port 58910 ssh2
Nov 27 06:36:13 dedibox sshd[31589]: Invalid user edy from 65.98.24.42
Nov 27 06:36:13 dedibox sshd[31589]: (pam_unix) check pass; user unknown
Nov 27 06:36:13 dedibox sshd[31589]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ns17.jump-server.net
Nov 27 06:36:13 dedibox getty[31593]: ttyS1: ioctl: Input/output error
Nov 27 06:36:15 dedibox sshd[31589]: Failed password for invalid user edy from 65.98.24.42 port 59355 ssh2
Nov 27 06:36:16 dedibox sshd[31594]: Invalid user eduard from 65.98.24.42
Nov 27 06:36:16 dedibox sshd[31594]: (pam_unix) check pass; user unknown
Nov 27 06:36:16 dedibox sshd[31594]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ns17.jump-server.net
Nov 27 06:36:18 dedibox sshd[31594]: Failed password for invalid user eduard from 65.98.24.42 port 59875 ssh2
Nov 27 06:36:19 dedibox sshd[31598]: Invalid user florin from 65.98.24.42
Nov 27 06:36:19 dedibox sshd[31598]: (pam_unix) check pass; user unknown
Nov 27 06:36:19 dedibox sshd[31598]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ns17.jump-server.net
Nov 27 06:36:21 dedibox sshd[31598]: Failed password for invalid user florin from 65.98.24.42 port 60280 ssh2
Nov 27 06:36:22 dedibox sshd[31602]: Invalid user flori from 65.98.24.42
Nov 27 06:36:22 dedibox sshd[31602]: (pam_unix) check pass; user unknown

sur des milliers de lignes!

Bref, mon compte ftp a été piraté.
Ma question est que puis-je faire?

Comment retirer le compte ftp (qui ne sert à rien car mon acces ftp a chanté de login)?
Comment désactiver l'accès ssh au compte "mon_login_ftp" afin qu'il ne se passe pas la même chose sur mon véritable compte ftp?

Merci d'avance.

PS: c'est un serveur distant donc ssh only.

PPS : 

root@dedibox:/home/ftp# locate ftp_scanner
/dev/shm/GeoNTsCan/ftp_scanner.c
/dev/shm/GeoNTsCan/ftp_scanner
root@dedibox:/home/ftp# locate ssh-scan
root@dedibox:/home/ftp#

Dernière modification par alexmic (Le 30/11/2006, à 12:43)

OMG Lawl pwnd rofl... Plaît-il?

Hors ligne

#2 Le 27/11/2006, à 11:28

seb0uil

Re : [réglé]Mon serveur piraté.

Comment retirer le compte ftp (qui ne sert à rien car mon acces ftp a chanté de login)?
Comment désactiver l'accès ssh au compte "mon_login_ftp" afin qu'il ne se passe pas la même chose sur mon véritable compte ftp?

Dans /etc/ssh/sshd_config, tu peux ajouter 

AllowUsers tonuser

comme ca, c'est le seul autorisé a se connecter par ssh

Tu peux aussi , dans /etc/passwd, pour ton user FTP, qui n'a pas besoin d'un connexion shell, venir remplacer /bin/bash (par exemple) par /bin/false
ainsi, il ne sera de toute facon pas autorisé à ouvrir un shell

Autrement, penses peut etre à mettre en place un systeme de clé pour la connexion ssh, à changer le port d'ecoute par défaut etc.. rien de bien compliqué, mais pourtant essentiel..

Dernière modification par seb0uil (Le 27/11/2006, à 11:28)

Java stuff ::
tPortal.. ma petite implémentation de la JSR168
jlibParam.. pooling, paramétrage etc...

Hors ligne

#3 Le 27/11/2006, à 11:56

alexmic

Re : [réglé]Mon serveur piraté.

j'ai fait un userdel ftp, rm -rf ~ftp, bin/false,

mais voilà

[b]1004     16335  0.0  0.1   5164  1992 ?        S    Nov26   0:00 /bin/sh ./start 201
1004     16338  0.0  0.0   1408   212 ?        Ss   Nov26   0:00 bash[/b]
ftpuser    420  0.0  0.0   2008  1016 ?        Ss   07:16   0:02 [httpd]
root     10923  0.0  0.2   6472  2088 ?        Ss   10:05   0:01 sshd: root@pts/2
root     10929  0.0  0.1   4812  1920 pts/2    Ss   10:06   0:00 -bash
ftpuser  12074  0.0  0.1   4316  1272 ?        Ss   10:52   0:00 proftpd: (accepting connections)
postfix  12377  0.0  0.1   4300  1548 ?        S    11:02   0:00 pickup -l -t fifo -u -c
postfix  12541  0.0  0.1   4308  1496 ?        S    11:10   0:00 trivial-rewrite -n rewrite -t unix -u -c
root     12580  8.0  0.0   1548   560 ttyS0    Ss+  11:11   0:00 /sbin/getty -L ttyS0 9600 vt100
[b]1004     12587  0.0  0.1   4288  1304 ?        S    11:11   0:00 /bin/bash ./a 201.27
1004     12588 55.0  0.0   1552   480 ?        R    11:11   0:00 ./pscan2 201.27 22[/b]

Il n'a plus besoin de user, il va chercher bin bash lui-même et locate ne donne rien... Arf le salaud!

J'ai fait kill -9 `ps -u 1004 -o "pid="`

Dernière modification par alexmic (Le 27/11/2006, à 11:58)

OMG Lawl pwnd rofl... Plaît-il?

Hors ligne

#4 Le 27/11/2006, à 12:19

Uggy

Re : [réglé]Mon serveur piraté.

Tu ne seras jamais sur qu'il ne reste pas un rootkit etc...
La seule solution: Backuper les donnée et tout formater.

Hors ligne

#5 Le 27/11/2006, à 12:20

alexmic

Re : [réglé]Mon serveur piraté.

En regardant mon ps -aux il me semble qu'il n'y a plus rien d'anormal.
Si ça revient j'en viendrai à ces extrémités en attendant je reste tel quel.
Merci pour votre aide.

OMG Lawl pwnd rofl... Plaît-il?

Hors ligne

#6 Le 27/11/2006, à 12:53

Uggy

Re : [réglé]Mon serveur piraté.

alexmic a écrit :

En regardant mon ps -aux il me semble qu'il n'y a plus rien d'anormal.
Si ça revient j'en viendrai à ces extrémités en attendant je reste tel quel.
Merci pour votre aide.

Comme tu veux..
http://fr.wikipedia.org/wiki/Rootkit

Hors ligne

#7 Le 30/11/2006, à 10:16

alexmic

Re : [réglé]Mon serveur piraté.

Bon, j'ai un peu pourri mon log en faisant l'audit et maintenant j'ai un souci...
Mon auth.log n'enregistre plus rien...
http://forum.ubuntu-fr.org/viewtopic.php?id=79982

Des idées?

OMG Lawl pwnd rofl... Plaît-il?

Hors ligne

#8 Le 30/11/2006, à 12:43

alexmic

Re : [réglé]Mon serveur piraté.

[réglé] reboot et tant pis pour mon uptime!;)

OMG Lawl pwnd rofl... Plaît-il?

Hors ligne

#9 Le 30/11/2006, à 15:46

Tao

Re : [réglé]Mon serveur piraté.

Uggy a écrit :

Tu ne seras jamais sur qu'il ne reste pas un rootkit etc...
La seule solution: Backuper les donnée et tout formater.

Moins radical, fait un scan anti-rootkit : rkhunter ou chkrootkit (ou les deux).
C'est sûr que le formatage est encore plus sûr, mais ça n'a pas les mêmes implications.

Hors ligne

Pages : 1