Pages : 1
#1 Le 27/11/2006, à 11:09
- alexmic
[réglé]Mon serveur piraté.
Salut,
Grosse panique, je me logue ce matin sur mon ssh et je trouve mon serveur très lent.
Je regarde la liste de processus actif et je trouve plein de lignes comme celles-ci:
ftp 10844 0.0 0.0 940 188 ? S 10:03 0:00 ./ssh-scan 100
ftp 10846 0.3 0.0 960 552 ? S 10:03 0:01 ./ssh-scan 100
ftp 10850 0.1 0.0 960 552 ? S 10:03 0:00 ./ssh-scan 100
ftp 10851 0.3 0.0 960 552 ? S 10:03 0:01 ./ssh-scan 100
ftp 10852 0.1 0.0 960 552 ? S 10:03 0:00 ./ssh-scan 100
ftp 10853 0.1 0.0 960 552 ? S 10:03 0:00 ./ssh-scan 100
ftp 10854 0.1 0.0 960 552 ? S 10:03 0:00 ./ssh-scan 100
ftp 10855 0.3 0.0 960 552 ? S 10:03 0:01 ./ssh-scan 100
ftp 10858 1.0 0.0 968 516 ? S 10:03 0:03 ./ssh-scan 100
ftp 10860 0.1 0.0 960 552 ? S 10:03 0:00 ./ssh-scan 100
ftp 10863 0.4 0.0 960 552 ? S 10:03 0:01 ./ssh-scan 100
ftp 10864 0.1 0.0 960 552 ? S 10:03 0:00 ./ssh-scan 100
ftp 10868 0.1 0.0 960 552 ? S 10:03 0:00 ./ssh-scan 100
ftp 10869 0.1 0.0 960 552 ? S 10:03 0:00 ./ssh-scan 100
ftp 10870 0.1 0.0 960 552 ? S 10:03 0:00 ./ssh-scan 100
ftp 10871 0.5 0.0 960 508 ? S 10:03 0:01 ./ssh-scan 100
ftp 10872 0.4 0.0 960 552 ? S 10:03 0:01 ./ssh-scan 100
ftp 10873 1.0 0.0 968 516 ? S 10:03 0:03 ./ssh-scan 100
ftp 10877 0.3 0.0 960 552 ? S 10:03 0:01 ./ssh-scan 100
ftp 10878 0.2 0.0 960 552 ? S 10:03 0:00 ./ssh-scan 100
et aussi plein de lignes avec ./ftp_scanner
Je trouve ça suspicieux!
Je regarde le auth.log et je trouve ça
Nov 27 06:36:03 dedibox getty[31576]: ttyS1: ioctl: Input/output error
Nov 27 06:36:03 dedibox sshd[31572]: Failed password for invalid user dorna from 65.98.24.42 port 57481 ssh2
Nov 27 06:36:04 dedibox sshd[31577]: Invalid user ernest from 65.98.24.42
Nov 27 06:36:04 dedibox sshd[31577]: (pam_unix) check pass; user unknown
Nov 27 06:36:04 dedibox sshd[31577]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ns17.jump-server.net
Nov 27 06:36:06 dedibox sshd[31577]: Failed password for invalid user ernest from 65.98.24.42 port 58010 ssh2
Nov 27 06:36:07 dedibox sshd[31581]: Invalid user ed from 65.98.24.42
Nov 27 06:36:07 dedibox sshd[31581]: (pam_unix) check pass; user unknown
Nov 27 06:36:07 dedibox sshd[31581]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ns17.jump-server.net
Nov 27 06:36:09 dedibox sshd[31581]: Failed password for invalid user ed from 65.98.24.42 port 58432 ssh2
Nov 27 06:36:10 dedibox sshd[31585]: Invalid user edi from 65.98.24.42
Nov 27 06:36:10 dedibox sshd[31585]: (pam_unix) check pass; user unknown
Nov 27 06:36:10 dedibox sshd[31585]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ns17.jump-server.net
Nov 27 06:36:12 dedibox sshd[31585]: Failed password for invalid user edi from 65.98.24.42 port 58910 ssh2
Nov 27 06:36:13 dedibox sshd[31589]: Invalid user edy from 65.98.24.42
Nov 27 06:36:13 dedibox sshd[31589]: (pam_unix) check pass; user unknown
Nov 27 06:36:13 dedibox sshd[31589]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ns17.jump-server.net
Nov 27 06:36:13 dedibox getty[31593]: ttyS1: ioctl: Input/output error
Nov 27 06:36:15 dedibox sshd[31589]: Failed password for invalid user edy from 65.98.24.42 port 59355 ssh2
Nov 27 06:36:16 dedibox sshd[31594]: Invalid user eduard from 65.98.24.42
Nov 27 06:36:16 dedibox sshd[31594]: (pam_unix) check pass; user unknown
Nov 27 06:36:16 dedibox sshd[31594]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ns17.jump-server.net
Nov 27 06:36:18 dedibox sshd[31594]: Failed password for invalid user eduard from 65.98.24.42 port 59875 ssh2
Nov 27 06:36:19 dedibox sshd[31598]: Invalid user florin from 65.98.24.42
Nov 27 06:36:19 dedibox sshd[31598]: (pam_unix) check pass; user unknown
Nov 27 06:36:19 dedibox sshd[31598]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ns17.jump-server.net
Nov 27 06:36:21 dedibox sshd[31598]: Failed password for invalid user florin from 65.98.24.42 port 60280 ssh2
Nov 27 06:36:22 dedibox sshd[31602]: Invalid user flori from 65.98.24.42
Nov 27 06:36:22 dedibox sshd[31602]: (pam_unix) check pass; user unknown
sur des milliers de lignes!
Bref, mon compte ftp a été piraté.
Ma question est que puis-je faire?
Comment retirer le compte ftp (qui ne sert à rien car mon acces ftp a chanté de login)?
Comment désactiver l'accès ssh au compte "mon_login_ftp" afin qu'il ne se passe pas la même chose sur mon véritable compte ftp?
Merci d'avance.
PS: c'est un serveur distant donc ssh only.
PPS :
root@dedibox:/home/ftp# locate ftp_scanner
/dev/shm/GeoNTsCan/ftp_scanner.c
/dev/shm/GeoNTsCan/ftp_scanner
root@dedibox:/home/ftp# locate ssh-scan
root@dedibox:/home/ftp#
Dernière modification par alexmic (Le 30/11/2006, à 12:43)
OMG Lawl pwnd rofl... Plaît-il?
Hors ligne
#2 Le 27/11/2006, à 11:28
- seb0uil
Re : [réglé]Mon serveur piraté.
Comment retirer le compte ftp (qui ne sert à rien car mon acces ftp a chanté de login)?
Comment désactiver l'accès ssh au compte "mon_login_ftp" afin qu'il ne se passe pas la même chose sur mon véritable compte ftp?
Dans /etc/ssh/sshd_config, tu peux ajouter
AllowUsers tonuser
comme ca, c'est le seul autorisé a se connecter par ssh
Tu peux aussi , dans /etc/passwd, pour ton user FTP, qui n'a pas besoin d'un connexion shell, venir remplacer /bin/bash (par exemple) par /bin/false
ainsi, il ne sera de toute facon pas autorisé à ouvrir un shell
Autrement, penses peut etre à mettre en place un systeme de clé pour la connexion ssh, à changer le port d'ecoute par défaut etc.. rien de bien compliqué, mais pourtant essentiel..
Dernière modification par seb0uil (Le 27/11/2006, à 11:28)
Hors ligne
#3 Le 27/11/2006, à 11:56
- alexmic
Re : [réglé]Mon serveur piraté.
j'ai fait un userdel ftp, rm -rf ~ftp, bin/false,
mais voilà
[b]1004 16335 0.0 0.1 5164 1992 ? S Nov26 0:00 /bin/sh ./start 201
1004 16338 0.0 0.0 1408 212 ? Ss Nov26 0:00 bash[/b]
ftpuser 420 0.0 0.0 2008 1016 ? Ss 07:16 0:02 [httpd]
root 10923 0.0 0.2 6472 2088 ? Ss 10:05 0:01 sshd: root@pts/2
root 10929 0.0 0.1 4812 1920 pts/2 Ss 10:06 0:00 -bash
ftpuser 12074 0.0 0.1 4316 1272 ? Ss 10:52 0:00 proftpd: (accepting connections)
postfix 12377 0.0 0.1 4300 1548 ? S 11:02 0:00 pickup -l -t fifo -u -c
postfix 12541 0.0 0.1 4308 1496 ? S 11:10 0:00 trivial-rewrite -n rewrite -t unix -u -c
root 12580 8.0 0.0 1548 560 ttyS0 Ss+ 11:11 0:00 /sbin/getty -L ttyS0 9600 vt100
[b]1004 12587 0.0 0.1 4288 1304 ? S 11:11 0:00 /bin/bash ./a 201.27
1004 12588 55.0 0.0 1552 480 ? R 11:11 0:00 ./pscan2 201.27 22[/b]
Il n'a plus besoin de user, il va chercher bin bash lui-même et locate ne donne rien... Arf le salaud!
J'ai fait kill -9 `ps -u 1004 -o "pid="`
Dernière modification par alexmic (Le 27/11/2006, à 11:58)
OMG Lawl pwnd rofl... Plaît-il?
Hors ligne
#4 Le 27/11/2006, à 12:19
- Uggy
Re : [réglé]Mon serveur piraté.
Tu ne seras jamais sur qu'il ne reste pas un rootkit etc...
La seule solution: Backuper les donnée et tout formater.
Hors ligne
#5 Le 27/11/2006, à 12:20
- alexmic
Re : [réglé]Mon serveur piraté.
En regardant mon ps -aux il me semble qu'il n'y a plus rien d'anormal.
Si ça revient j'en viendrai à ces extrémités en attendant je reste tel quel.
Merci pour votre aide.
OMG Lawl pwnd rofl... Plaît-il?
Hors ligne
#6 Le 27/11/2006, à 12:53
- Uggy
Re : [réglé]Mon serveur piraté.
En regardant mon ps -aux il me semble qu'il n'y a plus rien d'anormal.
Si ça revient j'en viendrai à ces extrémités en attendant je reste tel quel.
Merci pour votre aide.
Comme tu veux..
http://fr.wikipedia.org/wiki/Rootkit
Hors ligne
#7 Le 30/11/2006, à 10:16
- alexmic
Re : [réglé]Mon serveur piraté.
Bon, j'ai un peu pourri mon log en faisant l'audit et maintenant j'ai un souci...
Mon auth.log n'enregistre plus rien...
http://forum.ubuntu-fr.org/viewtopic.php?id=79982
Des idées?
OMG Lawl pwnd rofl... Plaît-il?
Hors ligne
#8 Le 30/11/2006, à 12:43
- alexmic
Re : [réglé]Mon serveur piraté.
[réglé] reboot et tant pis pour mon uptime!;)
OMG Lawl pwnd rofl... Plaît-il?
Hors ligne
#9 Le 30/11/2006, à 15:46
- Tao
Re : [réglé]Mon serveur piraté.
Tu ne seras jamais sur qu'il ne reste pas un rootkit etc...
La seule solution: Backuper les donnée et tout formater.
Moins radical, fait un scan anti-rootkit : rkhunter ou chkrootkit (ou les deux).
C'est sûr que le formatage est encore plus sûr, mais ça n'a pas les mêmes implications.
Hors ligne
Pages : 1