Ubuntu-fr

jmax

trojan sur Ubuntu 14.04 LTS serveur

bonjour,
Ce week-end, j'ai eu la mauvaise surprise de voir mon Ubuntu serveur 14.04 LTS hacké. C'était une installation sur serveur Kimsufi OVH dédié, mis à jour régulièrement et en l’occurrence, 24 heures avant.
Il semble que ce soit BillGates (si,si) qui soit installé et j'ai pu constater que /usr/bin/lsof, /bin/ps, /bin/netstat étaient modifiés ainsi que des scripts créés dans /etc/init.d (selinux et DbSecuritySpt) ainsi que dans /etc/rc*.d
Tout ceci était fait avec le compte root (installé par défaut avec la distrib ovh) mais j'ai un fail2ban qui tourne et le mot de passe de root est assez compliqué (mélange de chiffres et lettres) pour résister à une attaque dictionnaire. Aucune trace évidente dans les fichiers de log.
Aussi, je doute qu'ils soient passés par le ssh mais il n'y a pas grand chose d'autre qui tourne, à part le postfix.
Y aurait-il une faille dans des services système ?

bruno

Re : trojan sur Ubuntu 14.04 LTS serveur

Bonjour,

Il semble bien qu'il s’agisse de cela : http://news.drweb.com/show/?i=5801&lng=en . Il y a de très nombreuses ressources sur le web sur ce Troyen connu depuis février 2014. Il y a même un outil pour surveiller l’activité du Botnet résultant : https://github.com/ValdikSS/billgates-botnet-tracker

Des diverses informations disponibles, il ressort que ce Troyen est installé manuellement sur des machines dont le compte root est accessible par SSH avec un mot de passe faible (un mélange de chiffres et de lettres n'est pas un critère de fiabilité pour un mot de passe)

Il faudrait examiner les logs, notamment auth.log mais je suppose que s'il s'agit d'une attaque manuelle, les traces ont été effacés.

Quant au serveur, le mieux est de réinstaller complètement et de bloquer l'accès SSH à l'utilisateur root ou de l'autoriser que par clé.

tiramiseb

Re : trojan sur Ubuntu 14.04 LTS serveur

Salut,

Il y a un truc que je ne comprend pas : tu n'as que Postfix sur ce système ? C'est un relais SMTP, ça ne fait rien d'autre ?
Concernant le compte, il n'y a que "root" dessus, ou alors aussi d'autres utilisateurs ?

Sinon, (surtout par curiosité) comment as-tu remarqué que ton serveur avait été cracké (et non "hacké") ?

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

tiramiseb

Re : trojan sur Ubuntu 14.04 LTS serveur

À part ça, je suis d'accord avec bruno : le mieux est de réinstaller complètement et de n'autoriser l'accès à root que par clé SSH.

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

jmax

Re : trojan sur Ubuntu 14.04 LTS serveur

réinstallé et rehacké, ce qui semble logique
le mot de passe de root est avec 18 lettres et chiffres aléatoires

tiramiseb

Re : trojan sur Ubuntu 14.04 LTS serveur

Tu n'as pas répondu à mon message #3.

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

jmax

Re : trojan sur Ubuntu 14.04 LTS serveur

les trojans sont installés sous root et pour les trouver, lsof, netstat même taille et datés du jour

SilentStorm

Re : trojan sur Ubuntu 14.04 LTS serveur

ça m'étonnerai que tu es eu un trojan si le mdp root est complexe, désolé mais j'ai un doute sur ton histoire, il doit y avoir une explication logique pour expliquer ton problème.

De plus en ssh par internet il est conseillé d'utiliser plutôt le système de clé privé/publique plutôt que par mdp.

---

Core I7 a 2.4 GHz / 16 Go de ram / SSD 512 Go + HDD 1 To (1.5 To) / GeForce 650m GT (pc portable)
OS : Linux Mint 17.1 (Cinnamon) - Debian 8 Jessie (Mate) - ArchLinux (Xfce)

tiramiseb

Re : trojan sur Ubuntu 14.04 LTS serveur

Pour ma part, sans réponse précise à mes questions précises, je ne continue pas à participer...

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

jmax

Re : trojan sur Ubuntu 14.04 LTS serveur

De même, merci de clore la discussion

tiramiseb

Re : trojan sur Ubuntu 14.04 LTS serveur

Si tu veux "clore" la discussion, il faut éditer le premier message pour ajouter une menton dans le titre, comme "[je ne souhaite plus de réponse]"...

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com