Possible backdoor via /sbin/agetty -- ?

Tuxnet192 · Le 08/06/2016, à 21:55

Bonsoir à tous amis de l'OpenSource !

Je viens vers vous, en grand désespoir car après plusieurs jours à potasser le nettoyage d'un de mes SRV tournant sur ubuntu 15.10 récemment infiltré par un (plusieurs surement) attaquant, et même après une réinstallation complète de mon système , je n'arrive pas à éliminer un script qui s'est automatiquement déployer sur ma distrib fraichement installé ...

Certains d'entre vous utilisent t'il la commande agetty ? (channel linux alternative)
Après un ps -aux , j'ai pus constaté que l'ensemble des channels ou je ne suis pas loggé sont occupé par une commande /sbin/aggetty --noclear (ce sur tout les tty de 1-6 si je suis sur la 7, je soupçonne aussi le script de pouvoir continuer au dela de 7 channel (inutile donc de bloqué moi même avant que quelqu’un d'autre ne se logue, la tty 8 sera ouverte,9,10 etc)

j'ai tenté avant la réinstallation de l'OS , un killall mais cela na pas marché, il doit y avoir un script qui tournent en boucle l'ouverture de channel avec cette commande toute prete (qui a mon avis n'est autre qu'un backdoor)

Certains d'entre vous , aurai t'il des idées pour sécurisé mon serveur de sorte que (dans l'idéal, le script soit neutraliser (même une ré-installation n'a rien changé !!) ou bien à la rigueur que je puisse définir dans l'OS la limite max de channel sur 7 (je rajouterai au démarrage un script de blocage des channels)

ou encore existe t'il une possibilité de neutralisé l'utilisation de ce processus(ou la commande agetty) sans qu'il y ai de préjudice a l'utilisation du srv ?(je me logue en serial ou en SSH uniquement, mais n'ai jamais eu à utiliser agetty)

ou si il existe d'autre solutions envisageable (comme un bon nettoyage complet du PC ou un commande permettant de supprimer le lancement automatique de se script (encore faut t'il l'identifier ...) je suis preneur !!

Bien à vous,
Tux

Dernière modification par Tuxnet192 (Le 09/06/2016, à 12:24)

bruno · Le 09/06/2016, à 10:45

Bonjour,

Qu'est-ce qui te laisse penser que ces processus ne sont pas normaux ?

EDIT : peut-être serait-il bon de changer le titre du premier message afin de ne pas inquiéter inutilement d'autres utilisateurs.

Les processus getty* ou agetty* sont parfaitement normaux et indispensables à l'utilisation du système. Sans ces processus, pas de console, et donc aucun moyen de se connecter (identifiant/mot de passe) sur la machine.

* les terminaux virtuels sont gérés par getty pour les versions antérieures à 15.10, et agetty pour les versions suivantes qui utilisent systemd. Un peu de lecture technique en anglais pour ceux qui veulent comprendre comment c'est géré par systemd :

http://0pointer.de/blog/projects/serial-console.html

Dernière modification par bruno (Le 09/06/2016, à 11:28)

Tuxnet192 · Le 09/06/2016, à 12:20

Très bien, d'après ce que tu dit, il est donc très probable que je me sois quelque peu emballer, en effet, si avant la V15.10 les tty sont géré par getty il est probable qu'a l'affichage d'un ps -aux il n'y ai pas afficher par exemple de /sbin/gettty --options sur tout les tty alors que sur les version récente de l'OS affiche que les tty sont "prête a l'emploi" avec /sbin/agetty --options

C'est vrai que j'ai passé en upgrade plusieurs serveurs (de la version LTS 14 a 15-16) et lorsque j'ai remarqué cette différence (juste après mettre fait piraté) j'en suis arrivé au raccourci un peu trop rapide surement que ces commandes étaient un backdoor laissé volontairement par les auteurs de l'attaques !

Cela mérite tout de même de plus ample vérification, quelqu'un à t'il aussi cette commande qui s'affiche pour chacun des tty qu'il n'utilise pas ? (sur la version 16 par exemple)
Je vous tien informé si je trouve plus d'infos.

bruno · Le 09/06/2016, à 13:04

Les processus getty tournant sur une Ubuntu serveur 14.04 LTS

$ sudo ps aux | grep getty
[sudo] password for bruno: 
root      3862  0.0  0.0  15032  2172 tty4     Ss+  mars15   0:00 /sbin/getty -8 38400 tty4
root      3865  0.0  0.0  15032  2168 tty5     Ss+  mars15   0:00 /sbin/getty -8 38400 tty5
root      3884  0.0  0.0  15032  2192 tty2     Ss+  mars15   0:00 /sbin/getty -8 38400 tty2
root      3885  0.0  0.0  15032  2072 tty3     Ss+  mars15   0:00 /sbin/getty -8 38400 tty3
root      3892  0.0  0.0  15032  2176 tty6     Ss+  mars15   0:00 /sbin/getty -8 38400 tty6
root      5078  0.0  0.0  15032  2212 tty1     Ss+  mars15   0:00 /sbin/getty -8 38400 tty1
bruno    23580  0.0  0.0  10964  2236 pts/2    S+   13:50   0:00 grep --color=auto getty

Sur une Ubuntu 16.04 LTS (résultat similaire sur une Debian8) :

$ sudo ps aux | grep getty
[sudo] Mot de passe de bruno : 
root      1218  0.0  0.0  15896  1836 tty1     Ss+  11:19   0:00 /sbin/agetty --noclear tty1 linux
bruno     4971  0.0  0.0  14200   980 pts/3    S+   13:53   0:00 grep --color=auto getty

C'est conforme aux explications données dans mon lien précédent.

Normalement il y a un seul processus sur tty1 : c'est celui lancé au démarrage de l'ordinateur. Si d'autres apparaissent, ils ont été lancés après coup ou par modification du fichier /etc/systemd/logind.conf (https://www.freedesktop.org/software/sy … .conf.html).

nam1962 · Le 09/06/2016, à 13:12

Le titre du topic va inquiéter inutilement...

lynn · Le 09/06/2016, à 15:41

nam1962 a écrit :

Le titre du topic va inquiéter inutilement...

+1

Ça me surprendra toujours ce genre de titre... On dirait que c'est fait exprès... que les toutes les x semaines, un utilisateur, le plus souvent avec une date d'inscription très récente, vient déposer un sujet dans la partie sécurité avec un titre bien racoleur et dans la majorité des cas, dénué de tout fondement.

Une question reste une question et on ne peut pas tout savoir, heureusement, mais il me semble que quand on a un serveur et qu'on sait, à priori, l'administrer, la notion des processus de base qui servent à faire tourner le système ne devrait pas être l'objet de ce genre de topic alarmiste... Un simple "À quoi ça sert?" aurait suffit et dans la section serveur du forum, qui plus est.

bruno · Le 09/06/2016, à 17:10

Oui, le titre a déjà été changé comme je l'ai demandé en #2 mais pas convenablement…
Un bon titre serait effectivement : « Qu'est-ce que le processus agetty ? » et +1 pour le déplacement dans la section serveur…

@lynn : je ne pense vraiment pas que ce soit fait exprès. Visiblement Tuxnet192 n' a que très peu d'expérience en administration serveur (sinon il ne s'amuserait pas à utiliser autre chose qu'une version LTS ) et il est en phase d'apprentissage. Ses question set ses inquiétudes sont donc légitimes même si elles sont mal exprimées.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 08/06/2016, à 21:55

Possible backdoor via /sbin/agetty -- ?

#2 Le 09/06/2016, à 10:45

Re : Possible backdoor via /sbin/agetty -- ?

#3 Le 09/06/2016, à 12:20

Re : Possible backdoor via /sbin/agetty -- ?

#4 Le 09/06/2016, à 13:04

Re : Possible backdoor via /sbin/agetty -- ?

#5 Le 09/06/2016, à 13:12

Re : Possible backdoor via /sbin/agetty -- ?

#6 Le 09/06/2016, à 15:41

Re : Possible backdoor via /sbin/agetty -- ?

#7 Le 09/06/2016, à 17:10

Re : Possible backdoor via /sbin/agetty -- ?

Pied de page des forums