Cheval de troi sur un serveur?

Totof08170 · Le 15/06/2009, à 11:20

Bonjour tout le monde,

Voila j'ai un petit souci, du moins une question.
Je suis en stage dans un lycée, il héberge leur site sur un xp sans antivirus ni rien, une vrai passoire quoi. Mon maitre de stage ma demander de lui faire un serveur sous linux, donc j'ai choisi un ubuntu serveur, avec webmin, apache, phpmyadmin, php, mysql et ssh.

Tout fonctionnais bien sauf pas mal d'attaque ssh, mais j'ai supprimer deux utilisateur que j'avais fait pour faire des teste, et ensuite je n'ai plus rien eu.

Jeudi on as reçut un mail de la sécuriter du rectora en disans qu'il y avais un virus ( cheval de troi ) sur le serveur. Mais je pensais qu'il n'y en avais pas ( ou très peut ) sous linux.

Donc est-ce possible d'en avoir eu un?

Merci

Ehorinn · Le 15/06/2009, à 11:25

Il se peut qu'un fichier sur le serveur abrite un virus, mais celui-ci est inactif sous GNU/Linux.
Tu peux utiliser Clam Antivirus pour analyser les fichiers.

Qid · Le 15/06/2009, à 11:26

c'est pas claire ...
tu veux bien nous la refaire ?
parce que la moi ce que je comprend
c'est que le rectora à vu que vous aviez un virus sur votre nouveau serveur sous linux ...
et donc ce que je te répond :
1) les virus sous linux c'est presque impossible
2) et le rectora la tiendrais d'ou l'info
(c'est EUX qui on le virus et donc qui prévienne ! mais c'est pas pour ça que tu es ateind !)

Totof08170 · Le 15/06/2009, à 12:23

D'accord Qid je vais la refaire.

Donc en faite dans le lycée il y as un serveur AMON qui est obligatoire dans les établissement scolaire d'après ce que j'ai pu entendre. Il gére les réseaux Pédagogique et Administratif.
Normalement le serveur devrais être placer dans la DMZ mais souci, l'administrateur ne pourrais pas y avoir acces de chez lui aparament, donc il est en frontale avec le serveur AMON.

Donc j'ai monter mon serveur ubuntu avec comme service : apache, mysql, phpmyamin, php, ssh. ( j'ai oublier de préciser que le serveur à une ip public )

J'ai reçut un mail du rectora en disans que sur le serveur il y avais des essay d'intrusion en ssh, et qu'il fallais que je regarde les log dans /var/log/auth.log donc en regardant j'ai vue effectivement qu'il y avais des essay d'intrusion ssh. j'ai supprimer des utilisateur qui me servais comme teste avec des mot de passe très simple, et je n'ai plus eu d'essay d'intrusion.

Ensuite on as reçut un mail de la sécuriter du rectora je crois en disans qu'il y avais un cheval de troi sur le serveur, ce qui ma fortement étonner, donc aparement il on regarder sur le serveur jeudi ou vendredi, et ce matin mon maitre de stage ma dit que aparement quelqu'un as su rentrer sur le serveur avec le cheval de troi et aurai essayer de hacker deux serveur au usa.

Donc je suis assez surpris, car je pensais que les cheval de troi ne pouvais pas aller sous linux. La le serveur est dans un bureaux il vont garder le disque dur au cas ou il y aurai des souci comme preuve et je vais devoire en refaire un dans la semaine je pense

hornon · Le 15/06/2009, à 12:37

perso j'ai un ami qui a un server sous Linux, est les log montre clairement plusieurs dizaines de tentatives d'intrusion ssh par jour... aucune n'a réussi et cela n'arrivera jamais. si tu as une intrusion, c'est que ton ssh n'est pas sécurisé, par exemple que tu a activé la connexion par mot de passe avec un mot de passe trop simple. le mieux est de carrément désactiver la connexion par mot de passe, et de s'authentifier par clef rsa.

en tout cas si ton serveur est bien sécurisé, tu peux bien te moquer de toutes les tentatives du monde.

Dernière modification par hornon (Le 15/06/2009, à 12:41)

RedLemon · Le 15/06/2009, à 12:41

sudo apt-get fail2ban

et hop plus de probléme avec ssh, apres 3 tentative de login, l'adresse ip est bannie pour 24 heures

Totof08170 · Le 15/06/2009, à 12:51

merci RedLemon toujours bon à savoir,

Vue que je vais devoire le refaire ce serveur c'est toujours bon à prendre,

Ce qui ma choquer le plus c'est d'entendre qu'il y avais un cheval de troi u_u"

Qid · Le 15/06/2009, à 12:56

hornon a écrit :

le mieux est de carrément désactiver la connexion par mot de passe, et de s'authentifier par clef rsa.
en tout cas si ton serveur est bien sécurisé, tu peux bien te moquer de toutes les tentatives du monde.

bouarf ... moi je suis simplement pas rester sur le port par defaut ... ça calme aussi un peu

Totof08170 · Le 15/06/2009, à 13:01

c'est vrai aussi, sinon donc un cheval de troi ne peut pas être actif sur un GNU/Linux?

Elemmire · Le 15/06/2009, à 14:34

C'est pas parce qu'il n'y a pas de virus actif pour linux que cela n'existe pas !!!
Ensuite, un cheval de troie n'est pas forcément un virus.
Le cheval de Troie peut être installé par l'attaquant grace à une faille de sécurité dans un des services installé sur le serveur ou encore grace à une attaque sur le ssh permettant ainsi d'obtenir un shell sur la machine, ce qui permet de faire beaucoup de chose et notament d'installer une backdoor pour revenir plus tard.
Ce genre de pratique est beaucoup plus complexe et plus ciblé qu'un virus qui joue sur l'effet de masse.
Un antivirus tel que ClamAv ne sera d'aucune utilité car il ne détecte que les virus Windows !!!
Par contre un outil tel que rkhunter ou chkrootkit pourra éventuellement les détecter et les signaler. charge à toi de faire le ménage ensuite.

droopy191 · Le 15/06/2009, à 19:32

RedLemon a écrit :

sudo apt-get fail2ban
et hop plus de probléme avec ssh, apres 3 tentative de login, l'adresse ip est bannie pour 24 heures

Salut,

Tout à fait.
Des mises à jour régulières, une authentification uniquement par clé et le risque pour la partie ssh est faible.
On peut aussi changer le port d'écoute de ssh de 22 à autre chose.

tutereconnaitras · Le 15/06/2009, à 19:38

Bonjour, je suis débutant, mais ce que j'entends m'inquiète...
Il peut y avoir des virus comme cela, comment sait-on si son ordinateur est protégé?

Comment sait-on s'il existe une faille ?

spatz · Le 15/06/2009, à 19:41

@tutereconnaitras : tu remarqueras qu'on parle de serveurs ici, pas d'ordinateurs personnels et c'est pas la même chose. A moins que tu face du ssh sur ton pc perso mais j'en doute.

Dernière modification par spatz (Le 15/06/2009, à 19:43)

tutereconnaitras · Le 15/06/2009, à 20:31

mais au niveau de la sécurité, ce n'est pas pareil ? Je n'en sais rien donc je ne fais que poser la question et non engager un troll

Dernière modification par tutereconnaitras (Le 15/06/2009, à 20:31)

philarmonie · Le 15/06/2009, à 20:43

tutereconnaitras a écrit :

mais au niveau de la sécurité, ce n'est pas pareil ? Je n'en sais rien donc je ne fais que poser la question et non engager un troll

Non ce n'est pas pareil.
Un serveur ssh permet de se connecter à distance sur la machine et d'obtenir un shell (en général pour l'administrer).
Là l'attaquant a profité d'une configuration non sécurisée (compte et mot de passe facilement craquable par une attaque par dictionnaire) pour y installer un cheval de troie.
Le problème ne vient pas du système ici mais de l'administrateur, soit Totof08170.

Dernière modification par philarmonie (Le 15/06/2009, à 20:43)

gnieark · Le 15/06/2009, à 20:44

Il me semble que dans l'éducation nationale, le rectorat assure le proxy. donc ils sont informés si une machine a un comportement étrange.

Si si il peut y avoir un cheval de troie sur ton serveur malgré ce que disent les trolls. Enfin, il faut appeler ça une backdoor... Grossomodo, ce sont des scripts pour que le hackeur qui a probablement cassé ton ton passe ssh a installé pour pouvoir revenir sur le serveur même si tu changes le mot de passe ou bien pour l'intégrer dans un botnet.

Quelques indices: regarder si il n'y a pas de taches Cron qui ont été rajoutées pour l'utilisateur www-data.
des fichiers douteux dans /temp...

Quelques conseils:
Pas d'authentification par mot de passe mais par clé SSH
Fail2ban
un script iptables affiné
le repertoire contenant le site web, affiner les autorisations dedans.

droopy191 · Le 15/06/2009, à 22:29

Salut,

Il faudrait voir ce que l'on met derrière cheval de troie.
Demandez des details à votre interlocuteur.

Vu de l'exterieur, votre interlocuteur à probablement detecté les effets: virus/ ver cheval de troie dans les pages web, spam. Il y'a peu de chance qu'il ait pu diagnostiquer à distance une prise de control du serveur lui meme.

Vu que vous parlez d'un site web, il peut s'agir d'un faille dans un script php qui a permis de modifier certains fichiers.
Votre serveur sert alors des pages web ou envoie des e-mails infectés par des cochoneries.

Dernière modification par droopy191 (Le 15/06/2009, à 22:33)

Totof08170 · Le 16/06/2009, à 08:13

Etant donner que aparement avec le cheval de troi le serveur as fait quelque ataque sur des machine au usa, mais je ne suis pas sur je n'était pas la quand il ont parler de sa donc je ne suis pas sur, mais il vont retirer le disque dur et le garder au cas ou il y as des répercutions ou quelque chose du genre, donc pour le moment il on remis un xp avec un easy php pour faire serveur web ( sans anti-virus ni rien ) une vrai passoir, même mon maitre de stage ne comprend pas. Donc je vais devoir en refaire un bientôt, dans la semaine surement ou la semaine prochaine, les mot de pass qui on été mis sont ceux de l'administrateur du lieu de mon stage, donc ce n'est pas moi, mais la c'est vrai que je ferais une authentification par clé.

Sinon pour les CROn y avais que des tache root

MrWaloo · Le 16/06/2009, à 09:41

sans chercher à troller, juste pour info
sur mon PC perso j'ai ssh, pour divers raisons. il est accessible depuis l'extérieur et j'ai installé fail2ban avant d'installer le serveur ssh

et bien j'ai des log de tentative d'intrusion, sans pour autant que mon PC soit tout le temps allumé, sans héberger un site "publique", juste une recopie d'un site associatif pour y faire des tests...

bref, personne n'est à l'abri et l'application des conseils de gnieark est une bonne défense de base

Link31 · Le 16/06/2009, à 21:22

Totof08170 a écrit :

Tout fonctionnais bien sauf pas mal d'attaque ssh, mais j'ai supprimer deux utilisateur que j'avais fait pour faire des teste
[...]
Donc est-ce possible d'en avoir eu un?

Ça dépend de si tu as supprimé tes utilisateurs de test avant, ou après qu'une attaque ait été menée avec succès.
Les attaques par SSH, tout le monde en a, et généralement elles n'aboutissent jamais. Mais les comptes de test du type login: test / mdp: test, ça ne pardonne pas, désolé...

RedLemon · Le 16/06/2009, à 21:37

en plus root ne dois pas pouvoir se loguer a distance.

Normalement avec fail2ban + root qui ne sais pas ce loguer + suppretion des compte de test + mot de passe alléatoire de 16 de longeur. Pas de probléme.

Elemmire · Le 16/06/2009, à 23:04

fail2ban est une bonne solution mais on peut aussi utiliser denyhosts qui va rajouter les IP faisant 3 échecs de connexion dans le fichier /etc/hosts.deny

Dernière modification par Elemmire (Le 16/06/2009, à 23:05)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 15/06/2009, à 11:20

Cheval de troi sur un serveur?

#2 Le 15/06/2009, à 11:25

Re : Cheval de troi sur un serveur?

#3 Le 15/06/2009, à 11:26

Re : Cheval de troi sur un serveur?

#4 Le 15/06/2009, à 12:23

Re : Cheval de troi sur un serveur?

#5 Le 15/06/2009, à 12:37

Re : Cheval de troi sur un serveur?

#6 Le 15/06/2009, à 12:41

Re : Cheval de troi sur un serveur?

#7 Le 15/06/2009, à 12:51

Re : Cheval de troi sur un serveur?

#8 Le 15/06/2009, à 12:56

Re : Cheval de troi sur un serveur?

#9 Le 15/06/2009, à 13:01

Re : Cheval de troi sur un serveur?

#10 Le 15/06/2009, à 14:34

Re : Cheval de troi sur un serveur?

#11 Le 15/06/2009, à 19:32

Re : Cheval de troi sur un serveur?

#12 Le 15/06/2009, à 19:38

Re : Cheval de troi sur un serveur?

#13 Le 15/06/2009, à 19:41

Re : Cheval de troi sur un serveur?

#14 Le 15/06/2009, à 20:31

Re : Cheval de troi sur un serveur?

#15 Le 15/06/2009, à 20:43

Re : Cheval de troi sur un serveur?

#16 Le 15/06/2009, à 20:44

Re : Cheval de troi sur un serveur?

#17 Le 15/06/2009, à 22:29

Re : Cheval de troi sur un serveur?

#18 Le 16/06/2009, à 08:13

Re : Cheval de troi sur un serveur?

#19 Le 16/06/2009, à 09:41

Re : Cheval de troi sur un serveur?

#20 Le 16/06/2009, à 21:22

Re : Cheval de troi sur un serveur?

#21 Le 16/06/2009, à 21:37

Re : Cheval de troi sur un serveur?

#22 Le 16/06/2009, à 23:04

Re : Cheval de troi sur un serveur?

Pied de page des forums