#1 Le 03/06/2007, à 15:17
- B@rtounet
Mon ubuntu est piraté
bonsoir, je viens de remarqué que mon poste venait d'etre piraté,
j'ai été alarmé par un processus qui prenait 100% cpu = pscan2
de plus en faisant un netstat j'ai bien vu les connexion actives...
softbank21903203802:ssh SYN_SENTce processus se lance automatiquement, et par l'utilisateur test
j'ai bien sur supprimé cet utilisateur, et désintaller provisoirement ssh, et meme fermer les ports de mon firewall... mais rien n'y fait ce processus se relance tout le temps...
comment le supprimer et comment savoir comment il a réussi à se connecter ??
Hors ligne
#2 Le 03/06/2007, à 15:31
- tylhdar
Re : Mon ubuntu est piraté
pstree pour voir quel processus le lance
un matériel non compatible linux est un matériel défectueux
ubuntu 10.4 sur pc1 ; debian squeeze sur pc2
Hors ligne
#3 Le 03/06/2007, à 15:40
- B@rtounet
Re : Mon ubuntu est piraté
bon deja je sais comment le méchant est entré...
c'est totalement de ma faute...
j'avais crée un utilisateur test avec password test
Jun 2 17:47:27 localhost sshd[31489]: (pam_unix) session opened for user test by (uid=0)
Jun 2 17:47:40 localhost passwd[31513]: (pam_unix) password changed for testHors ligne
#4 Le 03/06/2007, à 15:44
- B@rtounet
Re : Mon ubuntu est piraté
après avoir coupé ma conexion un moment et remise, le processus pscan2 ne se relance pas...
comment savoir ou ce rootkit est localisé??
Hors ligne
#5 Le 03/06/2007, à 15:44
- tylhdar
Re : Mon ubuntu est piraté
a ta place je reformate et je réinstalle tout
un matériel non compatible linux est un matériel défectueux
ubuntu 10.4 sur pc1 ; debian squeeze sur pc2
Hors ligne
#6 Le 03/06/2007, à 15:46
- B@rtounet
Re : Mon ubuntu est piraté
bah ui ,mais mon but c'est d'apprendre à combattre ce genre d'attauqe et à s'en protéger
Hors ligne
#7 Le 03/06/2007, à 16:03
- $ianur391
Re : Mon ubuntu est piraté
Referme tes ports éfface ton utilisateur que tu as crée.
J'ais une question c'est qu'elle ports qui étaient ouvert pour qui rentre?
Enfin retrouvé mon Compte xD
Hors ligne
#8 Le 03/06/2007, à 16:07
- Link31
Re : Mon ubuntu est piraté
Supprime-le, tout simplement...
echo $(ls -l /proc/`ps -e | grep pscan2 | awk 'BEGIN {FS=" "}{print $1}'`/exe) | awk 'BEGIN {FS=" "}{print $11}'Hors ligne
#9 Le 03/06/2007, à 16:11
- B@rtounet
Re : Mon ubuntu est piraté
Referme tes ports éfface ton utilisateur que tu as crée.
J'ais une question c'est qu'elle ports qui étaient ouvert pour qui rentre?
bah le port 22 pour SSH
Hors ligne
#10 Le 03/06/2007, à 16:12
- B@rtounet
Re : Mon ubuntu est piraté
Supprime-le, tout simplement...
echo $(ls -l /proc/`ps -e | grep pscan2 | awk 'BEGIN {FS=" "}{print $1}'`/exe) | awk 'BEGIN {FS=" "}{print $11}'
an2 | awk 'BEGIN {FS=" "}{print $1}'`/exe) | awk 'BEGIN {FS=" "}{print $11}'
ls: /proc//exe: Aucun fichier ou répertoire de ce type
Hors ligne
#11 Le 03/06/2007, à 16:20
- Link31
Re : Mon ubuntu est piraté
ls: /proc//exe: Aucun fichier ou répertoire de ce type
Alors aucun processus pscan2 n'est lancé.
Que renvoie ps -e ?
Hors ligne
#12 Le 03/06/2007, à 17:11
- B@rtounet
Re : Mon ubuntu est piraté
TIME CMD
1 ? 00:00:01 init
2 ? 00:00:00 migration/0
3 ? 00:00:06 ksoftirqd/0
4 ? 00:00:00 watchdog/0
5 ? 00:00:00 events/0
6 ? 00:00:00 khelper
7 ? 00:00:00 kthread
9 ? 00:00:00 kblockd/0
10 ? 00:00:00 kacpid
115 ? 00:00:04 pdflush
116 ? 00:00:02 pdflush
118 ? 00:00:00 aio/0
117 ? 00:00:08 kswapd0
706 ? 00:00:00 kseriod
1851 ? 00:00:00 khubd
1955 ? 00:00:00 kjournald
2182 ? 00:00:00 udevd
3080 ? 00:00:00 shpchpd_event
3452 ? 00:00:00 kjournald
3453 ? 00:00:00 kjournald
4025 ? 00:00:00 dd
4027 ? 00:00:00 klogd
4046 ? 00:00:00 dbus-daemon
4061 ? 00:00:01 hald
4062 ? 00:00:00 hald-runner
4067 ? 00:00:00 hald-addon-acpi
4117 ? 00:00:00 hald-addon-keyb
4130 ? 00:00:19 hald-addon-stor
4131 ? 00:00:11 hald-addon-stor
4461 ? 00:00:00 gdm
4478 ? 00:00:00 gdm
4483 tty7 00:05:12 Xorg
4505 ? 00:00:18 named
4535 ? 00:00:00 hpiod
4538 ? 00:00:00 python
4626 ? 00:00:00 courierlogger
4627 ? 00:00:00 authdaemond.pla
4634 ? 00:00:00 authdaemond.pla
4635 ? 00:00:00 authdaemond.pla
4636 ? 00:00:00 authdaemond.pla
4637 ? 00:00:00 authdaemond.pla
4638 ? 00:00:00 authdaemond.pla
4650 ? 00:00:00 couriertcpd
4656 ? 00:00:00 courierlogger
4737 ? 00:00:00 master
4757 ? 00:00:00 qmgr
4771 ? 00:00:00 smbd
4832 ? 00:00:00 smbd
4842 ? 00:00:00 hcid
4846 ? 00:00:00 sdpd
4864 ? 00:00:00 krfcommd
4877 ? 00:00:00 mdadm
4911 ? 00:00:00 atd
4924 ? 00:00:00 cron
4989 ? 00:00:00 miniserv.pl
5008 tty1 00:00:00 getty
5009 tty2 00:00:00 getty
5010 tty3 00:00:00 getty
5011 tty4 00:00:00 getty
5012 tty5 00:00:00 getty
5013 tty6 00:00:00 getty
5026 ? 00:00:00 x-session-manag
5068 ? 00:00:00 ssh-agent
5071 ? 00:00:00 dbus-launch
5072 ? 00:00:00 dbus-daemon
5074 ? 00:00:00 gconfd-2
5077 ? 00:00:00 gnome-keyring-d
5079 ? 00:00:00 bonobo-activati
5081 ? 00:00:02 gnome-settings-
5400 ? 00:00:27 metacity
5407 ? 00:00:14 gnome-panel
5409 ? 00:00:16 nautilus
5412 ? 00:00:00 gnome-volume-ma
5419 ? 00:00:00 update-notifier
5425 ? 00:00:00 gnome-cups-icon
5429 ? 00:00:00 gnome-vfs-daemo
5442 ? 00:00:00 gnome-power-man
5446 ? 00:00:00 trashapplet
5463 ? 00:00:00 mapping-daemon
5465 ? 00:00:00 mixer_applet2
5467 ? 00:00:00 clock-applet
5528 ? 00:00:03 gnome-screensav
10136 ? 00:00:00 tlsmgr
10854 ? 00:00:00 proftpd
9966 ? 00:00:00 cupsd
10703 ? 00:00:02 notification-da
29383 ? 00:00:00 mount.smbfs
29385 ? 00:00:09 smbiod
30782 ? 00:00:13 loop0
30796 ? 00:00:00 loop1
9852 ? 00:00:00 scsi_eh_4
9853 ? 00:00:00 usb-storage
31565 ? 00:00:00 screen
31566 pts/6 00:00:00 bash
19932 ? 00:00:00 acpid
19997 ? 00:00:00 apache2
20017 ? 00:00:00 apache2
20018 ? 00:00:00 apache2
20019 ? 00:00:00 apache2
20020 ? 00:00:00 apache2
20021 ? 00:00:00 apache2
20120 ? 00:00:00 syslogd
20356 ? 00:00:01 apache2
23755 ? 00:00:00 bash
23765 ? 00:00:00 apache2
23773 ? 00:00:00 apache2
25894 ? 00:00:03 screen
25895 pts/7 00:00:00 bash
3734 ? 00:00:00 3
3888 ? 00:00:00 smbd
4473 ? 00:00:00 sshd
21307 ? 00:00:00 sshd
21315 pts/2 00:00:00 bash
22323 ? 00:00:00 pickup
23189 ? 00:00:01 firefox-bin
23199 ? 00:00:00 netstat <defunct>
23206 ? 00:00:00 gnome-terminal
23209 ? 00:00:00 gnome-pty-helpe
23210 pts/0 00:00:00 bash
23235 ? 00:00:00 sshd
23241 pts/1 00:00:00 bash
23259 pts/1 00:00:00 pstu vois quelquechose d'anormal?
le process ne semble plus se lancer...
par contre comment expliquer qu'au départ il arrivait à se relancer en tant qu'utilisateur test aprs même avoir supprimer cet utilisateur
quel est le but ce ce pscan ???
en fait je pense qu'il scan les port grace à mon poste, comme c'est une action interdite, c'est mon ip qui prendrai
Dernière modification par B@rtounet (Le 03/06/2007, à 17:14)
Hors ligne
#13 Le 03/06/2007, à 17:26
- Link31
Re : Mon ubuntu est piraté
tu vois quelquechose d'anormal?
En supposant que tu ais installé toi-même apache, samba, un loopback, postfix, etc... je ne vois qu'un processus potentiellement anormal :
3734 ? 00:00:00 3Je n'ai jamais vu de programme nommé "3". Essaie ça pour trouver où est installé l'exécutable :
ls -l /proc/3734/exeEn ce qui concerne pscan2, s'il n'est pas lancé, c'est plus difficile de le trouver. Commence par vérifier s'il est dans un des dossiers du PATH :
which pscan2Si il n'y est pas, alors réindexe l'intégralité de tes fichiers et cherche-le avec locate :
sudo updatedb
locate pscan2quel est le but ce ce pscan ???
en fait je pense qu'il scan les port grace à mon poste, comme c'est une action interdite, c'est mon ip qui prendrai
Je ne crois pas qu'il soit interdit de scanner les ports d'un serveur... Qu'il soit interdit d'y pénétrer, d'accord, mais de le scanner... 
Hors ligne
#14 Le 03/06/2007, à 17:28
- B@rtounet
Re : Mon ubuntu est piraté
si si j'ai lu qu'il etait interdit de scanner les port des toute machine ne t'appartenant pas...
en tous cas voila le méchant
Jun 2 17:47:27 localhost sshd[31483]: Accepted password for test from 82.79.88.197 port 3592 sshDernière modification par B@rtounet (Le 03/06/2007, à 17:29)
Hors ligne
#15 Le 03/06/2007, à 17:31
- B@rtounet
Re : Mon ubuntu est piraté
1 1001 1001 0 2007-06-03 18:00 /proc/3734/exe -> /tmp/upxAV2YMJYADUV (deleted)which et locate ne renvoie rien
Dernière modification par B@rtounet (Le 03/06/2007, à 17:36)
Hors ligne
#16 Le 03/06/2007, à 17:43
- Balkoth
Re : Mon ubuntu est piraté
Si tu as supprimé l'utilisateur test, mais sans supprimer son dossier personnel /home/test, il y a de grande chances que tu trouves des fichiers intéressants dedans.
Regarde notamment les fichiers cachés (ls -a /home/test/) et le log de bash (/home/test/.bash_history).
Hors ligne
#17 Le 03/06/2007, à 18:33
- Link31
Re : Mon ubuntu est piraté
1 1001 1001 0 2007-06-03 18:00 /proc/3734/exe -> /tmp/upxAV2YMJYADUV (deleted)
Ah, il est plus coriace que ce que je croyais... Un vrai rootkit 
sudo apt-get install chkrootkitwhich et locate ne renvoie rien
Si tu as bien mis à jour la base de données avec updatedb, ça signifie que le fichier n'est plus présent sur le disque. Ça a fait toujours ça de moins, mais reste vigilant, et regarde ce que peut faire chkrootkit.
Hors ligne
#18 Le 03/06/2007, à 18:39
- B@rtounet
Re : Mon ubuntu est piraté
il ne trouve rien, j'ai dut supprimer ce rootkit en supprimant l'utilisateur ainsi que son home
Hors ligne
#19 Le 03/06/2007, à 18:41
- B@rtounet
Re : Mon ubuntu est piraté
quel est le meilleur moyen de surveiller si un rootkit n'est pas installé.?
Hors ligne
#20 Le 03/06/2007, à 19:09
- Link31
Re : Mon ubuntu est piraté
quel est le meilleur moyen de surveiller si un rootkit n'est pas installé.?
Je dirais, surveiller ses logs de connexion et le trafic réseau. Le problème avec les rootkits, c'est que par définition, ils font tout pour ne pas se faire remarquer.
Hors ligne
#21 Le 03/06/2007, à 19:32
- B@rtounet
Re : Mon ubuntu est piraté
quels sont les logs les plus parlants?
auth
syslog
netstat
Hors ligne
#22 Le 03/06/2007, à 19:39
- Link31
Re : Mon ubuntu est piraté
Eh bien... tous. Chacun a son utilité. Il vaut mieux surveiller auth.log si on veut être averti des tentatives d'intrusion (réussies ou non), mais les autres logs ne sont pas à négliger.
Hors ligne
#23 Le 03/06/2007, à 22:09
- Jonon
Re : Mon ubuntu est piraté
B@rtounet, tu peux essayer Rootkit Hunter, avec un petit tuto de base pour installer sous Ubuntu par là.
hype_ @ freenode|hyp3 @ twitter | Ceci n'est pas un Blag
Hors ligne
#24 Le 03/06/2007, à 22:12
- B@rtounet
Hors ligne
#25 Le 28/01/2014, à 09:25
- jegouzet
Re : Mon ubuntu est piraté
Bonjour,
Je viens de m'apercevoir Que mes Pc étaient infectés par des rootkits.
J'ai fait un scan
Résultat d'analyse RKHUNTER du 11/01/2014
jcj@jcj-MS-7808:~$ sudo rkhunter --checkall --report-warnings-only
[sudo] password for jcj:
Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text
Warning: User 'postfix' has been added to the passwd file.
Warning: Group 'postfix' has been added to the group file.
Warning: Group 'postdrop' has been added to the group file.
Warning: Suspicious file types found in /dev:
/dev/.udev/rules.d/root.rules: ASCII text
Warning: Hidden directory found: '/dev/.udev'
Warning: Hidden file found: /dev/.initramfs: symbolic link to '/run/initramfs'
jcj@jcj-MS-7808:~$
jcj @ jcj-MS-7808: ~ $ sudo rkhunter - CheckAll - Rapport-garde seule
[sudo] mot de passe pour JCJ:
Attention: La commande "/ usr / bin / unhide.rb» a été remplacé par un script: / usr / bin / unhide.rb: un script Ruby, texte ASCII
Avertissement: L'utilisateur "postfix" a été ajoutée au fichier passwd.
Attention: 'postfix' Groupe a été ajouté au fichier de groupe.
Attention: 'postdrop' Groupe a été ajouté au fichier de groupe.
Types de fichiers suspect trouvé dans / dev: avertissement:
/ dev / .udev / rules.d / root.rules: texte ASCII
Attention: le répertoire caché trouvé: "/ dev / .udev '
Attention: Hidden fichier trouvé: / dev / .initramfs: lien symbolique vers '/ run / initramfs»
je voudrais pouvoir me débarrasser de ces merdes.
meci de m'aider
JCJ
Hors ligne