Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1839 connectés 

  FORUM HardWare.fr
  Windows & Software

  Virus sur mon serveur de mail ?! (station Sun)

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Virus sur mon serveur de mail ?! (station Sun)

n°1750898
benj63
Posté le 08-10-2004 à 10:15:29  profilanswer
 

Bonjour,
 
Je travaille dans une petite société, et nous avons notre propre serveur de mail sur une machine Sun Solaris Ultraspark. Elle n'est pas derrière notre firewall, puisque celui-ci nous sert uniquement pour séparer notre réseau privé, interne, de l'extérieur.
 
J'ai installé postfix, et un serveur pop3... et ce ptit serveur de mail fonctionne bien depuis 3 mois...
 
Seulement, depuis 2 jours, des choses bizarres sont apparues :
 
 - un compte utilisateur de la machine a disparu hier (je l'ai recréé)
 - le mot de passe de ce compte semble avoir été modifié aujourd'hui (puisque l'utilisateur ne pouvait plus se connecter)
 - un autre compte utilisateur a disparu aujourd'hui...
 
 
 :heink:  Est-ce du à un virus ? A une attaque extérieure ? Comment faire pour sécuriser ma machine ?
 
Merci par avance !


---------------
Projet d'aquarium low-tech (menuiserie, élec et aquascaping) | Zelda - Breath of the Wild
mood
Publicité
Posté le 08-10-2004 à 10:15:29  profilanswer
 

n°1750925
whiteburne​r
make love not war !
Posté le 08-10-2004 à 10:44:45  profilanswer
 

tuer un user au hasard, ca calmera les autres , sinon je voit pas...  :p
 
A mon avis c'est pas un virus déja sinon tu aurai eu une alerte antivirus (j'espere que tu as un antivirus quand meme sur ton serveur..?)
 
WB.
(un autre que toi a les droits d'admin ? vérifie un peu les comptes présents dans le groupe admin !)


---------------
"Never been much better than at 127.0.0.1"
n°1750930
Mjules
Parle dans le vide
Posté le 08-10-2004 à 10:49:11  profilanswer
 

un virus sur ultrasparc avec Solaris, ça doit pas courir les rues...
 
Après avoir éliminé toute les autres causes comme un pb matériel, je pencherais plutôt pour une intrusion dans ton système.  
 
Mettez le derrière votre firewall, vérifier qu'il n'y a pas de rootkit ou autre (chkrootkit), faites les MAJ de sécu du système.


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
n°1750962
benj63
Posté le 08-10-2004 à 11:06:36  profilanswer
 

:sweat: Il n'y a pas d'antivirus sur le système... Sur le site de Sun Solaris, il y a des mises à jour de sécurité à télécharger ? Ou il faut que j'aille les chercher ailleurs ?
 
A priori c'est peut etre une intrusion, comment les bloquer sans mettre le serveur derrière notre pare-feu ? Est-il possible d'installer dessus un pare-feu logiciel ??
 


---------------
Projet d'aquarium low-tech (menuiserie, élec et aquascaping) | Zelda - Breath of the Wild
n°1750975
Mjules
Parle dans le vide
Posté le 08-10-2004 à 11:15:02  profilanswer
 

pourquoi tu veux pas le mettre derrière ton FW, ce serait une bonne idée, dans une DMZ par ex.
 
pour les MAJ, t'as pas du beaucoup chercher...
http://sunsolve.sun.com/pub-cgi/show.pl?target=home
 
si il y a vraiment quelqu'un sur ton système, il a du planquer des backdoor pour pouvoir y accéder. Il va falloir les trouver et les virer.
 
Vérifie quand même que ce n'est pas simplement une mauvaise manip de quelqu'un qui a accès à root.
 
Et je te propose de faire déplacer ce topic par un modérateur pour continuer la discussion sur OS alternatifs, t'auras surement + de réponses


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
n°1751008
benj63
Posté le 08-10-2004 à 11:34:23  profilanswer
 

Mjules a écrit :

pourquoi tu veux pas le mettre derrière ton FW, ce serait une bonne idée, dans une DMZ par ex.
 
pour les MAJ, t'as pas du beaucoup chercher...
http://sunsolve.sun.com/pub-cgi/show.pl?target=home
 
si il y a vraiment quelqu'un sur ton système, il a du planquer des backdoor pour pouvoir y accéder. Il va falloir les trouver et les virer.
 
Vérifie quand même que ce n'est pas simplement une mauvaise manip de quelqu'un qui a accès à root.
 
Et je te propose de faire déplacer ce topic par un modérateur pour continuer la discussion sur OS alternatifs, t'auras surement + de réponses


 
 :) Merci, je vais voir pour déplacer le topic !
 
Pour trouver les backdoors, il y a un moyen simple ? Ou il faut que je trouve un soft sur le web ?


Message édité par benj63 le 08-10-2004 à 11:34:51

---------------
Projet d'aquarium low-tech (menuiserie, élec et aquascaping) | Zelda - Breath of the Wild
n°1751011
Mjules
Parle dans le vide
Posté le 08-10-2004 à 11:35:35  profilanswer
 

sous linux, il y a checkrootkit mais je sais pas si il tourne sous solaris


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
n°1751016
Mjules
Parle dans le vide
Posté le 08-10-2004 à 11:37:07  profilanswer
 

bon, selon toute vraisemblance, il tourne sur solaris :
http://www.chkrootkit.org/


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
n°1751239
benj63
Posté le 08-10-2004 à 14:34:17  profilanswer
 

Mjules a écrit :

bon, selon toute vraisemblance, il tourne sur solaris :
http://www.chkrootkit.org/


 
Merci !! Bon je l'ai téléchargé sur le site de Sun, j'ai exécuté la commande chkrootkit et il n'a rien détecté comme indiqué si dessous :
 

Citation :

ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not infected
Checking `gpm'... not found
Checking `grep'... not infected
Checking `hdparm'... not found
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not infected
Checking `inetdconf'... not infected
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not tested
Checking `login'... not tested
Checking `ls'... not infected
Checking `lsof'... not found
Checking `mail'... not infected
Checking `mingetty'... not found
Checking `netstat'... not infected
Checking `named'... not infected
Checking `passwd'... not tested
Checking `pidof'... not found
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not found
Checking `rpcinfo'... not infected
Checking `rlogind'... not infected
Checking `rshd'... not found
Checking `slogin'... not found
Checking `sendmail'... not infected
Checking `sshd'... not infected
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not found
Checking `telnetd'... not infected
Checking `timed'... not found
Checking `traceroute'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... Possible t0rn rootkit installed
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while... nothing found
Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for LOC rootkit ... nothing found
Searching for Romanian rootkit ... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... not tested
Checking `rexedcs'... not found
Checking `sniffer'... Checking `wted'... ./check_wtmpx: erreur de syntaxe ligne 2: `(' inattendue
./chkwtmp: erreur de syntaxe ligne 1: `(' inattendue
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... ./chklastlog: erreur de syntaxe ligne 1: `(' inattendue


 
J'ai mis en rouge les trucs bizarres, vous en pensez quoi ?
 
Je vais à présent essayer de télécharger et d'installer les patch...


Message édité par benj63 le 08-10-2004 à 14:34:35

---------------
Projet d'aquarium low-tech (menuiserie, élec et aquascaping) | Zelda - Breath of the Wild
n°1751245
void_ppc
Posté le 08-10-2004 à 14:38:28  profilanswer
 

à partir du moment où la machine est considérée comme compromise, il faut faire un audit à partir d'un autre système considéré comme sûr.
 
Qu'est-ce qui te dit que tes commandes shell n'ont pas été altérées pour masquer les manip du vilain monsieur ?

mood
Publicité
Posté le 08-10-2004 à 14:38:28  profilanswer
 

n°1751246
void_ppc
Posté le 08-10-2004 à 14:40:58  profilanswer
 

un peu plus d'infos :
 
http://www.securityfocus.com/infocus/1230
 
mais si tu n'as pas pris tes précautions avant (log sur une machine différente, empreinte md5 des binaires, ...), ne compte pas remettre à neuf ce système, seule une réinstall te garantit la tranquilitée.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software

  Virus sur mon serveur de mail ?! (station Sun)

 

Sujets relatifs
[Norton Internet Security - Outlook 2003] Problème d'envoi de mailecrire sur un serveur windows en étant sous linux
Pb d'envoi de mail avec connexion TELE2attention erreur c'était pas un sondage win 95/98 sur un serveur
mettre win 95 ou 98 dans un ancien serveurLenteur ouverture fichier Word suite changement de serveur
Problème installation station xp sur serveur 2000serveur dédié : céléron ou Pentium 4 pour sites SQL?
proxy / isa serveur 
Plus de sujets relatifs à : Virus sur mon serveur de mail ?! (station Sun)


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR