Virus sur mon serveur de mail ?! (station Sun)

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : Virus sur mon serveur de mail ?! (station Sun)

benj63

Bonjour,

Je travaille dans une petite société, et nous avons notre propre serveur de mail sur une machine Sun Solaris Ultraspark. Elle n'est pas derrière notre firewall, puisque celui-ci nous sert uniquement pour séparer notre réseau privé, interne, de l'extérieur.

J'ai installé postfix, et un serveur pop3... et ce ptit serveur de mail fonctionne bien depuis 3 mois...

Seulement, depuis 2 jours, des choses bizarres sont apparues :

- un compte utilisateur de la machine a disparu hier (je l'ai recréé)
- le mot de passe de ce compte semble avoir été modifié aujourd'hui (puisque l'utilisateur ne pouvait plus se connecter)
- un autre compte utilisateur a disparu aujourd'hui...

:heink: Est-ce du à un virus ? A une attaque extérieure ? Comment faire pour sécuriser ma machine ?

Merci par avance !

Publicité

whiteburner

make love not war !

tuer un user au hasard, ca calmera les autres , sinon je voit pas...

A mon avis c'est pas un virus déja sinon tu aurai eu une alerte antivirus (j'espere que tu as un antivirus quand meme sur ton serveur..?)

WB.
(un autre que toi a les droits d'admin ? vérifie un peu les comptes présents dans le groupe admin !)

---------------
"Never been much better than at 127.0.0.1"

Mjules

Parle dans le vide

un virus sur ultrasparc avec Solaris, ça doit pas courir les rues...

Après avoir éliminé toute les autres causes comme un pb matériel, je pencherais plutôt pour une intrusion dans ton système.

Mettez le derrière votre firewall, vérifier qu'il n'y a pas de rootkit ou autre (chkrootkit), faites les MAJ de sécu du système.

---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. | Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.

benj63

:sweat: Il n'y a pas d'antivirus sur le système... Sur le site de Sun Solaris, il y a des mises à jour de sécurité à télécharger ? Ou il faut que j'aille les chercher ailleurs ?

A priori c'est peut etre une intrusion, comment les bloquer sans mettre le serveur derrière notre pare-feu ? Est-il possible d'installer dessus un pare-feu logiciel ??

Mjules

Parle dans le vide

pourquoi tu veux pas le mettre derrière ton FW, ce serait une bonne idée, dans une DMZ par ex.

pour les MAJ, t'as pas du beaucoup chercher...
http://sunsolve.sun.com/pub-cgi/show.pl?target=home

si il y a vraiment quelqu'un sur ton système, il a du planquer des backdoor pour pouvoir y accéder. Il va falloir les trouver et les virer.

Vérifie quand même que ce n'est pas simplement une mauvaise manip de quelqu'un qui a accès à root.

Et je te propose de faire déplacer ce topic par un modérateur pour continuer la discussion sur OS alternatifs, t'auras surement + de réponses

---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. | Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.

benj63

Mjules a écrit :

Merci, je vais voir pour déplacer le topic !

Pour trouver les backdoors, il y a un moyen simple ? Ou il faut que je trouve un soft sur le web ?

Message édité par benj63 le 08-10-2004 à 11:34:51

Mjules

Parle dans le vide

sous linux, il y a checkrootkit mais je sais pas si il tourne sous solaris

---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. | Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.

Mjules

Parle dans le vide

bon, selon toute vraisemblance, il tourne sur solaris :
http://www.chkrootkit.org/

---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. | Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.

benj63

Mjules a écrit :

bon, selon toute vraisemblance, il tourne sur solaris :
http://www.chkrootkit.org/

Merci !! Bon je l'ai téléchargé sur le site de Sun, j'ai exécuté la commande chkrootkit et il n'a rien détecté comme indiqué si dessous :

Citation :

ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not infected
Checking `gpm'... not found
Checking `grep'... not infected
Checking `hdparm'... not found
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not infected
Checking `inetdconf'... not infected
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not tested
Checking `login'... not tested
Checking `ls'... not infected
Checking `lsof'... not found
Checking `mail'... not infected
Checking `mingetty'... not found
Checking `netstat'... not infected
Checking `named'... not infected
Checking `passwd'... not tested
Checking `pidof'... not found
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not found
Checking `rpcinfo'... not infected
Checking `rlogind'... not infected
Checking `rshd'... not found
Checking `slogin'... not found
Checking `sendmail'... not infected
Checking `sshd'... not infected
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not found
Checking `telnetd'... not infected
Checking `timed'... not found
Checking `traceroute'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... Possible t0rn rootkit installed
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while... nothing found
Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for LOC rootkit ... nothing found
Searching for Romanian rootkit ... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... not tested
Checking `rexedcs'... not found
Checking `sniffer'... Checking `wted'... ./check_wtmpx: erreur de syntaxe ligne 2: `(' inattendue
./chkwtmp: erreur de syntaxe ligne 1: `(' inattendue
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... ./chklastlog: erreur de syntaxe ligne 1: `(' inattendue

J'ai mis en rouge les trucs bizarres, vous en pensez quoi ?

Je vais à présent essayer de télécharger et d'installer les patch...

Message édité par benj63 le 08-10-2004 à 14:34:35

void_ppc

à partir du moment où la machine est considérée comme compromise, il faut faire un audit à partir d'un autre système considéré comme sûr.

Qu'est-ce qui te dit que tes commandes shell n'ont pas été altérées pour masquer les manip du vilain monsieur ?

Publicité

void_ppc

un peu plus d'infos :

http://www.securityfocus.com/infocus/1230

mais si tu n'as pas pris tes précautions avant (log sur une machine différente, empreinte md5 des binaires, ...), ne compte pas remettre à neuf ce système, seule une réinstall te garantit la tranquilitée.

FORUM HardWare.fr

Windows & Software

Virus sur mon serveur de mail ?! (station Sun)

Sujets relatifs
[Norton Internet Security - Outlook 2003] Problème d'envoi de mail	ecrire sur un serveur windows en étant sous linux
Pb d'envoi de mail avec connexion TELE2	attention erreur c'était pas un sondage win 95/98 sur un serveur
mettre win 95 ou 98 dans un ancien serveur	Lenteur ouverture fichier Word suite changement de serveur
Problème installation station xp sur serveur 2000	serveur dédié : céléron ou Pentium 4 pour sites SQL?
proxy / isa serveur
Plus de sujets relatifs à : Virus sur mon serveur de mail ?! (station Sun)

Page générée en 0.067 secondes