Attaques illegalles émanant de serveur

07 avr. 2008, 13:54

Bonjour,

Il semble que mon serveur soit victime d’un détournement, et soit utilisé pour attaquer d’autre serveur, quelqu’un serais m’expliquer la procédure à suivre pour trouver la source de l’attaque et l’éliminer.

Pour infos je suis sous plesk dernière version

Mille merci d'avance

07 avr. 2008, 15:14

Bonjour,

Il semble que mon serveur soit victime d’un détournement

C'est à dire? D'où tiens tu cette info?

07 avr. 2008, 15:49

de mon fournisseur de serveur 1a...

07 avr. 2008, 16:11

Oui bah il nous faudrait plus d'informations sur la nature exact du problème

07 avr. 2008, 18:11

c'est tout ce qu'il mon dit, je n'en sais pas plus

voici le mail en question

Bonjour xxxx xxxxxxx,

Nous recevons actuellement des plaintes nous indiquant que votre serveur xxxxxxx mène des attaques illégales envers d'autres serveurs dans le web.

Vous trouverez de plus amples informations à la fin de ce message.

Ces attaques pouvant être sujet d'une poursuite judiciaire, nous vous demandons urgentement de nettoyer votre serveur de tout logiciel malveillant comme des virus, virus-vers, chevaux de Troie et autres.

Pour ce faire, veuillez procéder comme suit :

1. Placez votre serveur au mode rescue afin d'empêcher toute attaque ultérieure.

2. Élimez tous les fichiers qui vous sont inconnus et sécurisez les failles de
sécurité dans votre système.

3. Au cas où vous ne sauriez pas éliminer le problème, il faudra reinitialiser
votre serveur. Dans ce cas, veuillez impérativement sécuriser les failles de sécurité présentes dans la copie de sauvegarde de vos données.

4. Répondez ensuite à cet e-mail en nous faisant part des mésures que vous aurez entrepris. Veillez à laisser notre référence [Ticket xxxxxxxxx] dans le sujet de votre message.

Pour de plus amples informations, veuillez contacter le support technique.

Remarque: Une grande partie des attaques sont faites par des logiciels malveillants, installés auparavant à travers des failles de sécurité dans votre système. Ces failles se trouvent souvent dans les anciennes versions de logiciels populairs CMS comme Mambo, Joomla!, Contenido ou phpBB. Une mise à jour du logiciel ou du module en question peut apporter un niveau de sécurité plus élévé.

Vu que ces attaques présentent aussi un danger pour notre infrastructure, nous serions obligés de mettre votre serveur hors ligne au cas où ce problème persisterai.

Merci de votre coopération.

Cordialement,

--
Service Abuse
xxxxx Internet S.A.R.L

Apr 7 01:07:31 essexhosting proftpd[4911]: essexhosting.net
(217.xxx.xx.xx[217.xxx.xx.xx]) - USER mwb_projects: no such user found from
217.xxx.xx.xx[217.xxx.xx.xx] to xxx.232.215.26:21 Apr 7 01:07:31 essexhosting proftpd[4912]: essexhosting.net
(217.xxx.xx.xx[217.xxx.xx.xx]) - USER x2txxm65: no such user found from
217.xxx.xx.xx [217.xxx.xx.xx] to xxx.232.215.26:21 Apr 7 01:07:31 essexhosting proftpd[4911]: essexhosting.net
(217.xxx.xx.xx[217.xxx.xx.xx]) - no such user 'mwb_projects'
Apr 7 01:07:31 essexhosting proftpd[4912]: essexhosting.net ...

07 avr. 2008, 19:37

Il n'y a pas de procédure standard dans ces cas la, aussi si tu veux avoir un peu d'aide il va nous faloir connaitre certaines informations tel que:

-Distribution utilisée
-Version du kernel
-partitionage et état des partitions (read only, accès en écriture)
-démons tcp lancés sur ta machine (scannes toi avec nmap si tu veux les connaître)
-version de ces démons
-applications php utilisée sur ton serveur web
-version de ces applications

Ca risque de faire pas mal d'information mais bon, on ne peut pas t'aider réellement sans savoir ça ou être à ta place.

07 avr. 2008, 22:44

J’ai très peu de connaissance serveur, je vais avoir beaucoup de mal mais avec tout ca je vais faire au mieux pour te faire une liste.

Système d'exploitation Linux 2.6.16.33-061227b
Version de Plesk psa v8.3.0_build83080131.20 os_FedoraCore 4

applications

MySQL - 4.1.20
phpMyAdmin - 2.8.2.4
PHP Version 5.0.4

j'ai installé Zenmap qui me donne cette liste en partie après un scanne

Not shown: 1700 closed ports
PORT STATE SERVICE VERSION
21/tcp open ftp ProFTPD 1.3.0
22/tcp open ssh OpenSSH 4.2 (protocol 2.0)
25/tcp filtered smtp
53/tcp open domain
80/tcp open http Apache httpd 2.0.54 ((Fedora))
|_ HTML title: Site doesn't have a title.
106/tcp open pop3pw poppassd
110/tcp open pop3 Courier pop3d
135/tcp filtered msrpc
143/tcp open imap Courier Imapd (released 2004)
443/tcp open ssl OpenSSL
| SSLv2: server still supports SSLv2
| SSL2_DES_192_EDE3_CBC_WITH_MD5
| SSL2_RC2_CBC_128_CBC_WITH_MD5
| SSL2_RC4_128_WITH_MD5
| SSL2_RC4_64_WITH_MD5
| SSL2_DES_64_CBC_WITH_MD5
| SSL2_RC2_CBC_128_CBC_WITH_MD5
|_ SSL2_RC4_128_EXPORT40_WITH_MD5
445/tcp filtered microsoft-ds
465/tcp open smtps?
993/tcp open ssl OpenSSL
| SSLv2: server still supports SSLv2
| SSL2_DES_192_EDE3_CBC_WITH_MD5
| SSL2_RC2_CBC_128_CBC_WITH_MD5
| SSL2_RC4_128_WITH_MD5
| SSL2_RC4_64_WITH_MD5
| SSL2_DES_64_CBC_WITH_MD5
| SSL2_RC2_CBC_128_CBC_WITH_MD5
|_ SSL2_RC4_128_EXPORT40_WITH_MD5
995/tcp open ssl OpenSSL
| SSLv2: server still supports SSLv2
| SSL2_DES_192_EDE3_CBC_WITH_MD5
| SSL2_RC2_CBC_128_CBC_WITH_MD5
| SSL2_RC4_128_WITH_MD5
| SSL2_RC4_64_WITH_MD5
| SSL2_DES_64_CBC_WITH_MD5
| SSL2_RC2_CBC_128_CBC_WITH_MD5
|_ SSL2_RC4_128_EXPORT40_WITH_MD5
8443/tcp open http Apache httpd
|_ HTML title: 302 Found
Device type: WAP|general purpose
Running (JUST GUESSING) : AVM embedded (87%), Netgear embedded (87%), Linksys embedded (87%), Linux 2.6.X (87%)
Aggressive OS guesses: AVM Fritz!Box FON 7050, Linksys WAG200G, or Netgear DG834GT wireless broadband router (87%), Linux 2.6.9 (87%), Linux 2.6.20 (Ubuntu 7.04 server, x86) (85%)
No exact OS matches for host (test conditions non-ideal).
Uptime: 0.183 days (since Mon Apr 07 18:56:55 2008)
TCP Sequence Prediction: Difficulty=195 (Good luck!)
IP ID Sequence Generation: All zeros
Service Info: Host: localhost.localdomain; OS: Unix

je te remercie de pencher sur mon problème

08 avr. 2008, 00:23

ok,

La liste des infos que tu fournis ne permet pas d'affirmer d'ou viendrait le soucis mais peut permettre de définir un certain nombre de mesures:

une première mesure urgente est de mettre un firewall (typiquement configurer un iptable) si tu n'as pas beaucoup d'expérience il va faloir te faire aider éventuellement par le support de la boite qui te fournis une box dédiée (si c'en est une) ou par quelqu'un de confiance et pouvant avoir un accès physique à la machine (tout simplement parcequ'en cas de mauvaise conf... tu ne pourras pas le régler à distance) si tu l'as chez toi tu peux tenter de suivre un des inombrables tutoriaux sur le sujet dispo partout sur le web. certains ports doivent être ouvert et d'autres doivent réellement etre fermé d'urgence (les ports samba! peut-être aussi les ports openssl qui à ma conaissance ne servent à rien). D'autre part veille à bien fermer les ports entrants de tous les services que tu ne désires pas fournir (http, ftp, smtp, imap, https, smtps: tu veux peut-être en zapper quelque uns)

deuxième mesure, installer un scanner de rootkit, ca se trouve en rpm je ne vois pas de mal à en tester plusieurs afin d'obtenir un meilleur avis général de la situation, le rootkit est l'équivalent le plus courant du virus/troyen/malware à la mode windows sous linux. Ces logiciels dispoent en général de fonctionalités permettant de les supprimer

troisième mesure installer tcpdump et écouter ton interface réseau publique (internet) et essayer de déterminer s'il se passe réellement des choses étranges (tentatives acharnées de connexion aux ports que tu aurait fermé, etc)

Enfin cela étant fait et bien fait il pourrait être intéressant de recontacter la personne t'ayant envoyé un mail afin déja de le prévenir que tu tentes de régler le problème et aussi pour lui demander plus de précisions sur les problèmes qu'il a eu. Rappelles toi surtout de ne pas faire confiance à cette personne il pourrait après tout s'agir d'une tentative élaborée de social engineering ou bien d'une farce.

08 avr. 2008, 08:13

Merci beaucoup pour toute ces précisions très importante, mon fournisseur est 1and1 c'est un serveur dédié, j'ai moi aussi pensé à une farce mais après les avoir contacté, il s'agirait vraiment d'un avertissement de leur partenaire en reseaux sécurité.

je vais faire des recherche par apport à tout ce que tu ma dis.

Encore merci pour ton aide

je reedite mon message :

j'ai fais un scan et il apparait clairement ce message en fin de rapport
[09:28:28] ------------------------- Security advisories ------------------------- [09:28:29] Warning: root login possible. Change for your safety the 'PermitRootLogin'

je me demande si ca pourrai venir de ca ?

j'ai aussi coupé samba qui me servait pas !

j'attends la réponse du service à qui j'ai écris

08 avr. 2008, 12:04

le permitrootlogin est par rapport à ssh, on a coutûme de dire qu'il vaut mieux dans la plupart des cas utiliser un utilisateur non privilégié par défaut et utiliser la commade sudo pour exécuter des applications nécéssitant des privilèges.

exemple:

tu te loggue via ssh sur ton user "user1"

user1# sudo /etc/init.d/apache restart
password:

la tu rentres ton password utilisateur (et non root) et apache se relance, alors que tu n'es pas "devenu" root dans la procédure.

C'est une bonne habitude à prendre que d'administrer son système comme ça, je pense que tu devrais changer ton password root vers un mot de passe plus compliqué (noté au préalable sur un bout de papier chez toi) et désactiver ce permitrootlogin dans ssh, et t'assurer que ton utilisateur fait bien parti du groupe wheel (groupe associé aux droits de root dans /etc/sudoers).

08 avr. 2008, 12:22

bein c'est incroyable ce que tu me dis , j'ai jamais réussi à me connecter autrement qu'en tant que root à mon serveur, ce qui veux dire que si je retir la possibilité de me connecté en root, je me bloque l'admin du serveur définitivement

08 avr. 2008, 13:49

non, parceque root n'est qu'un utilisateur, c'est justement l'interêt de sudo il te permet d'exécuter des commandes avec un autre utilisateurs mais comme si tu étais root, suffit d'avoir de se créer un coup d'utilisateur à coup de useradd ou de adduser et de le mettre dans le group wheel en group secondaire de faire un tour dans le fichier de config de sudo (/etc/sudoers) et de se connecter en ssh avec cet utilisateur la. En fait typiquement root est un utilisateur avec lequel on ne devrait jamais se logguer

08 avr. 2008, 14:17

Nagol a totalement raison. Tout administrateur qui se respecte retire le mot de passe du compte root. C'est le compte sur lequel il faut interdire tout login. Et tout passage sur compte root doit se faire avec précaution, car en cas de mauvaise manipulation il n'y a aucun filet de sécurité…

08 avr. 2008, 14:35

je crois que je comprends ton résonnement , un peu comme rott phpmyadmin d 'époque ou il etait à root par default,
mais alors pourquoi /etc/sudoers n'éxite pas sur ma machine ?

08 avr. 2008, 14:38

je crois que je comprends ton résonnement , un peu comme rott phpmyadmin d 'époque ou il etait à root par default,
mais alors pourquoi /etc/sudoers n'éxite pas sur ma machine ?

à priori ça devrait vouloir dire que ce n'est pas installé sur ta distribution, ou que le fichier a été placé ailleurs, pour vérifier que le programme sudo existe ben suffit de taper la commande, s'il existe alors c'est le fichier qui doit être ailleurs, tu peux le trouver à coup de locate (locate sudoers)

Attaques illegalles émanant de serveur

Qui est en ligne