Hi!

Je monitore un serveur sous FreeBSD-6.0 qui héberge de vieux sites potentiellement insécures. Depuis quelques jours j'ai remarqué des connexions vers des SMTP d'AOL dans l'affichage de netstat et je suis à peu près certain que le serveur a été compromis d'une façon ou d'une autre. J'ai aussi remarqué dans les logs d'Apache des requêtes entièrement composées d'adresses emails, ce que je n'arrive pas à expliquer.

Est-ce que quelqu'un aurait une piste à explorer ? Le serveur est très peu exposé donc je suppose qu'il a été la cible d'une recherche systématique de victimes, mais je n'ai aucune idée de la faille qui a pu être utilisée pour s'y introduire (sachant que je ne sais pas à quel point le serveur a été compromis, il se pourrait qu'un script Perl tourne en tâche de fond). Toute aide est la bienvenue, merci

Bonjour,

Tu peux tenter une recherche de rootkit avec les 2 outils suivants:
http://www.chkrootkit.org/
http://www.rootkit.nl/projects/rootkit_hunter.html

bêtement un "ps all" pour voir ce qui tourne et détecter un démon suspect déjà. Vérifier les logs d'accès SSH également. Enfin tous les trucs d'une attaque bidon, si c'est une attaque d'un robot il n'aura pas été jusqu'à installé un rootkit en général ils y vont avec leur gros sabot
Vérifie également qu'il n'y a pas une faille dans l'un des scripts php qui tournent sur le serveur (voir phpexploits.com je crois).

Dans tous les cas : sauvegarde vite tous les logs (il y en a peut-être dont l'intérêt ne te sautera pas aux yeux, alors que finalement le type a utilisé une faille dans le client sntp du serveur et que c'est dans ces logs que tu vas le retrouver, il faut donc tous les garder) dans un endroit sûr, si jamais il y a un vrai humain derrière et qu'il a oublié de détruire les logs, il va y penser très vite.

Merci pour vos réponses, je mets les liens en bookmark.

Finalement, il s'est avéré que la situation était moins critique que je ne le pensais car il suffisait juste de... désactiver le SMTP Relaying de qmail.

Depuis, l'activité du serveur est revenue à la normale mais ça ne m'empêchera pas d'aller voir du côté des chercheurs de rootkits, ça peut toujours servir hein :]