Forum Linux.debian/ubuntu Suppression d'un malware

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
Étiquettes :
7
4
avr.
2017

Bonjour,

Un serveur d'un client a reçu la visite d'un malware :-/

J'ai vu quelqu'un se connecter en root donc j'ai tout de suite supprimé la connexion root dans ssh
j'ai retrouvé sa clé public dans les authorized_keys donc je l'ai mise de côté
il écoute sur le port 17 donc j'ai rajouté une règle iptables sur ce port
il semble qu'il ddos deux ip en chine, j'ai rajouté une règle iptables en sortant vers ces deux ip

Dans les process qui tournent, il y a /etc/dockera
dans /etc/init.d il a rajouté selinux et DbSecuritySpt il a aussi remplacé /bin/ps et /bin/netstat dans /usr/bin il a créé/modifié .sshd et lsof

J'ai essayé de :
update-rc.d selinux disable
update-rc.d selinux DbSecuritySpt
rm /etc/dockera
kill -9 $dockeraPID
apt-get install --reinstall net-tools
apt-get install --reinstall procps

mais je dois mal me débrouiller ou il manque quelque chose car il revient toujours et se réinstall complètement :(
Et dans la crontab je n'ai rien vu.

J'ai plusieurs questions :
Comment me débarrasser de ce truc ?
Qu'est-ce que je n'ai pas pensé à regarder suite à l'infection qui pourrait être compromettant ?
Est-ce que pour le moment je suis safe en attendant de réinstaller la machine ?

Merci

  • # ddos ou remote control, analyse à froid

    Posté par  . Évalué à 9.

    il semble qu'il ddos deux ip en chine, j'ai rajouté une règle iptables en sortant vers ces deux ip

    il est probable que ce soit l'inverse, les chinois qui cherche à controler la machine avant de faire une DDOS vers ailleurs.

    1°) debranches le cable reseau
    2°) analyses la machine à froid (depuis un liveCD, liveUSB)

    et si tu veux vraiment comparer, il te faut un systeme identique pour chercher les differents

    maintenant, et dans le doute, si tu ne sais pas ce qui a été modifié, le mieux c'est la reinstallation complete,

  • # rootkité

    Posté par  . Évalué à 4.

    Il y a certainement un rootkit installé sur la machine.
    Donc, déjà, si c'est une machine chez un hébergeur genre Online, OVH, Gandi etc, réinstaller le système.
    En prenant soin de formatter les partitions.
    Bien sur, ça suppose d'avoir une sauvegarde des datas/sites/bases…et de préférence propre…
    Lors de la réinstallation, installer et configurer rkhunter et chkrootkit.

    Si c'est une machine bootable depuis une clé USB ou CD, il est possible de booter un live cd contenant ces deux packages, chkrootkit et rkhunter et de checker le système.

    Si le serveur héberge du site web, il faut impérativement faire un audit de tous les fichiers présents dans les arbos des sites…

    • [^] # Re: rootkité

      Posté par  (site web personnel, Mastodon) . Évalué à 2.

      C'est une machine chez Online pour les dev, il y a surtout de la config à sauver, tout est dockerisé.

      Comme je le disais c'est prévu de réinstaller mais ça prend du temps de tout backup et tout réinstaller donc si ça peut attendre quelques jours/semaine ça m'arrange.

      • [^] # Re: rootkité

        Posté par  . Évalué à 4.

        c'est pas maitenant qu'il faut backuper
        car tu risques de faire un backup avec la verole.

        il faut que tu ressortes le backup d'il y a quelques mois…
        si t'en n'as pas, faut simplement reinstaller.

        c'est une machine de dev, on peut esperer que le code source est ailleurs, il n'y alors que la reinstallation systeme à faire

        • [^] # Re: rootkité

          Posté par  (site web personnel, Mastodon) . Évalué à 3.

          Comme je disais, c'est de la conf et un peu de data que je vais backuper donc le risque est faible de backuper de la verole.

          il n'a que la reinstallation système

          Oui enfin réinstall système + docker + la config applicative + la postgres + importer les données + machin et truc, bref j'en ai quasi pour une journée

          • [^] # Re: rootkité

            Posté par  . Évalué à 9.

            mmh, trouver d'ou ca viens te prendra probablement plus de temps, genre un /us/bin/ghtools qui traine (nom choisi au hasard), avec des ls,top,du modifié aucune chance de le trouver sans livecd. il faudrait la liste de tous tes paquets debian, et controler leur signatures, avec une options que j'eus oublié de apt

            concernant la sauvegarde de la vérole, je ne serais pas aussi optimiste. Avec un iptables très restrictifs ya peut etre moyen d'echapper au traffic sortant non désiré

            et reviens nous voir avec un journal de tes mesures de sécurité que tu as prises par rapport au serveur troué, j'imagine que plein de monde t'aideront :D, idéalement un vendredi stp.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.