processus bizarre vmware server ubuntu [Résolu]

lo_schil · 22/07/2011, 08h23

Bonjour à tous,

J'ai depuis quelques temps un phénomène bizarre sur mon install de vmware server 2 sur ubuntu server.
De plus en plus souvent, mon réseau semble saturé, et après des recherches j'ai trouvé que le responsable était vmware server, notamment 2 processus très louches qui pointent vers des adresses ip publiques .

exemple des derniers en date :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
vmware   29882  2008  0 Jul21 ?        00:00:00 /bin/sh -c ./s 80.229.1.210 0
vmware   29883 29882 99 Jul21 ?        08:12:16 ./s 80.229.1.210 0

les adresses sont variables, mais en faisant des whois, ça pointe des fois sur une société en Inde, une autre fois en Pologne ... (à priori !)

Cela provoque de telles collisions ip que ma freebox sature et je n'ai plus accès au net (même l'écran tactile de celle ci est ralenti !)

La seule solution que j'ai trouvé pour l'instant est de redémarrer le serveur et la freebox ...

J'ai depuis sécurisé un peu plus mon serveur mais ça continue...

Quelqu'un a t-il déjà observé ce phénomène ?

merci d'avance

LS

sevyc64 · 22/07/2011, 20h57

Un scan complet avec un antivirus à jour, ainsi qu'un scan complet avec un antimalware à jour sur la vm incriminée sera déjà un bon départ.

Tu précise pas, le trafic sur ces adresses est entrant ou sortant ?

Mygale1978 · 23/07/2011, 13h09

Salut,

Tu peux aussi scanner les éventuels rootkits avec rkhunter qui devrait se trouver dans le dépôt ubuntu.

lister également l'arborescence des process

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
pstree <process_id_suspect>

et voir les fichiers/sockets ouverts par ces processus.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
lsof -p <process_id_suspect>

Je te conseille également de débrancher ce serveur d'internet le temps de faire les analyse nécessaires.

lo_schil · 25/07/2011, 09h39

Merci pour les réponses,

Je lancerais ces analyse la prochaine fois que ces process apparaitront, car en fait ils ne sont actifs qu'au bout de plusieurs heures d'activité de vmware server.
(1 ou 2 fois par jour).
Et ils ne semblent dépendre d'aucune des mes 3 machines virtuelles.

Par contre comment puis-je analyser le trafic sur ces adresses ?

lo_schil · 26/07/2011, 14h08

Bon alors voici les dernières analyse :

les process qui tournent

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
vmware    2124  1580  0 09:47 ?        00:00:00 /bin/sh -c ./s 123.167.5.145 808                                                                              0
vmware    2125  2124 32 09:47 ?        00:50:40 ./s 123.167.5.145 8080
loic      4439  4409  0 12:25 pts/0    00:00:00 grep --color=auto vm

les fichiers ouverts :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
sudo lsof -p 2125
COMMAND  PID   USER   FD   TYPE DEVICE SIZE/OFF    NODE NAME
s       2125 vmware  cwd    DIR   8,65     4096 5636405 /home/vmware/-
s       2125 vmware  rtd    DIR   8,65     4096       2 /
s       2125 vmware  txt    REG   8,65    15078 5636421 /home/vmware/-/s
s       2125 vmware  mem    REG   8,65  1421892 7606134 /lib/libc-2.12.1.so
s       2125 vmware  mem    REG   8,65   118084 7606131 /lib/ld-2.12.1.so
s       2125 vmware    0u  sock    0,6      0t0    9675 can't identify protocol

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
COMMAND  PID   USER   FD   TYPE DEVICE SIZE/OFF    NODE NAME
sh      2124 vmware  cwd    DIR   8,65     4096 5636405 /home/vmware/-
sh      2124 vmware  rtd    DIR   8,65     4096       2 /
sh      2124 vmware  txt    REG   8,65    87984  524296 /bin/dash
sh      2124 vmware  mem    REG   8,65  1421892 7606134 /lib/libc-2.12.1.so
sh      2124 vmware  mem    REG   8,65   118084 7606131 /lib/ld-2.12.1.so
sh      2124 vmware    0u  sock    0,6      0t0    9675 can't identify protocol
sh      2124 vmware    3u  IPv4   9674      0t0     UDP *:49316
sh      2124 vmware    5u   REG   8,65        0 1048585 /tmp/tmpf2MXJHM (deleted

ainsi que ça (ça parait très bizarre)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
:~$ sudo pstree 2124
shâââs
:~$ sudo pstree 2125
s

Je ne suis pas un expert en sécurité Linux ... Please, une idée ?

Mygale1978 · 26/07/2011, 14h25

Peux-tu installer rkhunter comme demander plus haut et scanner le serveur.

lo_schil · 26/07/2011, 15h55

sorry, je l'avais fait mais je l'ai pas notifié...

rkhunter n'a rien trouvé (seuls 2 avertissements sans gravité ...)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
Warning: Hidden directory found: /dev/.udev
Warning: Hidden directory found: /dev/.initramfs

j'ai aussi fait tourner chkrootkit qui n'a rien trouvé ...

Mygale1978 · 26/07/2011, 16h08

Tu as bien mis à jour la base de données avant de lancer le scan?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 rkhunter --update && rkhunter --check

lo_schil · 26/07/2011, 16h09

oui.

Je le relancerais ce soir pour confirmer

lo_schil · 01/08/2011, 09h58

bon, ben après plusieurs scans qui ne donnent rien, j'ai décidé de supprimer Vmware et de le réinstaller, ça fait 4 jours et ça à l'air d'être propre ...

22/07/2011, 20h57	#2
sevyc64 Modérateur Yves Développeur informatique Inscription : janvier 2007 Messages : 3 878 Détails du profil Informations personnelles : Nom : Yves Âge : 39 Localisation : France, Pyrénées Atlantiques (Aquitaine) Informations professionnelles : Activité : Développeur informatique Informations forums : Inscription : janvier 2007 Messages : 3 878 Points : 7 655 Points : 7 655	Un scan complet avec un antivirus à jour, ainsi qu'un scan complet avec un antimalware à jour sur la vm incriminée sera déjà un bon départ. Tu précise pas, le trafic sur ces adresses est entrant ou sortant ? __________________ Sevyc64 --- Le partage est notre force NON AU LANGAGE SMS & FAUTES VOLONTAIRES SUR LES FORUMS
	00

26/07/2011, 14h25	#6
Mygale1978 Expert Confirmé Sénior Laurent Willems Expert Stop/Start Inscription : septembre 2002 Messages : 2 551 Détails du profil Informations personnelles : Nom : Laurent Willems Âge : 33 Localisation : Belgique Informations professionnelles : Activité : Expert Stop/Start Informations forums : Inscription : septembre 2002 Messages : 2 551 Points : 4 271 Points : 4 271	Peux-tu installer rkhunter comme demander plus haut et scanner le serveur. __________________ Alea Jacta Test!
	00

25/07/2011, 09h39	#4
lo_schil Invité régulier Inscription : novembre 2008 Messages : 15 Détails du profil Informations personnelles : Sexe : Localisation : France Informations professionnelles : Secteur : Distribution Informations forums : Inscription : novembre 2008 Messages : 15 Points : 7 Points : 7	Merci pour les réponses, Je lancerais ces analyse la prochaine fois que ces process apparaitront, car en fait ils ne sont actifs qu'au bout de plusieurs heures d'activité de vmware server. (1 ou 2 fois par jour). Et ils ne semblent dépendre d'aucune des mes 3 machines virtuelles. Par contre comment puis-je analyser le trafic sur ces adresses ?
	00

26/07/2011, 16h09	#9
lo_schil Invité régulier Inscription : novembre 2008 Messages : 15 Détails du profil Informations personnelles : Sexe : Localisation : France Informations professionnelles : Secteur : Distribution Informations forums : Inscription : novembre 2008 Messages : 15 Points : 7 Points : 7	oui. Je le relancerais ce soir pour confirmer
	00

01/08/2011, 09h58	#10
lo_schil Invité régulier Inscription : novembre 2008 Messages : 15 Détails du profil Informations personnelles : Sexe : Localisation : France Informations professionnelles : Secteur : Distribution Informations forums : Inscription : novembre 2008 Messages : 15 Points : 7 Points : 7	bon, ben après plusieurs scans qui ne donnent rien, j'ai décidé de supprimer Vmware et de le réinstaller, ça fait 4 jours et ça à l'air d'être propre ...
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email