Mon serveur en attaque d'autres

[baton]

Bonjour,

J'ai un serveur dédier chez Online. Et depuis quelques jours je reçois des alerte "ABUSE" dans mon panel d'administration online.
Apparemment mon serveur se serai fait hacker et attaquerai en Bruteforce d'autres serveurs.

La première chose que j'ai faite c'est désactiver tous les comptes utilisateurs (sans pouvoir vérifier si effectivement TOUS les comptes était bien désactiver, si quelqu'un a une idée de comment je peu vérifier ça...) et j'ai changé le mot de passe (sans lésiner sur les caractères) de root.
Le problème c'est que mon serveur continu d'attaqué...
J'ai installé et lancé chkrootkit qui ne m'a détecté aucun problèmes.

Je suis novice dans la gestion serveur et j’avoue avoir passé beaucoup de temps a paramétrer le serveur de mail. La solution proposé par Online serai de tout réinstallé. Cependant cette solution ne m’arrange pas (si je ne trouve pas de solution je le ferait quand même) car je craint de perdre encore des dizaines d'heures de paramétrages.

Avez vous des idées sur les actions a effectuer pour tester la sécurité de mon serveur et en trouvé les failles et les cause de ce Bruteforce? Existe t'il des outils?

Merci d'avance pour l'aide

[minnesota]

salut,

Citation:

Envoyé par baton

mon serveur...attaquerai en Bruteforce d'autres serveurs.

Citation:

Envoyé par baton

Avez vous des idées sur les actions a effectuer

Oui, changer ton pseudo en

[baton]

J'ai pas saisi ta blague ^^
Qu'est ce qui a de drôle dans ma situation?

[minnesota]

C’est juste un jeu de mots avec ton pseudo, peut être de mauvais gout étant donné la situation,
m'en veux pas...


Si j'avais une réponse, je te l'aurais effectivement donnée, mais je ne saurais trop te conseiller de donner plus de détails sur l'os (la distribution) et les serveurs logiciels et interpréteurs embarqués... y'a des classiques en hébergement, mais ça facilitera surement les réponses...

Sinon t'as pas la possibilité de faire une sauvegarde et rapatrier tes paramétrages ?

bon courage...

[gangsoleil]

Bonjour,

Est-ce que tu ne peux pas contacter OVH pour savoir s'ils ont des outils de monitoring qui permettraient d'en savoir un peu plus ?

Tu dis que tu as desactive les utilisateurs, mais comment as-tu effectue cette manipulation ?
Est-ce que ssh est installe ? Que disent les logs de connexion ?

[Loceka]

Tu ne pourrais pas "tout simplement" récupérer les fichiers de conf que t'as modifié, tout réinstaller et restaurer les fichiers de conf ?

Je ne suis pas du tout calé en sécurité mais je pense que si tu essayes de t'en débarrasser à la main t'en auras aussi pour des dizaines d'heures.

En attendant d'avoir la solution à ton problème, tu peux toujours installer un firewall et bloquer tous les ports (sauf le 22 et potentiellement le 80) afin que ton serveur arrête d'attaquer.

[baton]

Merci pour tes conseils,

Aprés une recherche j'ai suivis un tuto.

J'ai mis la configuration de base proposé avec iptables, installé fail2ban et Rkhunter.
Quand je fait :
tail auth.log -f
pour obtenir le flux du fichier log d'autentification j'obtient :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
Dec  6 00:50:41 sd-00000 CRON[13806]: pam_unix(cron:session): session closed for user root
Dec  6 00:51:01 sd-00000 CRON[13835]: pam_unix(cron:session): session opened for user root by (uid=0)
Dec  6 00:51:41 sd-00000 CRON[13835]: pam_unix(cron:session): session closed for user root
Dec  6 00:52:01 sd-00000 CRON[13866]: pam_unix(cron:session): session opened for user root by (uid=0)
Dec  6 00:52:41 sd-00000 CRON[13866]: pam_unix(cron:session): session closed for user root

C'est normal qu'un cron fasse ça toute les 40sec? crontab est vide pourtant...

Merci encore pour vos aides, j'ai encore reçu des email "ABUSE" de online :s

[gangsoleil]

Bonjour,

Nen, ce n'est pas normal.

As-tu change le mot de passe root ?
Est-ce que la connexion ssh est desactivee pour root ?
Est-ce que tu as contacte ton fournisseur pour voir s'ils pouvaient t'aider ?
Est-ce que tu as sauvegarde tes donnees ?
Est-ce que tu peux reinstaller ta machine ?

[Mygale1978]

Salut,

Citation:

Envoyé par baton

Merci pour tes conseils,

Aprés une recherche j'ai suivis un tuto.

J'ai mis la configuration de base proposé avec iptables, installé fail2ban et Rkhunter.
Quand je fait :
tail auth.log -f
pour obtenir le flux du fichier log d'autentification j'obtient :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

C'est normal qu'un cron fasse ça toute les 40sec? crontab est vide pourtant...

Merci encore pour vos aides, j'ai encore reçu des email "ABUSE" de online :s

Peux-tu regarder dans /var/log/syslog quelle commande cron est executée toutes les 40 secondes?

[baton]

Citation:

As-tu change le mot de passe root ?

Oui

Citation:

Est-ce que la connexion ssh est desactivee pour root ?

Non il reste uniquement cet utilisateur, je me sert de root pour me connecter

Citation:

Est-ce que tu as contacte ton fournisseur pour voir s'ils pouvaient t'aider ?

Oui ils m'on dit de tout réinstaller

Citation:

Est-ce que tu as sauvegarde tes donnees ?

Oui

Citation:

Est-ce que tu peux reinstaller ta machine ?

Je ne sait pas comment reinstaller un serveur distant...

Citation:

Peux-tu regarder dans /var/log/syslog quelle commande cron est executée toutes les 40 secondes?

J'ai vérifier, c'est un scripte a moi qui tourne, mais toute les minutes et non 40sec.
Sinon j'ai ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Dec  6 20:39:01 sd-00000CRON[3605]: (root) CMD (  [ -x /usr/lib/php5/maxlifetime ] && [ -d /var/lib/php5 ] && find /var/lib/php5/ -depth -mindepth 1 -maxdepth 1 -type f -cmin +$(/usr/lib/php5/maxlifetime) ! -execdir fuser -s {} 2>/dev/null \; -delete)

Qui s’exécute de temps en temps...


Au niveau de auth.log j'ai du nouveau :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
Dec  6 20:36:41 sd-00000 CRON[3483]: pam_unix(cron:session): session closed for user root
Dec  6 20:37:01 sd-00000 CRON[3529]: pam_unix(cron:session): session opened for user root by (uid=0)
Dec  6 20:37:41 sd-00000 CRON[3529]: pam_unix(cron:session): session closed for user root
Dec  6 20:37:51 sd-00000 sshd[3564]: reverse mapping checking getaddrinfo for 240.178.144.198.host.nwnx.net [198.144.178.240] failed - POSSIBLE BREAK-IN ATTEMPT!
Dec  6 20:37:51 sd-00000 sshd[3564]: Invalid user conny from 198.144.178.240
Dec  6 20:37:51 sd-00000 sshd[3564]: input_userauth_request: invalid user conny [preauth]
Dec  6 20:37:51 sd-00000 sshd[3564]: pam_unix(sshd:auth): check pass; user unknown
Dec  6 20:37:51 sd-00000 sshd[3564]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=198.144.178.240
Dec  6 20:37:53 sd-00000 sshd[3564]: Failed password for invalid user conny from 198.144.178.240 port 37499 ssh2
Dec  6 20:37:53 sd-00000 sshd[3564]: Received disconnect from 198.144.178.240: 11: Bye Bye [preauth]
Dec  6 20:37:56 sd-00000 sshd[3566]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=114.80.155.58  user=root
Dec  6 20:37:58 sd-00000 sshd[3566]: Failed password for root from 114.80.155.58 port 53851 ssh2

[allolivier]

Bonjour,
Quelle est ton OS et en quelle version est ton noyau ?

[Mygale1978]

Salut,

On voit des tentatives d'attaques dans auth.log. C'est assez fréquent sur les systèmes exposés sur internet et ça ne démontre pas que ton système s'est fait hacké.

A quoi ressemblent tes alertes ABUSE dans ton panel? Q'indiquent-elles exactement?

[baton]

Bonsoir,


Après avoir installé rkhunter j'ai reçu quelque alerte par mail :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text
Warning: The SSH and rkhunter configuration options should be the same:
         SSH configuration option 'PermitRootLogin': yes
         Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no
Warning: Hidden directory found: /dev/.udev
Warning: Hidden directory found: /usr/sbin/libzdb-2.10.2/.pc
Warning: Hidden directory found: /usr/sbin/libsieve-2.2.9/.pc
Warning: Hidden file found: /etc/.procmailrc: ASCII text
Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'
Warning: Hidden file found: /usr/sbin/libzdb-2.10.2/.pc/.version: ASCII text
Warning: Hidden file found: /usr/sbin/libzdb-2.10.2/.pc/.quilt_patches: ASCII text
Warning: Hidden file found: /usr/sbin/libzdb-2.10.2/.pc/.quilt_series: ASCII text
Warning: Hidden file found: /usr/sbin/libsieve-2.2.9/.pc/.version: ASCII text
Warning: Hidden file found: /usr/sbin/libsieve-2.2.9/.pc/.quilt_patches: ASCII text
Warning: Hidden file found: /usr/sbin/libsieve-2.2.9/.pc/.quilt_series: ASCII text

Je ne comprend pas. Je supprime /usr/bin/unhide.rb ?

Citation:

A quoi ressemblent tes alertes ABUSE dans ton panel? Q'indiquent-elles exactement?

Tous les ABUSE sont de type brutforce
Extrait des logs que m'ont envoyé les admin des autres serveurs.

Extrait 1:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
2012-11-25T02:31:13+01:00 baobab sshd[19878]: SSH: Server;Ltype: Kex;Remote: xx.xxx.xxx.xx-36552;Enc: aes128-cbc;MAC: hmac-sha1;Comp: none [preauth]
2012-11-25T02:31:13+01:00 baobab sshd[19878]: SSH: Server;Ltype: Authname;Remote: xx.xxx.xxx.xx-36552;Name: root [preauth]
2012-11-25T02:31:13+01:00 baobab sshd[19878]: Received disconnect from xx.xxx.xxx.xx: 11: Bye Bye [preauth]
2012-11-25T02:32:12+01:00 baobab sshd[19882]: SSH: Server;Ltype: Version;Remote: xx.xxx.xxx.xx-43987;Protocol: 2.0;Client: libssh-0.2
2012-11-25T02:32:12+01:00 baobab sshd[19882]: SSH: Server;Ltype: Kex;Remote: xx.xxx.xxx.xx-43987;Enc: aes128-cbc;MAC: hmac-sha1;Comp: none [preauth]
2012-11-25T02:32:12+01:00 baobab sshd[19882]: SSH: Server;Ltype: Authname;Remote: xx.xxx.xxx.xx-43987;Name: root [preauth]
2012-11-25T02:32:12+01:00 baobab sshd[19882]: Received disconnect from xx.xxx.xxx.xx: 11: Bye Bye [preauth]
2012-11-25T02:33:11+01:00 baobab sshd[19886]: SSH: Server;Ltype: Version;Remote: xx.xxx.xxx.xx-51399;Protocol: 2.0;Client: libssh-0.2
2012-11-25T02:33:11+01:00 baobab sshd[19886]: SSH: Server;Ltype: Kex;Remote: xx.xxx.xxx.xx-51399;Enc: aes128-cbc;MAC: hmac-sha1;Comp: none [preauth]
2012-11-25T02:33:11+01:00 baobab sshd[19886]: SSH: Server;Ltype: Authname;Remote: xx.xxx.xxx.xx-51399;Name: root [preauth]
2012-11-25T02:33:11+01:00 baobab sshd[19886]: Received disconnect from xx.xxx.xxx.xx: 11: Bye Bye [preauth]
2012-11-25T02:34:10+01:00 baobab sshd[19890]: SSH: Server;Ltype: Version;Remote: xx.xxx.xxx.xx-58808;Protocol: 2.0;Client: libssh-0.2

Extrait 2:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
 
Nov 25 16:05:43 sd-20507 sshd[21180]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=sd-00000.dedibox.fr 
Nov 25 16:05:45 sd-20507 sshd[21180]: Failed password for invalid user admin from xx.xxx.xxx.xxx port 57207 ssh2
Nov 25 16:06:52 sd-20507 sshd[21183]: Invalid user admin from xx.xxx.xxx.xxx
Nov 25 16:06:52 sd-20507 sshd[21183]: pam_unix(sshd:auth): check pass; user unknown
Nov 25 16:06:52 sd-20507 sshd[21183]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=sd-00000.dedibox.fr 
Nov 25 16:06:54 sd-20507 sshd[21183]: Failed password for invalid user admin from xx.xxx.xxx.xxx port 36465 ssh2
Nov 25 16:07:46 sd-20507 CRON[21120]: pam_unix(cron:session): session closed for user amavis
Nov 25 16:08:00 sd-20507 sshd[21291]: Invalid user allan from xx.xxx.xxx.xxx
Nov 25 16:08:00 sd-20507 sshd[21291]: pam_unix(sshd:auth): check pass; user unknown
Nov 25 16:08:00 sd-20507 sshd[21291]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=sd-00000.dedibox.fr

A noté que je n'ai pas reçu de nouveau ABUSE depuis l'installation du firewall.

[Beanux]

Avant d'identifier la source des alertes, il faut à mon avis vérifier le degré de compromission de ton système.

Quelques rapides choses à faire en cas d'intrusion. Faire la liste:

• des processus lancé ("ps aux")
• des connexions actuelle et en écoute de ton serveur ("netstat -laputen")
• des utilisateurs du système ("cat /etc/passwd")
• des commandes exécutées régulièrement ("ls -l /etc/cron*")
• des services de ton système ("ls -l /etc/init.d/")

Avant de nous indiquer tout ça, vérifie qu'il n'y a pas de choses compromettantes sur toi ou ton serveur dans les données que tu nous transmets

Tout ça afin d'une part de nettoyer le système, mais aussi de vérifier qu'une fois le système nettoyé, il n'y a pas de backdoor pour permettre à l'attaquant de reprendre la main sur ton système.


Une fois ceci fait, tu as plusieurs choses à faire pour rendre ton système plus sur:

• changer à nouveau le mot de passe root
• changer le port ssh
• créer un utilisateur qui sera le seul autorisé en ssh puis te connecter en root à partir de cet utilisateur (l’attaquant ne connaissant pas l'utilisateur de base ton système sera beaucoup plus sur)
• faire un scan de ton système avec de scanner de vulnérabilité (lynis par exemple)
• empêcher l’authentification par mot de passe sur ssh, et passer au système de clef publique/privée, qui est beaucoup plus sure
• mettre a jour ton système ("apt-get update && apt-get upgrade")

Pour ce qui est du rapport de rkhunter, tout semble normal, mais il te conseil tout de même de ne pas autoriser l’authentification de l'utilisateur root par ssh. Le signalement de "/usr/bin/unhide.rb" indique juste que c’est un script en ruby et non un exécutable