Bonjour,
Nous hébergeons de nombreux sites web pour la plupart reliés à une base de données.
Nos serveurs sont tous des Linux noyau 2.6 (distribution slackware).
Le serveur HTTP est apache (branche 2.2), les développements sont fait en PHP (branche 5.2) et la base de données est MySQL (branche 5.0).
Les développeurs sont des intervenants extérieurs avec plus ou moins de connaissances.
Aujourd'hui nous avons un script qui est déclenché, nous le pensons, par un accès à une page et qui tente (qui tente car nous avons des firewalls qui bloquent ces tentatives) des connexions vers le port 6667 en tcp d'une multitude d'adresses IP environ toutes les heures ou demi-heure ceci dépendant du moment dans la journée.
Le nombre de possibilités pour cacher un code pourri est impressionnante, nous ne pouvons pas fouiller toutes les données (html, css, sql, php, ...)
Nous avons exploré plusieurs pistes, nous en sommes au moment, où quelques conseils extérieurs, expériences externes peuvent être les bienvenus.
Nous avons exploré, au niveau apache, mod_dumpio et mod_ext_filter, au niveau réseau nous avons fait quelques captures tcpdump.
tcpdump ne nous a rien apporté qui aurait pu nous permettre d'identifier le script fautif, il nous a simplement confirmé les tentatives de connexions et quelques autres paramètres.
mod_dumpio nous posent un problème, il est configurable en "Server config" donc nous ne pouvons pas "dumper" juste un site. Nous enregistrons un trafic très important d'où la difficulté d'analyse des informations enregistrées.
mod_ext_filter est peut être la solution, nous avons écrit un script en PERL qui enregistre l'environnement et les premiers caractères des données envoyés par le serveur.
En recoupant ces informations avec l'analyse des logs d'apache en se basant sur les dates et heures des tentatives de connexions et en essayant d'analyser les modifications enregistrées sur les fichiers le jour du début de ces tentatives nous espérons retrouver le script ou au moins le site à partir du quel le script est déclenché.
Nous avons l'impression qu'il y a peut être mieux, moins empirique. Si vous avez une expérience sur le sujet "your welcome".
Merci de nous avoir lu.
Partager