Discussion :

[lo_schil]

Bonjour à tous,

J'ai depuis quelques temps un phénomène bizarre sur mon install de vmware server 2 sur ubuntu server.
De plus en plus souvent, mon réseau semble saturé, et après des recherches j'ai trouvé que le responsable était vmware server, notamment 2 processus très louches qui pointent vers des adresses ip publiques .

exemple des derniers en date :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
vmware   29882  2008  0 Jul21 ?        00:00:00 /bin/sh -c ./s 80.229.1.210 0
vmware   29883 29882 99 Jul21 ?        08:12:16 ./s 80.229.1.210 0

les adresses sont variables, mais en faisant des whois, ça pointe des fois sur une société en Inde, une autre fois en Pologne ... (à priori !)

Cela provoque de telles collisions ip que ma freebox sature et je n'ai plus accès au net (même l'écran tactile de celle ci est ralenti !)

La seule solution que j'ai trouvé pour l'instant est de redémarrer le serveur et la freebox ...

J'ai depuis sécurisé un peu plus mon serveur mais ça continue...


Quelqu'un a t-il déjà observé ce phénomène ?

merci d'avance

LS

[sevyc64]

Un scan complet avec un antivirus à jour, ainsi qu'un scan complet avec un antimalware à jour sur la vm incriminée sera déjà un bon départ.

Tu précise pas, le trafic sur ces adresses est entrant ou sortant ?

[Invité]

Salut,

Tu peux aussi scanner les éventuels rootkits avec rkhunter qui devrait se trouver dans le dépôt ubuntu.

lister également l'arborescence des process

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
pstree <process_id_suspect>

et voir les fichiers/sockets ouverts par ces processus.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
lsof -p <process_id_suspect>

Je te conseille également de débrancher ce serveur d'internet le temps de faire les analyse nécessaires.

[lo_schil]

Merci pour les réponses,

Je lancerais ces analyse la prochaine fois que ces process apparaitront, car en fait ils ne sont actifs qu'au bout de plusieurs heures d'activité de vmware server.
(1 ou 2 fois par jour).
Et ils ne semblent dépendre d'aucune des mes 3 machines virtuelles.

Par contre comment puis-je analyser le trafic sur ces adresses ?

[lo_schil]

Bon alors voici les dernières analyse :

les process qui tournent

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
vmware    2124  1580  0 09:47 ?        00:00:00 /bin/sh -c ./s 123.167.5.145 808                                                                              0
vmware    2125  2124 32 09:47 ?        00:50:40 ./s 123.167.5.145 8080
loic      4439  4409  0 12:25 pts/0    00:00:00 grep --color=auto vm

les fichiers ouverts :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
sudo lsof -p 2125
COMMAND  PID   USER   FD   TYPE DEVICE SIZE/OFF    NODE NAME
s       2125 vmware  cwd    DIR   8,65     4096 5636405 /home/vmware/-
s       2125 vmware  rtd    DIR   8,65     4096       2 /
s       2125 vmware  txt    REG   8,65    15078 5636421 /home/vmware/-/s
s       2125 vmware  mem    REG   8,65  1421892 7606134 /lib/libc-2.12.1.so
s       2125 vmware  mem    REG   8,65   118084 7606131 /lib/ld-2.12.1.so
s       2125 vmware    0u  sock    0,6      0t0    9675 can't identify protocol

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
COMMAND  PID   USER   FD   TYPE DEVICE SIZE/OFF    NODE NAME
sh      2124 vmware  cwd    DIR   8,65     4096 5636405 /home/vmware/-
sh      2124 vmware  rtd    DIR   8,65     4096       2 /
sh      2124 vmware  txt    REG   8,65    87984  524296 /bin/dash
sh      2124 vmware  mem    REG   8,65  1421892 7606134 /lib/libc-2.12.1.so
sh      2124 vmware  mem    REG   8,65   118084 7606131 /lib/ld-2.12.1.so
sh      2124 vmware    0u  sock    0,6      0t0    9675 can't identify protocol
sh      2124 vmware    3u  IPv4   9674      0t0     UDP *:49316
sh      2124 vmware    5u   REG   8,65        0 1048585 /tmp/tmpf2MXJHM (deleted

ainsi que ça (ça parait très bizarre)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
:~$ sudo pstree 2124
shâââs
:~$ sudo pstree 2125
s

Je ne suis pas un expert en sécurité Linux ... Please, une idée ?

[Invité]

Peux-tu installer rkhunter comme demander plus haut et scanner le serveur.