Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Mon ubuntu est piraté

B@rtounet

bonsoir, je viens de remarqué que mon poste venait d'etre piraté,
j'ai été alarmé par un processus qui prenait 100% cpu = pscan2

de plus en faisant un netstat j'ai bien vu les connexion actives...

softbank21903203802:ssh SYN_SENT

ce processus se lance automatiquement, et par l'utilisateur test

j'ai bien sur supprimé cet utilisateur, et désintaller provisoirement ssh, et meme fermer les ports de mon firewall... mais rien n'y fait ce processus se relance tout le temps...

comment le supprimer et comment savoir comment il a réussi à se connecter ??

tylhdar

pstree pour voir quel processus le lance

B@rtounet

bon deja je sais comment le méchant est entré...
c'est totalement de ma faute...
j'avais crée un utilisateur test avec password test

Jun  2 17:47:27 localhost sshd[31489]: (pam_unix) session opened for user test by (uid=0)
Jun  2 17:47:40 localhost passwd[31513]: (pam_unix) password changed for test

B@rtounet

après avoir coupé ma conexion un moment et remise, le processus pscan2 ne se relance pas...

comment savoir ou ce rootkit est localisé??

tylhdar

a ta place je reformate et je réinstalle tout

B@rtounet

bah ui ,mais mon but c'est d'apprendre à combattre ce genre d'attauqe et à s'en protéger

$ianur391

Referme tes ports éfface ton utilisateur que tu as crée.

J'ais une question c'est qu'elle ports qui étaient ouvert pour qui rentre?

Link31

Supprime-le, tout simplement...

echo $(ls -l /proc/`ps -e | grep pscan2 | awk 'BEGIN {FS=" "}{print $1}'`/exe) | awk 'BEGIN {FS=" "}{print $11}'

B@rtounet

$ianur391 a écritReferme tes ports éfface ton utilisateur que tu as crée.

J'ais une question c'est qu'elle ports qui étaient ouvert pour qui rentre?

bah le port 22 pour SSH

B@rtounet

Link31 a écritSupprime-le, tout simplement...

echo $(ls -l /proc/`ps -e | grep pscan2 | awk 'BEGIN {FS=" "}{print $1}'`/exe) | awk 'BEGIN {FS=" "}{print $11}'

an2 | awk 'BEGIN {FS=" "}{print $1}'`/exe) | awk 'BEGIN {FS=" "}{print $11}'
ls: /proc//exe: Aucun fichier ou répertoire de ce type

Link31

B@rtounet a écrit
ls: /proc//exe: Aucun fichier ou répertoire de ce type

Alors aucun processus pscan2 n'est lancé.

Que renvoie ps -e ?

B@rtounet

   TIME CMD
    1 ?        00:00:01 init
    2 ?        00:00:00 migration/0
    3 ?        00:00:06 ksoftirqd/0
    4 ?        00:00:00 watchdog/0
    5 ?        00:00:00 events/0
    6 ?        00:00:00 khelper
    7 ?        00:00:00 kthread
    9 ?        00:00:00 kblockd/0
   10 ?        00:00:00 kacpid
  115 ?        00:00:04 pdflush
  116 ?        00:00:02 pdflush
  118 ?        00:00:00 aio/0
  117 ?        00:00:08 kswapd0
  706 ?        00:00:00 kseriod
 1851 ?        00:00:00 khubd
 1955 ?        00:00:00 kjournald
 2182 ?        00:00:00 udevd
 3080 ?        00:00:00 shpchpd_event
 3452 ?        00:00:00 kjournald
 3453 ?        00:00:00 kjournald
 4025 ?        00:00:00 dd
 4027 ?        00:00:00 klogd
 4046 ?        00:00:00 dbus-daemon
 4061 ?        00:00:01 hald
 4062 ?        00:00:00 hald-runner
 4067 ?        00:00:00 hald-addon-acpi
 4117 ?        00:00:00 hald-addon-keyb
 4130 ?        00:00:19 hald-addon-stor
 4131 ?        00:00:11 hald-addon-stor
 4461 ?        00:00:00 gdm
 4478 ?        00:00:00 gdm
 4483 tty7     00:05:12 Xorg
 4505 ?        00:00:18 named
 4535 ?        00:00:00 hpiod
 4538 ?        00:00:00 python
 4626 ?        00:00:00 courierlogger
 4627 ?        00:00:00 authdaemond.pla
 4634 ?        00:00:00 authdaemond.pla
 4635 ?        00:00:00 authdaemond.pla
 4636 ?        00:00:00 authdaemond.pla
 4637 ?        00:00:00 authdaemond.pla
 4638 ?        00:00:00 authdaemond.pla
 4650 ?        00:00:00 couriertcpd
 4656 ?        00:00:00 courierlogger
 4737 ?        00:00:00 master
 4757 ?        00:00:00 qmgr
 4771 ?        00:00:00 smbd
 4832 ?        00:00:00 smbd
 4842 ?        00:00:00 hcid
 4846 ?        00:00:00 sdpd
 4864 ?        00:00:00 krfcommd
 4877 ?        00:00:00 mdadm
 4911 ?        00:00:00 atd
 4924 ?        00:00:00 cron
 4989 ?        00:00:00 miniserv.pl
 5008 tty1     00:00:00 getty
 5009 tty2     00:00:00 getty
 5010 tty3     00:00:00 getty
 5011 tty4     00:00:00 getty
 5012 tty5     00:00:00 getty
 5013 tty6     00:00:00 getty
 5026 ?        00:00:00 x-session-manag
 5068 ?        00:00:00 ssh-agent
 5071 ?        00:00:00 dbus-launch
 5072 ?        00:00:00 dbus-daemon
 5074 ?        00:00:00 gconfd-2
 5077 ?        00:00:00 gnome-keyring-d
 5079 ?        00:00:00 bonobo-activati
 5081 ?        00:00:02 gnome-settings-
 5400 ?        00:00:27 metacity
 5407 ?        00:00:14 gnome-panel
 5409 ?        00:00:16 nautilus
 5412 ?        00:00:00 gnome-volume-ma
 5419 ?        00:00:00 update-notifier
 5425 ?        00:00:00 gnome-cups-icon
 5429 ?        00:00:00 gnome-vfs-daemo
 5442 ?        00:00:00 gnome-power-man
 5446 ?        00:00:00 trashapplet
 5463 ?        00:00:00 mapping-daemon
 5465 ?        00:00:00 mixer_applet2
 5467 ?        00:00:00 clock-applet
 5528 ?        00:00:03 gnome-screensav
10136 ?        00:00:00 tlsmgr
10854 ?        00:00:00 proftpd
 9966 ?        00:00:00 cupsd
10703 ?        00:00:02 notification-da
29383 ?        00:00:00 mount.smbfs
29385 ?        00:00:09 smbiod
30782 ?        00:00:13 loop0
30796 ?        00:00:00 loop1
 9852 ?        00:00:00 scsi_eh_4
 9853 ?        00:00:00 usb-storage
31565 ?        00:00:00 screen
31566 pts/6    00:00:00 bash
19932 ?        00:00:00 acpid
19997 ?        00:00:00 apache2
20017 ?        00:00:00 apache2
20018 ?        00:00:00 apache2
20019 ?        00:00:00 apache2
20020 ?        00:00:00 apache2
20021 ?        00:00:00 apache2
20120 ?        00:00:00 syslogd
20356 ?        00:00:01 apache2
23755 ?        00:00:00 bash
23765 ?        00:00:00 apache2
23773 ?        00:00:00 apache2
25894 ?        00:00:03 screen
25895 pts/7    00:00:00 bash
 3734 ?        00:00:00 3
 3888 ?        00:00:00 smbd
 4473 ?        00:00:00 sshd
21307 ?        00:00:00 sshd
21315 pts/2    00:00:00 bash
22323 ?        00:00:00 pickup
23189 ?        00:00:01 firefox-bin
23199 ?        00:00:00 netstat <defunct>
23206 ?        00:00:00 gnome-terminal
23209 ?        00:00:00 gnome-pty-helpe
23210 pts/0    00:00:00 bash
23235 ?        00:00:00 sshd
23241 pts/1    00:00:00 bash
23259 pts/1    00:00:00 ps

tu vois quelquechose d'anormal?

le process ne semble plus se lancer...

par contre comment expliquer qu'au départ il arrivait à se relancer en tant qu'utilisateur test aprs même avoir supprimer cet utilisateur

quel est le but ce ce pscan ???
en fait je pense qu'il scan les port grace à mon poste, comme c'est une action interdite, c'est mon ip qui prendrai

Link31

B@rtounet a écrittu vois quelquechose d'anormal?

En supposant que tu ais installé toi-même apache, samba, un loopback, postfix, etc... je ne vois qu'un processus potentiellement anormal :

3734 ?        00:00:00 3

Je n'ai jamais vu de programme nommé "3". Essaie ça pour trouver où est installé l'exécutable :

ls -l /proc/3734/exe

En ce qui concerne pscan2, s'il n'est pas lancé, c'est plus difficile de le trouver. Commence par vérifier s'il est dans un des dossiers du PATH :

which pscan2

Si il n'y est pas, alors réindexe l'intégralité de tes fichiers et cherche-le avec locate :

sudo updatedb
locate pscan2

B@rtounet a écritquel est le but ce ce pscan ???
en fait je pense qu'il scan les port grace à mon poste, comme c'est une action interdite, c'est mon ip qui prendrai

Je ne crois pas qu'il soit interdit de scanner les ports d'un serveur... Qu'il soit interdit d'y pénétrer, d'accord, mais de le scanner... :rolleyes:

B@rtounet

si si j'ai lu qu'il etait interdit de scanner les port des toute machine ne t'appartenant pas...

en tous cas voila le méchant

Jun  2 17:47:27 localhost sshd[31483]: Accepted password for test from 82.79.88.197 port 3592 ssh

B@rtounet

 1 1001 1001 0 2007-06-03 18:00 /proc/3734/exe -> /tmp/upxAV2YMJYADUV (deleted)

which et locate ne renvoie rien

Balkoth

Si tu as supprimé l'utilisateur test, mais sans supprimer son dossier personnel /home/test, il y a de grande chances que tu trouves des fichiers intéressants dedans.
Regarde notamment les fichiers cachés (ls -a /home/test/) et le log de bash (/home/test/.bash_history).

Link31

B@rtounet a écrit

 1 1001 1001 0 2007-06-03 18:00 /proc/3734/exe -> /tmp/upxAV2YMJYADUV (deleted)

Ah, il est plus coriace que ce que je croyais... Un vrai rootkit 😉

sudo apt-get install chkrootkit

B@rtounet a écritwhich et locate ne renvoie rien

Si tu as bien mis à jour la base de données avec updatedb, ça signifie que le fichier n'est plus présent sur le disque. Ça a fait toujours ça de moins, mais reste vigilant, et regarde ce que peut faire chkrootkit.

B@rtounet

il ne trouve rien, j'ai dut supprimer ce rootkit en supprimant l'utilisateur ainsi que son home

B@rtounet

quel est le meilleur moyen de surveiller si un rootkit n'est pas installé.?

Link31

B@rtounet a écritquel est le meilleur moyen de surveiller si un rootkit n'est pas installé.?

Je dirais, surveiller ses logs de connexion et le trafic réseau. Le problème avec les rootkits, c'est que par définition, ils font tout pour ne pas se faire remarquer.

Page suivante »