Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

trojan sur Ubuntu 14.04 LTS serveur

jmax

bonjour,
Ce week-end, j'ai eu la mauvaise surprise de voir mon Ubuntu serveur 14.04 LTS hacké. C'était une installation sur serveur Kimsufi OVH dédié, mis à jour régulièrement et en l’occurrence, 24 heures avant.
Il semble que ce soit BillGates (si,si) qui soit installé et j'ai pu constater que /usr/bin/lsof, /bin/ps, /bin/netstat étaient modifiés ainsi que des scripts créés dans /etc/init.d (selinux et DbSecuritySpt) ainsi que dans /etc/rc*.d
Tout ceci était fait avec le compte root (installé par défaut avec la distrib ovh) mais j'ai un fail2ban qui tourne et le mot de passe de root est assez compliqué (mélange de chiffres et lettres) pour résister à une attaque dictionnaire. Aucune trace évidente dans les fichiers de log.
Aussi, je doute qu'ils soient passés par le ssh mais il n'y a pas grand chose d'autre qui tourne, à part le postfix.
Y aurait-il une faille dans des services système ?

bruno

Bonjour,

Il semble bien qu'il s’agisse de cela : http://news.drweb.com/show/?i=5801&lng=en . Il y a de très nombreuses ressources sur le web sur ce Troyen connu depuis février 2014. Il y a même un outil pour surveiller l’activité du Botnet résultant : https://github.com/ValdikSS/billgates-botnet-tracker

Des diverses informations disponibles, il ressort que ce Troyen est installé manuellement sur des machines dont le compte root est accessible par SSH avec un mot de passe faible (un mélange de chiffres et de lettres n'est pas un critère de fiabilité pour un mot de passe)

Il faudrait examiner les logs, notamment auth.log mais je suppose que s'il s'agit d'une attaque manuelle, les traces ont été effacés.

Quant au serveur, le mieux est de réinstaller complètement et de bloquer l'accès SSH à l'utilisateur root ou de l'autoriser que par clé.

tiramiseb

Salut,

Il y a un truc que je ne comprend pas : tu n'as que Postfix sur ce système ? C'est un relais SMTP, ça ne fait rien d'autre ?
Concernant le compte, il n'y a que "root" dessus, ou alors aussi d'autres utilisateurs ?

Sinon, (surtout par curiosité) comment as-tu remarqué que ton serveur avait été cracké (et non "hacké") ?

tiramiseb

À part ça, je suis d'accord avec bruno : le mieux est de réinstaller complètement et de n'autoriser l'accès à root que par clé SSH.

jmax

réinstallé et rehacké, ce qui semble logique
le mot de passe de root est avec 18 lettres et chiffres aléatoires

tiramiseb

Tu n'as pas répondu à mon message #3.

jmax

les trojans sont installés sous root et pour les trouver, lsof, netstat même taille et datés du jour

SilentStorm

ça m'étonnerai que tu es eu un trojan si le mdp root est complexe, désolé mais j'ai un doute sur ton histoire, il doit y avoir une explication logique pour expliquer ton problème.

De plus en ssh par internet il est conseillé d'utiliser plutôt le système de clé privé/publique plutôt que par mdp.

tiramiseb

Pour ma part, sans réponse précise à mes questions précises, je ne continue pas à participer...

jmax

De même, merci de clore la discussion

tiramiseb

Si tu veux "clore" la discussion, il faut éditer le premier message pour ajouter une menton dans le titre, comme "[je ne souhaite plus de réponse]"...