Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 03/06/2007, à 15:17

B@rtounet

Mon ubuntu est piraté

bonsoir, je viens de remarqué que mon poste venait d'etre piraté,
j'ai été alarmé par un processus qui prenait 100% cpu = pscan2

de plus en faisant un netstat j'ai bien vu les connexion actives...

softbank21903203802:ssh SYN_SENT

ce processus se lance automatiquement, et par l'utilisateur test

j'ai bien sur supprimé cet utilisateur, et désintaller provisoirement ssh, et meme fermer les ports de mon firewall... mais rien n'y fait ce processus se relance tout le temps...

comment le supprimer et comment savoir comment il a réussi à se connecter ??

Hors ligne

#2 Le 03/06/2007, à 15:31

tylhdar

Re : Mon ubuntu est piraté

pstree pour voir quel processus le lance


un matériel non compatible linux est un matériel défectueux
ubuntu 10.4 sur pc1 ; debian squeeze sur pc2

Hors ligne

#3 Le 03/06/2007, à 15:40

B@rtounet

Re : Mon ubuntu est piraté

bon deja je sais comment le méchant est entré...
c'est totalement de ma faute...
j'avais crée un utilisateur test avec password test

Jun  2 17:47:27 localhost sshd[31489]: (pam_unix) session opened for user test by (uid=0)
Jun  2 17:47:40 localhost passwd[31513]: (pam_unix) password changed for test

Hors ligne

#4 Le 03/06/2007, à 15:44

B@rtounet

Re : Mon ubuntu est piraté

après avoir coupé ma conexion un moment et remise, le processus pscan2 ne se relance pas...

comment savoir ou ce rootkit est localisé??

Hors ligne

#5 Le 03/06/2007, à 15:44

tylhdar

Re : Mon ubuntu est piraté

a ta place je reformate et je réinstalle tout


un matériel non compatible linux est un matériel défectueux
ubuntu 10.4 sur pc1 ; debian squeeze sur pc2

Hors ligne

#6 Le 03/06/2007, à 15:46

B@rtounet

Re : Mon ubuntu est piraté

bah ui ,mais mon but c'est d'apprendre à combattre ce genre d'attauqe et à s'en protéger

Hors ligne

#7 Le 03/06/2007, à 16:03

$ianur391

Re : Mon ubuntu est piraté

Referme tes ports éfface ton utilisateur que tu as crée.

J'ais une question c'est qu'elle ports qui étaient ouvert pour qui rentre?


Enfin retrouvé mon Compte xD

Hors ligne

#8 Le 03/06/2007, à 16:07

Link31

Re : Mon ubuntu est piraté

Supprime-le, tout simplement...

echo $(ls -l /proc/`ps -e | grep pscan2 | awk 'BEGIN {FS=" "}{print $1}'`/exe) | awk 'BEGIN {FS=" "}{print $11}'

Hors ligne

#9 Le 03/06/2007, à 16:11

B@rtounet

Re : Mon ubuntu est piraté

$ianur391 a écrit :

Referme tes ports éfface ton utilisateur que tu as crée.

J'ais une question c'est qu'elle ports qui étaient ouvert pour qui rentre?

bah le port 22 pour SSH

Hors ligne

#10 Le 03/06/2007, à 16:12

B@rtounet

Re : Mon ubuntu est piraté

Link31 a écrit :

Supprime-le, tout simplement...

echo $(ls -l /proc/`ps -e | grep pscan2 | awk 'BEGIN {FS=" "}{print $1}'`/exe) | awk 'BEGIN {FS=" "}{print $11}'

an2 | awk 'BEGIN {FS=" "}{print $1}'`/exe) | awk 'BEGIN {FS=" "}{print $11}'
ls: /proc//exe: Aucun fichier ou répertoire de ce type

Hors ligne

#11 Le 03/06/2007, à 16:20

Link31

Re : Mon ubuntu est piraté

B@rtounet a écrit :

ls: /proc//exe: Aucun fichier ou répertoire de ce type

Alors aucun processus pscan2 n'est lancé.

Que renvoie ps -e ?

Hors ligne

#12 Le 03/06/2007, à 17:11

B@rtounet

Re : Mon ubuntu est piraté

   TIME CMD
    1 ?        00:00:01 init
    2 ?        00:00:00 migration/0
    3 ?        00:00:06 ksoftirqd/0
    4 ?        00:00:00 watchdog/0
    5 ?        00:00:00 events/0
    6 ?        00:00:00 khelper
    7 ?        00:00:00 kthread
    9 ?        00:00:00 kblockd/0
   10 ?        00:00:00 kacpid
  115 ?        00:00:04 pdflush
  116 ?        00:00:02 pdflush
  118 ?        00:00:00 aio/0
  117 ?        00:00:08 kswapd0
  706 ?        00:00:00 kseriod
 1851 ?        00:00:00 khubd
 1955 ?        00:00:00 kjournald
 2182 ?        00:00:00 udevd
 3080 ?        00:00:00 shpchpd_event
 3452 ?        00:00:00 kjournald
 3453 ?        00:00:00 kjournald
 4025 ?        00:00:00 dd
 4027 ?        00:00:00 klogd
 4046 ?        00:00:00 dbus-daemon
 4061 ?        00:00:01 hald
 4062 ?        00:00:00 hald-runner
 4067 ?        00:00:00 hald-addon-acpi
 4117 ?        00:00:00 hald-addon-keyb
 4130 ?        00:00:19 hald-addon-stor
 4131 ?        00:00:11 hald-addon-stor
 4461 ?        00:00:00 gdm
 4478 ?        00:00:00 gdm
 4483 tty7     00:05:12 Xorg
 4505 ?        00:00:18 named
 4535 ?        00:00:00 hpiod
 4538 ?        00:00:00 python
 4626 ?        00:00:00 courierlogger
 4627 ?        00:00:00 authdaemond.pla
 4634 ?        00:00:00 authdaemond.pla
 4635 ?        00:00:00 authdaemond.pla
 4636 ?        00:00:00 authdaemond.pla
 4637 ?        00:00:00 authdaemond.pla
 4638 ?        00:00:00 authdaemond.pla
 4650 ?        00:00:00 couriertcpd
 4656 ?        00:00:00 courierlogger
 4737 ?        00:00:00 master
 4757 ?        00:00:00 qmgr
 4771 ?        00:00:00 smbd
 4832 ?        00:00:00 smbd
 4842 ?        00:00:00 hcid
 4846 ?        00:00:00 sdpd
 4864 ?        00:00:00 krfcommd
 4877 ?        00:00:00 mdadm
 4911 ?        00:00:00 atd
 4924 ?        00:00:00 cron
 4989 ?        00:00:00 miniserv.pl
 5008 tty1     00:00:00 getty
 5009 tty2     00:00:00 getty
 5010 tty3     00:00:00 getty
 5011 tty4     00:00:00 getty
 5012 tty5     00:00:00 getty
 5013 tty6     00:00:00 getty
 5026 ?        00:00:00 x-session-manag
 5068 ?        00:00:00 ssh-agent
 5071 ?        00:00:00 dbus-launch
 5072 ?        00:00:00 dbus-daemon
 5074 ?        00:00:00 gconfd-2
 5077 ?        00:00:00 gnome-keyring-d
 5079 ?        00:00:00 bonobo-activati
 5081 ?        00:00:02 gnome-settings-
 5400 ?        00:00:27 metacity
 5407 ?        00:00:14 gnome-panel
 5409 ?        00:00:16 nautilus
 5412 ?        00:00:00 gnome-volume-ma
 5419 ?        00:00:00 update-notifier
 5425 ?        00:00:00 gnome-cups-icon
 5429 ?        00:00:00 gnome-vfs-daemo
 5442 ?        00:00:00 gnome-power-man
 5446 ?        00:00:00 trashapplet
 5463 ?        00:00:00 mapping-daemon
 5465 ?        00:00:00 mixer_applet2
 5467 ?        00:00:00 clock-applet
 5528 ?        00:00:03 gnome-screensav
10136 ?        00:00:00 tlsmgr
10854 ?        00:00:00 proftpd
 9966 ?        00:00:00 cupsd
10703 ?        00:00:02 notification-da
29383 ?        00:00:00 mount.smbfs
29385 ?        00:00:09 smbiod
30782 ?        00:00:13 loop0
30796 ?        00:00:00 loop1
 9852 ?        00:00:00 scsi_eh_4
 9853 ?        00:00:00 usb-storage
31565 ?        00:00:00 screen
31566 pts/6    00:00:00 bash
19932 ?        00:00:00 acpid
19997 ?        00:00:00 apache2
20017 ?        00:00:00 apache2
20018 ?        00:00:00 apache2
20019 ?        00:00:00 apache2
20020 ?        00:00:00 apache2
20021 ?        00:00:00 apache2
20120 ?        00:00:00 syslogd
20356 ?        00:00:01 apache2
23755 ?        00:00:00 bash
23765 ?        00:00:00 apache2
23773 ?        00:00:00 apache2
25894 ?        00:00:03 screen
25895 pts/7    00:00:00 bash
 3734 ?        00:00:00 3
 3888 ?        00:00:00 smbd
 4473 ?        00:00:00 sshd
21307 ?        00:00:00 sshd
21315 pts/2    00:00:00 bash
22323 ?        00:00:00 pickup
23189 ?        00:00:01 firefox-bin
23199 ?        00:00:00 netstat <defunct>
23206 ?        00:00:00 gnome-terminal
23209 ?        00:00:00 gnome-pty-helpe
23210 pts/0    00:00:00 bash
23235 ?        00:00:00 sshd
23241 pts/1    00:00:00 bash
23259 pts/1    00:00:00 ps

tu vois quelquechose d'anormal?

le process ne semble plus se lancer...

par contre comment expliquer qu'au départ il arrivait à se relancer en tant qu'utilisateur test aprs même avoir supprimer cet utilisateur

quel est le but ce ce pscan ???
en fait je pense qu'il scan les port grace à mon poste, comme c'est une action interdite, c'est mon ip qui prendrai

Dernière modification par B@rtounet (Le 03/06/2007, à 17:14)

Hors ligne

#13 Le 03/06/2007, à 17:26

Link31

Re : Mon ubuntu est piraté

B@rtounet a écrit :

tu vois quelquechose d'anormal?

En supposant que tu ais installé toi-même apache, samba, un loopback, postfix, etc... je ne vois qu'un processus potentiellement anormal :

3734 ?        00:00:00 3

Je n'ai jamais vu de programme nommé "3". Essaie ça pour trouver où est installé l'exécutable :

ls -l /proc/3734/exe

En ce qui concerne pscan2, s'il n'est pas lancé, c'est plus difficile de le trouver. Commence par vérifier s'il est dans un des dossiers du PATH :

which pscan2

Si il n'y est pas, alors réindexe l'intégralité de tes fichiers et cherche-le avec locate :

sudo updatedb
locate pscan2
B@rtounet a écrit :

quel est le but ce ce pscan ???
en fait je pense qu'il scan les port grace à mon poste, comme c'est une action interdite, c'est mon ip qui prendrai

Je ne crois pas qu'il soit interdit de scanner les ports d'un serveur... Qu'il soit interdit d'y pénétrer, d'accord, mais de le scanner... roll

Hors ligne

#14 Le 03/06/2007, à 17:28

B@rtounet

Re : Mon ubuntu est piraté

si si j'ai lu qu'il etait interdit de scanner les port des toute machine ne t'appartenant pas...

en tous cas voila le méchant

Jun  2 17:47:27 localhost sshd[31483]: Accepted password for test from 82.79.88.197 port 3592 ssh

Dernière modification par B@rtounet (Le 03/06/2007, à 17:29)

Hors ligne

#15 Le 03/06/2007, à 17:31

B@rtounet

Re : Mon ubuntu est piraté

 1 1001 1001 0 2007-06-03 18:00 /proc/3734/exe -> /tmp/upxAV2YMJYADUV (deleted)

which et locate ne renvoie rien

Dernière modification par B@rtounet (Le 03/06/2007, à 17:36)

Hors ligne

#16 Le 03/06/2007, à 17:43

Balkoth

Re : Mon ubuntu est piraté

Si tu as supprimé l'utilisateur test, mais sans supprimer son dossier personnel /home/test, il y a de grande chances que tu trouves des fichiers intéressants dedans.
Regarde notamment les fichiers cachés (ls -a /home/test/) et le log de bash (/home/test/.bash_history).

Hors ligne

#17 Le 03/06/2007, à 18:33

Link31

Re : Mon ubuntu est piraté

B@rtounet a écrit :
 1 1001 1001 0 2007-06-03 18:00 /proc/3734/exe -> /tmp/upxAV2YMJYADUV (deleted)

Ah, il est plus coriace que ce que je croyais... Un vrai rootkit wink

sudo apt-get install chkrootkit
B@rtounet a écrit :

which et locate ne renvoie rien

Si tu as bien mis à jour la base de données avec updatedb, ça signifie que le fichier n'est plus présent sur le disque. Ça a fait toujours ça de moins, mais reste vigilant, et regarde ce que peut faire chkrootkit.

Hors ligne

#18 Le 03/06/2007, à 18:39

B@rtounet

Re : Mon ubuntu est piraté

il ne trouve rien, j'ai dut supprimer ce rootkit en supprimant l'utilisateur ainsi que son home

Hors ligne

#19 Le 03/06/2007, à 18:41

B@rtounet

Re : Mon ubuntu est piraté

quel est le meilleur moyen de surveiller si un rootkit n'est pas installé.?

Hors ligne

#20 Le 03/06/2007, à 19:09

Link31

Re : Mon ubuntu est piraté

B@rtounet a écrit :

quel est le meilleur moyen de surveiller si un rootkit n'est pas installé.?

Je dirais, surveiller ses logs de connexion et le trafic réseau. Le problème avec les rootkits, c'est que par définition, ils font tout pour ne pas se faire remarquer.

Hors ligne

#21 Le 03/06/2007, à 19:32

B@rtounet

Re : Mon ubuntu est piraté

quels sont les logs les plus parlants?
auth
syslog
netstat

Hors ligne

#22 Le 03/06/2007, à 19:39

Link31

Re : Mon ubuntu est piraté

Eh bien... tous. Chacun a son utilité. Il vaut mieux surveiller auth.log si on veut être averti des tentatives d'intrusion (réussies ou non), mais les autres logs ne sont pas à négliger.

Hors ligne

#23 Le 03/06/2007, à 22:09

Jonon

Re : Mon ubuntu est piraté

B@rtounet, tu peux essayer Rootkit Hunter, avec un petit tuto de base pour installer sous Ubuntu par là.


hype_ @ freenode|hyp3 @ twitter | Ceci n'est pas un Blag

Hors ligne

#24 Le 03/06/2007, à 22:12

B@rtounet

Re : Mon ubuntu est piraté

Ok merci à tous smile

Hors ligne

#25 Le 28/01/2014, à 09:25

jegouzet

Re : Mon ubuntu est piraté

Bonjour,
Je viens de m'apercevoir Que mes Pc étaient infectés par des rootkits.
J'ai fait un scan
Résultat d'analyse RKHUNTER du 11/01/2014
jcj@jcj-MS-7808:~$ sudo rkhunter --checkall --report-warnings-only
[sudo] password for jcj:
Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text
Warning: User 'postfix' has been added to the passwd file.
Warning: Group 'postfix' has been added to the group file.
Warning: Group 'postdrop' has been added to the group file.
Warning: Suspicious file types found in /dev:
/dev/.udev/rules.d/root.rules: ASCII text
Warning: Hidden directory found: '/dev/.udev'
Warning: Hidden file found: /dev/.initramfs: symbolic link to '/run/initramfs'
jcj@jcj-MS-7808:~$
jcj @ jcj-MS-7808: ~ $ sudo rkhunter - CheckAll - Rapport-garde seule
[sudo] mot de passe pour JCJ:
Attention: La commande "/ usr / bin / unhide.rb» a été remplacé par un script: / usr / bin / unhide.rb: un script Ruby, texte ASCII
Avertissement: L'utilisateur "postfix" a été ajoutée au fichier passwd.
Attention: 'postfix' Groupe a été ajouté au fichier de groupe.
Attention: 'postdrop' Groupe a été ajouté au fichier de groupe.
Types de fichiers suspect trouvé dans / dev: avertissement:
/ dev / .udev / rules.d / root.rules: texte ASCII
Attention: le répertoire caché trouvé: "/ dev / .udev '
Attention: Hidden fichier trouvé: / dev / .initramfs: lien symbolique vers '/ run / initramfs»
je voudrais pouvoir me débarrasser de ces merdes.
meci de m'aider
JCJ

Hors ligne