sshd qui écoute sur le port 80

Le
JKB
Bonjour à tous,

J'ai une machine chez un tiers que je ne peux pas tenir à jour
(plantage d'un ancien serveur linux, réinstallation à l'arrache en copiant
l'ancien disque système sur le nouveau, bref, truc vraiment pas
propre). Malgré toutes mes remarques, la personne n'a jamais voulu
réinstaller proprement ce serveur et je me retrouve aujourd'hui avec
un sshd qui écoute sur le port 22 (pour son boulot normal) et aussi
sur le 80 pour effectuer une redirection en passant par dessus le
daemon apache2 tout ce qu'il y a de plus bête et rediriger vers un
site de pishing.

Le firewall filtrait tout ce qu'il fallait. Les seuls ports ouverts
étaient les 80 et 443. La machine est une debian stable (à jour d'il
y a un peu plus de six mois).

Bref, je viens de googliser, je n'ai rien trouvé à ce sujet.
Quelqu'un connaîtrait une saleté qui ressemblerait à cela ?

Cordialement,

JKB

--
Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre
masse corporelle, mais disperse à lui seul 25% de l'énergie que nous
consommons tous les jours.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Bruno Tréguier
Le #20980141
JKB wrote:

Bref, je viens de googliser, je n'ai rien trouvé à ce sujet.
Quelqu'un connaîtrait une saleté qui ressemblerait à cela ?



Bonjour,

Votre message me semble assez confus (opinion personnelle, mais comme
aucune autre réponse n'a été donnée, je suppose que je ne suis pas le
seul à me poser des questions ;-) ).

Quelle est votre question, en fin de compte ? Vous recherchez le malware
qui vous a pourri ce serveur ? Si c'est bien ça, et même si vous donniez
beaucoup plus de détails sur la machine concernée, il y a de fortes
chances que la détermination de la cause exacte du désastre passe par un
examen "post-mortem" des disques (présence de répertoires cachés, de
binaires modifiés, etc.).

Si c'est tout autre chose que vous attendez, alors merci d'expliciter un
peu plus.

Cordialement,

Bruno
JKB
Le #20980741
Le 15-01-2010, ? propos de
Re: sshd qui écoute sur le port 80,
Bruno Tréguier ?crivait dans fr.comp.securite :
JKB wrote:

Bref, je viens de googliser, je n'ai rien trouvé à ce sujet.
Quelqu'un connaîtrait une saleté qui ressemblerait à cela ?



Bonjour,

Votre message me semble assez confus (opinion personnelle, mais comme
aucune autre réponse n'a été donnée, je suppose que je ne suis pas le
seul à me poser des questions ;-) ).



Oui, bon, c'était en vrac parce que je n'avais pas encore les idées
assez précises. J'avais simplement googlisé pour trouver des cas
similaires et avoir une vague idée de l'endroit où chercher. J'avais
éliminé les techniques d'exploits courants et d'intrusion classique
sans rien trouver de probant.

Quelle est votre question, en fin de compte ? Vous recherchez le malware
qui vous a pourri ce serveur ? Si c'est bien ça, et même si vous donniez
beaucoup plus de détails sur la machine concernée, il y a de fortes
chances que la détermination de la cause exacte du désastre passe par un
examen "post-mortem" des disques (présence de répertoires cachés, de
binaires modifiés, etc.).



Je suis effectivement en train d'analyser post-mortem et j'ai touvé
un sshd dans un répertoire pas du tout caché (/opt), qui n'a pas pu
être compilé sur place vu qu'il n'y a pas de compilo sur la machine.
Je n'ai pas les sources du sshd modifié en question (c'est dommage),
mais il semble sniffer ce qui passe sur le port 80 et répondre à la
place d'apache sur certaines URL. Il génère une page pour du pishing
et entretient une base de donnée db3. C'est assez joli, compact et
discret puisqu'il ne cherche pas à se cacher. Par ailleurs, ça
installe une clef qui permet à un serveur distant de se connecter
directement en ssh ni vu ni connu.

Visiblement, il a été installé de façon plus ou moins automatique
depuis un poste Windows du LAN vérolé jusqu'à la moëlle (le poste, pas
le LAN). Ce qui me fait dire que ce n'est pas un être humain qui l'a
installé mais une procédure plus ou moins automatique, c'est que sur
ce serveur, j'ai dû remplacer l'utilitaire du système rm
par un script qui bouge les fichiers dans une queue et qui efface de
la queue les plus anciens, le rm du système étant accessible par RM.
Un être humain se serait aperçu que l'arborescence temporaire qu'il
avait créée (/opt) était toujours là alors qu'il avait installé sa
saleté dans /usr en lieu et place du vrai sshd.

Ma question était donc "est-ce que quelqu'un a déjà vu ce genre de truc ?"
parce que je suppose que c'est du courant... La question subsidiaire
est "comment s'installe-t-il sur une machine _sans_ compilo, à jour,
et au vu de la tête des mots de passe et l'utilisation d'un
fail2ban, je ne suis vraiment pas sûr que la porte d'entrée ait été
sshd" ? Les autres services ouverts sur ce serveur ne permettent pas
a priori un accès local.

JKB

--
Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre
masse corporelle, mais disperse à lui seul 25% de l'énergie que nous
consommons tous les jours.
xavier
Le #20981011
JKB
Ma question était donc "est-ce que quelqu'un a déjà vu ce genre de truc ?"
parce que je suppose que c'est du courant... La question subsidiaire
est "comment s'installe-t-il sur une machine _sans_ compilo, à jour,
et au vu de la tête des mots de passe et l'utilisation d'un
fail2ban, je ne suis vraiment pas sûr que la porte d'entrée ait été
sshd" ? Les autres services ouverts sur ce serveur ne permettent pas
a priori un accès local.



Je n'ai pas d'idée a priori, mais peut être qu'une analyse par Nessus du
poste incriminé -en montant un réseau isolé, bien sûr, avec juste ce
poste et la machine Nessus- pourait te donner des points de départs.

La machine faisait-elle serveur DNS ?

--
XAv
Disponible au 01/06/2010
JKB
Le #20981001
Le 15-01-2010, ? propos de
Re: sshd qui écoute sur le port 80,
Xavier ?crivait dans fr.comp.securite :
JKB
Ma question était donc "est-ce que quelqu'un a déjà vu ce genre de truc ?"
parce que je suppose que c'est du courant... La question subsidiaire
est "comment s'installe-t-il sur une machine _sans_ compilo, à jour,
et au vu de la tête des mots de passe et l'utilisation d'un
fail2ban, je ne suis vraiment pas sûr que la porte d'entrée ait été
sshd" ? Les autres services ouverts sur ce serveur ne permettent pas
a priori un accès local.



Je n'ai pas d'idée a priori, mais peut être qu'une analyse par Nessus du
poste incriminé -en montant un réseau isolé, bien sûr, avec juste ce
poste et la machine Nessus- pourait te donner des points de départs.

La machine faisait-elle serveur DNS ?



Oui, mais uniquement pour les postes locaux.

JKB

--
Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre
masse corporelle, mais disperse à lui seul 25% de l'énergie que nous
consommons tous les jours.
xavier
Le #20981181
JKB
> La machine faisait-elle serveur DNS ?

Oui, mais uniquement pour les postes locaux.



La vérole installé sur le Windows a pu exploiter des failles de bind. Ou
de ntpd. C'est les deux qui me viennent à l'esprit qui ont eu des
patches de sécurité dans les dernier mois. Au moins sur FreeBSD-RELEASE.
Pour Debian, euh, joker ;-)


--
XAv
Disponible au 01/06/2010
Dominique ROUSSEAU
Le #20981511
Le ven, 15 jan 2010 at 16:26 GMT, JKB [...]
Ma question était donc "est-ce que quelqu'un a déjà vu ce genre de truc ?"
parce que je suppose que c'est du courant...



Le cas précis que tu décris, non.
Mais une intrusion automatisée, pour y poser soit un site de phish, soit un
truc à spammer, c'est effectivmeent (très) courant.

La question subsidiaire
est "comment s'installe-t-il sur une machine _sans_ compilo, à jour,
et au vu de la tête des mots de passe et l'utilisation d'un
fail2ban, je ne suis vraiment pas sûr que la porte d'entrée ait été
sshd" ? Les autres services ouverts sur ce serveur ne permettent pas
a priori un accès local.



J'ai vu dans ton post que tu parlais d'Apache. De nos jours, on trouve
généralement PHP ou autre moteur de "pages dynamiques" pas loin.
C'est souvent le point d'entrée, au travers de telle ou telle appli qui a une
part un peu trop conséquente de
développeur-ça-marche-chez-moi-meme-si-je-comprends-pas-ce-que-je-fais dans son
cycle de vie.
JKB
Le #20981631
Le 15-01-2010, ? propos de
Re: sshd qui écoute sur le port 80,
Dominique ROUSSEAU ?crivait dans fr.comp.securite :
Le ven, 15 jan 2010 at 16:26 GMT, JKB [...]
Ma question était donc "est-ce que quelqu'un a déjà vu ce genre de truc ?"
parce que je suppose que c'est du courant...



Le cas précis que tu décris, non.
Mais une intrusion automatisée, pour y poser soit un site de phish, soit un
truc à spammer, c'est effectivmeent (très) courant.

La question subsidiaire
est "comment s'installe-t-il sur une machine _sans_ compilo, à jour,
et au vu de la tête des mots de passe et l'utilisation d'un
fail2ban, je ne suis vraiment pas sûr que la porte d'entrée ait été
sshd" ? Les autres services ouverts sur ce serveur ne permettent pas
a priori un accès local.



J'ai vu dans ton post que tu parlais d'Apache. De nos jours, on trouve
généralement PHP ou autre moteur de "pages dynamiques" pas loin.
C'est souvent le point d'entrée, au travers de telle ou telle appli qui a une
part un peu trop conséquente de
développeur-ça-marche-chez-moi-meme-si-je-comprends-pas-ce-que-je-fais dans son
cycle de vie.



J'ai vérifié tout ce qui tournait sur apache et le php nécessaire à
squirrelmail. Tout est correct de ce côté là.

JKB

--
Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre
masse corporelle, mais disperse à lui seul 25% de l'énergie que nous
consommons tous les jours.
Fabien LE LEZ
Le #20981771
On Fri, 15 Jan 2010 16:26:44 +0000 (UTC), JKB

"comment s'installe-t-il sur une machine _sans_ compilo



En uploadant les binaires sur la machine, au lieu des sources, non ?
JKB
Le #20981761
Le 15-01-2010, ? propos de
Re: sshd qui écoute sur le port 80,
Fabien LE LEZ ?crivait dans fr.comp.securite :
On Fri, 15 Jan 2010 16:26:44 +0000 (UTC), JKB

"comment s'installe-t-il sur une machine _sans_ compilo



En uploadant les binaires sur la machine, au lieu des sources, non ?



Ouaips, sauf que dans le cas d'une machine Unix, tu as intérêt
d'avoir exactement les mêmes bibliothèques que sur ta machine de
compilation. Debian stable n'étant pas exactement un OS qui contient
les dernières bibliothèques, c'est tout de même un coup de bol
d'uploader un binaire lié _dynamiquement_ qui fonctionne.

JKB

--
Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre
masse corporelle, mais disperse à lui seul 25% de l'énergie que nous
consommons tous les jours.
JKB
Le #20981881
Le 15-01-2010, ? propos de
Re: sshd qui écoute sur le port 80,
Fabien LE LEZ ?crivait dans fr.comp.securite :
On Fri, 15 Jan 2010 18:53:15 +0000 (UTC), JKB

d'uploader un binaire lié _dynamiquement_ qui fonctionne.



Pourquoi vieux-tu lier un binaire dynamiquement ? "-static" est là
pour éviter les problèmes de compatibilité, non ?



Parce qu'en l'occurrence, la saleté que j'ai trouvée était liée
_dynamiquement_.

JKB

--
Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre
masse corporelle, mais disperse à lui seul 25% de l'énergie que nous
consommons tous les jours.
Publicité
Poster une réponse
Anonyme