web-dev-qa-db-fra.com

Aidez-moi! Mon serveur a été piraté - .IptabLes et .IptabLex dans / boot

J'utilise un serveur Ubuntu 6.06 dapper et il a été piraté. J'admettrai d'emblée que je suis un programmeur et non un administrateur système, alors même si je travaille avec Unix/Linux depuis des années, mes compétences en tant qu'administrateur système sont extrêmement faibles.

I Hébergez un site Web qui exécute Apache 2 et Tomcat afin de servir une application Web Struts basée sur Java. Les performances du site devenaient vraiment mauvaises et après avoir fouillé pour essayer de comprendre le problème, j'ai découvert qu'un répertoire temporaire de mon répertoire personnel était en train de se remplir de fichiers appelés getsetup.hb. *

C’était nouveau, alors j’en ai creusé un peu plus et j’ai découvert, en exécutant ps -ef, que quelques processus étaient en cours d’exécution et que je n’étais pas au courant. IptabLex

J'ai cherché sur le Web un indice sur la nature de ces fichiers et j'ai essayé de lancer netstat pour voir quels hôtes étrangers étaient connectés. .IptabLes et .IptabLex étaient tous deux connectés à des adresses IP appartenant à China Telecom.

Cela a été un choc pour moi parce que j'avais le logiciel de pare-feu iptables configuré pour qu'il autorise uniquement les connexions au serveur Web sur le port 80 et que ssh sur le port 22 soit limité à une adresse IP statique que j'utilise à la maison afin de pouvoir accéder au serveur à distance.

J'ai tué les processus, supprimé les fichiers du répertoire/boot et également trouvé des copies à la racine et dans/usr que j'ai supprimées. J'ai aussi changé le mot de passe root.

En me connectant à nouveau aujourd'hui, je constate que tous les fichiers sont de retour et que la connexion aux adresses IP de China Telecom a été rétablie.

Je ne sais pas comment procéder ici. S'il vous plaît pardonnez mon ignorance, mais j'espère que quelqu'un pourra me dire comment procéder à partir d'ici pour résoudre ce problème. Toutes les suggestions sont les bienvenues.

Merci d'avance.

Mike

sshsecurityfirewalliptables
3
user237315

Comme Thomas l'a dit dans son commentaire, 6.06 est bien passé la fin de la vie. Vous devez engager un responsable Linux dès que possible et vous aider dans le processus de mise à niveau.

En attendant, pas de panique! détendez-vous et lisez les sujets populaires suivants:

Comment savez-vous que votre serveur a été compromis?

Comment savoir si mon serveur Linux a été piraté?

J'espère que vous trouverez le meilleur moyen de traiter votre serveur compromis en lisant la question canonique suivante:

Comment puis-je traiter avec un serveur compromis?

Bonne chance!

3
Achu

Je ferais ce qui a été suggéré dans les commentaires ci-dessus, mais rappelez-vous, mettez le serveur hors ligne, comme s'il avait été ajouté à un botnet, il n'attaquerait pas les autres machines et ne ferait en sorte que les autres traversent.

Supprimez les fichiers et, si votre ordinateur utilise le protocole ftp/ssh, supprimez également tous ces fichiers de configuration *, car ceux-ci contiendront probablement des clés RSA, etc., de sorte que ceux qui le piratent n'ont pas besoin de mot de passe. Mais cela ne résoudra pas le problème, seule une réinstallation suffira:

*Les fichiers de configuration seront dans .ssh/ etc. dans vos répertoires personnels, qui peuvent également se trouver dans /root, /, etc.

0
Wilf