Attaque de mon serveur web?

par **theju** » 27 Jan 2006 12:51

Bonjour a tous,

J'ai un petit voir meme un gros probleme avec un serveur web.

Le serveur est un serveur sous debian stable avec noyau 2.6.8-1-386. Les mises a jours sont faites quasiment tous les jours

J'ai 2 sites dessus avec quelques programmes (analyses de sequences ADN et proteiques -> Blast2, clustalw et boxhade).

Au bout d'un moment mon serveur bouffe toute la bande passante de la fac et rend le reseau extremement lent.
Un petit netsat -tunap sur le serveur et je vois 10 bonnes connections du type

Code: Tout sélectionner: tcp 0 0 192.168.1.2:ports differents(ou indentiques) 64.46.76.158:5454 ESTABLISHED 13059/klogd

Avant que ces lignes n'apparaissent, je n'avait aucun soucis, le jour ou ca apparait j'ai un bon phenomenal de pckets transmits.

Avez vous une idee de ce que ca peut etre ? chkrootkit donne rien, je vois rien d'autre de bizarre...

J'ai transferer mes sites sur un autre serveur et rebelotte, les memes connexions avec la meme adresse IP, plantage total du reseau ...

Pour le moment j'ai bloque tout le trafic vers/depuis cette ip mais j'aimerais comprendre d'ou ca peu venir ....

Autres infos :
apache2
mysql 4.0.24
postgresql 7.4.7
mysql 4.0.24 avec
sites webs en php developpés par moi et code pas du tout optimisés + outil de stats php-stats
si besoin d'autre chose...

Merci de votre aide

Juju

par **S0l0** » 27 Jan 2006 16:48

une attaque sur ton systeme sur ton service klogd ( a moins de disposer d'un serveur de log distant)
mais le probleme c'est que les dernieres attaques de klogd date de 2000 donc il faudrait dans la mesure du possible fournir une parti (ip masquer) de vos logs

par **theju** » 27 Jan 2006 17:00

Non, pas de serveur de logs distant, quels sont les logs necessaires ?
Ce qui me parait etrange c'est que les serveurs sont a jour et dans la version stable de debian...

J'attends les ordres et jenvoie mes logs.

Juju

par **S0l0** » 27 Jan 2006 17:25

deja regarde dans /var/log/messages avec l'heure du debut de 'ton anormalite' ce qui s'est passez un service qui defaille (possible et empiete sur le terrain de kogd meme si peut probable) ou autres

par **theju** » 27 Jan 2006 20:43

Toutes les heures syslogd redemare correctement sauf tous les jours a 6h26 :

Code: Tout sélectionner: Jan 19 06:26:16 localhost kernel: device eth0 left promiscuous mode Jan 19 06:26:17 localhost kernel: device eth0 entered promiscuous mode Jan 19 06:26:20 localhost syslogd 1.4.1#17: restart. Jan 19 06:26:22 localhost tripwire[25947]: Integrity Check Failed: File could not be opened.

Je vois rien d'autre dans les autres logs ...

par **S0l0** » 27 Jan 2006 21:59

comment ca se fait que ton serveur se met en mode promiscuous :shock:

as-tu pensee a utiliser lsof ou ps pour voir ce qui se passe avec tes process(as-tu penser au fait que tous tes binaires pour un eventuel audit aurait pu etre corrompu) ....
voir meme a faire l'analyse en remontant tes partitions en lecture seul dans le cas ou il y aurait vraiment eue intrusion .....
contact moi par MP ,au fait c'est sur quel OS linux ,mais quel distrib car apache 2 selon les distrib est plus ou moins vulnerable et les script php(ils sont comment :wink:

)

PS:pour quel raison syslog redemarre t-il toute les heures :?:

par **micjack** » 27 Jan 2006 22:18

Promiscuous, concerne la carte et non pas un log concernant un serveur... Regarde dans /var/log/messages , tout le monde a cela sur ses ethx..

En gros, c'est que la carte accepte les entrées, sorties... Rien d'anormal à cela...

Les attaques sont loguées dans /var/log/secure

syslog inside

par **S0l0** » 27 Jan 2006 22:24

micjack a écrit:Promiscuous, concerne la carte et non pas un log concernant un serveur.

j'avais compris que c'etait la carte

micjack a écrit:En gros, c'est que la carte accepte les entrées, sorties... Rien d'anormal à cela...

Si
mon dieu toi aussi t'es bon pour un audit de secu :wink:

Quand la carte reseaux se met en mode promiscuous cela sous entend qu'un binaire (qu'importe le soft) la fait faut s'assurer que la carte la fait parce TU as installer sinon la befti c'est la http://www.interieur.gouv.fr/rubriques/ ... esentation

nb:preferer syslogng a syslog

par **micjack** » 27 Jan 2006 22:33

S0l0 nous raconte puis a écrit:mon dieu toi aussi t'es bon pour un audit de secu

C'est toi qui n'a rien compris, une carte est une carte (une interface)... Un filtrage derriere, est autre chose ... M'enfin! ](*,)

par **Franck78** » 27 Jan 2006 22:49

micjack a écrit:En gros, c'est que la carte accepte les entrées, sorties... Rien d'anormal à cela...

Si car elle n'a absolument aucune raison de passer en 'promiscuis' pendant une exploitation normale du serveur. Ce mode bypass principalement l'élimination des trames n'ayant pas la mac address de la carte en destination. Le but est qu'un sniffer recoive le max d'info pour analyser le réseau.
Donc pas de tcpdump ou autre etherreal=>promiscuis douteux!

Dès fois, une méthode bourrin s'impose: grep 64.46.76.158 dans les fichiers de la machine. Un peu de bol, sair-on jamais.

De toute facon, ce flux va bien quelque part, est dumpable (tcpdump) et il doitbien être possible d'en tirer quelques infos. Un programme mal réglé, un bug,....

Google sur l'IP ne donne rien: conclusion probable tu es le seul, dans pas forcément un virus. Essaie d'investiguer un peu plus sur cette IP...

bye

par **micjack** » 27 Jan 2006 23:04

Je pense que c'est une question d'interpretation dans ce topic.

En tout cas, Promiscuous dans ce log ne dit pas qu'il est attaqué, il dit simplement qu'il y'a un service qui intercepte les paquet sur son interface (comme Snort ..etc) Il faut consulter les log du services qui tourne.

Puis on ne sait pas combien de cartes il a sur son serveur, donc pour le "promiscuous mode " on ne sait pas ou se trouve la sonde.

Code: Tout sélectionner: tcp 0 0 192.168.1.2:ports differents(ou indentiques) 64.46.76.158:5454 ESTABLISHED 13059/klogd

A vu de nez, il est evident que ce n'est pas quelqu'un du reseau qui bouffe la bande passante, puisque le résultat que retourne netstat est fait sur le serveur. En tout cas, c'est le serveur qui initie la connexion vers cette IP et non pas une attaque. De plus le port sur 192.168.1.2 n'est pas fixe.

Au premier abord, vu le port distant, cela resemblerait à du P2P, mais sur un serveur, cela me parait quand meme zarb (déja vu certains le faire, mais quand meme)

Ton serveur ne ferait pas certaines mises à jours ?
C'est en tout cas une adresse US (Miami) C'est toujours la meme IP/port distante ?

par **theju** » 28 Jan 2006 15:16

merci de vos reponses,

Pour le mode promiscuitous c'est certainement la faute de snort...
Je n'avait pas le log sous la main mais le voici dans son integralite :

Code: Tout sélectionner: Connexions Internet actives (serveurs et établies) Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name tcp 0 0 0.0.0.0:20000 0.0.0.0:* LISTEN 2229/perl tcp 0 0 0.0.0.0:906 0.0.0.0:* LISTEN 1996/rpc.statd tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 1763/mysqld tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 19173/smbd tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1370/portmap tcp 0 0 0.0.0.0:10000 0.0.0.0:* LISTEN 19218/perl tcp 0 0 0.0.0.0:113 0.0.0.0:* LISTEN 1707/inetd tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 2004/proftpd: (acce tcp 0 0 0.0.0.0:5432 0.0.0.0:* LISTEN 24609/postmaster tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 1898/master tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 19173/smbd tcp 0 0 192.168.1.2:1785 64.46.76.158:5454 ESTABLISHED28639/klogd tcp 0 0 192.168.1.2:1790 64.46.76.158:5454 ESTABLISHED28639/klogd tcp 0 0 192.168.1.2:1783 64.46.76.158:5454 ESTABLISHED28639/klogd tcp 0 0 192.168.1.2:1795 64.46.76.158:5454 ESTABLISHED28639/klogd tcp 0 0 192.168.1.2:1798 64.46.76.158:5454 ESTABLISHED28639/klogd tcp 0 0 192.168.1.2:1818 64.46.76.158:5454 ESTABLISHED28639/klogd tcp 0 0 192.168.1.2:1811 64.46.76.158:5454 ESTABLISHED28639/klogd tcp 0 0 192.168.1.2:1810 64.46.76.158:5454 CLOSE_WAIT 28639/klogd tcp 0 0 192.168.1.2:1813 64.46.76.158:5454 ESTABLISHED28639/klogd tcp 0 0 192.168.1.2:1812 64.46.76.158:5454 CLOSE_WAIT 28639/klogd tcp 0 0 192.168.1.2:1827 64.46.76.158:5454 ESTABLISHED28639/klogd tcp 0 0 192.168.1.2:1826 64.46.76.158:5454 ESTABLISHED28639/klogd tcp 0 0 192.168.1.2:1830 64.46.76.158:5454 ESTABLISHED28639/klogd tcp 0 0 192.168.1.2:1853 64.46.76.158:5454 ESTABLISHED28639/klogd tcp 0 0 192.168.1.2:1847 64.46.76.158:5454 ESTABLISHED28639/klogd tcp 0 0 192.168.1.2:1844 64.46.76.158:5454 CLOSE_WAIT 28639/klogd tcp 0 0 192.168.1.2:1859 64.46.76.158:5454 CLOSE_WAIT 28639/klogd tcp 0 0 192.168.1.2:1863 64.46.76.158:5454 ESTABLISHED28639/klogd tcp 0 0 192.168.1.2:1883 64.46.76.158:5454 ESTABLISHED28639/klogd tcp 0 0 192.168.1.2:1882 64.46.76.158:5454 CLOSE_WAIT 28639/klogd tcp 0 0 192.168.1.2:1873 64.46.76.158:5454 ESTABLISHED28639/klogd tcp 1 0 192.168.1.2:1872 64.46.76.158:5454 CLOSE_WAIT 28639/klogd tcp 0 0 192.168.1.2:1897 64.46.76.158:5454 ESTABLISHED28639/klogd tcp 0 0 192.168.1.2:1888 64.46.76.158:5454 ESTABLISHED28639/klogd tcp 0 0 192.168.1.2:1858 64.46.76.158:6667 ESTABLISHED32737/-bash tcp 0 0 192.168.1.2:1865 64.46.76.158:6667 ESTABLISHED32737/-bash tcp 0 0 192.168.1.2:1871 64.46.76.158:6667 ESTABLISHED32737/-bash tcp 0 0 192.168.1.2:1877 64.46.76.158:6667 ESTABLISHED32737/-bash tcp 0 0 192.168.1.2:1885 64.46.76.158:6667 ESTABLISHED32737/-bash tcp 0 0 192.168.1.2:1893 64.46.76.158:6667 ESTABLISHED32737/-bash tcp 0 0 192.168.1.2:1848 64.46.76.158:6667 ESTABLISHED32737/-bash tcp 0 0 192.168.1.2:2121 64.46.76.158:5454 ESTABLISHED28639/klogd tcp6 0 0 :::80 :::* LISTEN 30343/apache2 tcp6 0 0 :::22 :::* LISTEN 1986/sshd tcp6 0 0 :::5432 :::* LISTEN 24609/postmaster tcp6 0 0 :::25 :::* LISTEN 1898/master tcp6 0 0 ::ffff:192.168.1.2:22 ::ffff:192.168.1.1:1241 ESTABLISHED5300/0 udp 0 0 0.0.0.0:900 0.0.0.0:* 1996/rpc.statd udp 0 0 0.0.0.0:903 0.0.0.0:* 1996/rpc.statd udp 0 0 192.168.1.2:137 0.0.0.0:* 19171/nmbd udp 0 0 0.0.0.0:137 0.0.0.0:* 19171/nmbd udp 0 0 192.168.1.2:138 0.0.0.0:* 19171/nmbd udp 0 0 0.0.0.0:138 0.0.0.0:* 19171/nmbd udp 0 0 0.0.0.0:10000 0.0.0.0:* 19218/perl udp 0 0 0.0.0.0:20000 0.0.0.0:* 2229/perl udp 0 0 127.0.0.1:1084 127.0.0.1:1084 ESTABLISHED24609/postmaster udp 0 0 0.0.0.0:68 0.0.0.0:* 1350/dhclient udp 0 0 192.168.1.2:1736 192.168.1.1:53 ESTABLISHED32737/-bash udp 0 0 0.0.0.0:1737 0.0.0.0:* 28659/klogd udp 0 0 0.0.0.0:1127 0.0.0.0:* 28655/perl udp 0 0 0.0.0.0:111 0.0.0.0:* 1370/portmap

Je pense aussi que c'est le serveur qui initie les connexions, dans l'autre sens j'ai un firewall (si il fait son boulot correctement) qui doit bloquer tout ce qui n'est pas necessaire ...

En ce qui concerne le P2P, si c'est le cas et comme vous l'avez dit, ce sont des serveurs (un du boulot et le miens perso) sur lesquels je n'ai rien installe de tel ! Les logs de connexions ssh ne montrent que mes traaces, et tout ce qui vine d'autre que moi a ete jette du serveur. Donc il parait peut probable que qq un ce soit loggue pour y installer qq chose (je suis le seul a avoir les pass)

Pour l'IP, et sur les 2 serveurs (qui sont totalement distincts et pas sur le meme reseau) ce sont exactement les memes...

En regardant a nouveau en ecrivant le message je vois aussi des connexions avec bash ? Peut etre une de mes pages qui lance un programme local qui $%#&! ?

Suite aux remarques je viens de passer a syslog-ng et j'ai rouvert l'acces a l'IP concernee, on vera si la connexion reapparait ...

Quelle commande de tcpdump utiliser pour logguer ce qu'il faut vers cette adresse? (je l'ai jaimais utilise et ya 1200 pages de manuel, le temps que je finnisse de lire...)

Merci

Juju

par **S0l0** » 28 Jan 2006 17:32

Ce dump des process est on peut plus bavard sur les services (un peu trop d'ailleurs ) que vous avez et je croit dans votre 1er vous avez oublier de mentionner tous ses sercices :shock:

samba (ou du moins smbd et nmbd) ,postmaster portmap et master (serveur de courrier aussi ?(et master?) ssh,rpc,proftpd,mysql,perl(perl?pour les besoin de vos scritps???),et bash sur le port 6667(irc) (toujours pour les besoin de vos scripts?)ah et j'oubliait tripwire et cette ligne que je comprend pas

Code: Tout sélectionner: tcp6 0 0 ::ffff:192.168.1.2:22 ::ffff:192.168.1.1:1241 ESTABLISHED5300/[color=red]0[/color]

honnetement je crois que vous devriez stopper TOUS les programmes dont vous n'avez pas l'utiliter (a moins de tous les utiliser) et effectivement voir si cela aurait pu etre une intrusion ou pas .
Neanmoins j'aimerais attirer votre attention sur le fait qu'il est tout a fait possible d'attaquer un serveur et de faire en sorte qu'on voit que c'est le serveur qui a initie la connexion.....

ps:j'ai vu aussi que vous avez inetd vaut mieux Xinetd (en cas de dos ne plante pas aussi soudainement)

(re)ps qu''est-ce que c'est "" proftpd: (acce ""
penser vous possible de mettre une parti de vos logs snort sur un serveur pour les telechargez et analyser (serveur donner par MP bien sure) ca me changera de lire les miens

.
Avez vous penser a mettre un proxy entre le serveur et votre 'invite' de miami.....

par **micjack** » 28 Jan 2006 19:54

S0l0 a écrit:Neanmoins j'aimerais attirer votre attention sur le fait qu'il est tout a fait possible d'attaquer un serveur et de faire en sorte qu'on voit que c'est le serveur qui a initie la connexion.....

C'est exate, un bon backdoor bien placé.. Mais vu le log, il me semble pas que se soit le cas.

Sans aller plus loin dans le détail du log, à croire que c'est un serveur qui est de l'autre coté, car il y'a plusieurs "CLOSE_WAIT" et à chaque reconnection "ESTABLISHED" il reste sur le meme port 5454 et si c'est un gus de l'autre coté, il aurrait lui aussi ses ports qui changerait. Maintenant, à savoir si c'est un port standard de serveur spécifique ou changé. Sans parlé du 6667 et des multi ports locaux established

Code: Tout sélectionner: tcp 0 0 192.168.1.2:1811 64.46.76.158:5454 ESTABLISHED28639/klogd tcp 0 0 192.168.1.2:1810 64.46.76.158:5454 CLOSE_WAIT 28639/klogd tcp 0 0 192.168.1.2:1813 64.46.76.158:5454 ESTABLISHED28639/klogd tcp 0 0 192.168.1.2:1812 64.46.76.158:5454 CLOSE_WAIT 28639/klogd tcp 0 0 192.168.1.2:1827 64.46.76.158:5454 ESTABLISHED28639/klogd tcp 0 0 192.168.1.2:1826 64.46.76.158:5454 ESTABLISHED28639/klogd tcp 0 0 192.168.1.2:1847 64.46.76.158:5454 ESTABLISHED28639/klogd tcp 0 0 192.168.1.2:1844 64.46.76.158:5454 CLOSE_WAIT 28639/klogd tcp 0 0 192.168.1.2:1859 64.46.76.158:5454 CLOSE_WAIT 28639/klogd tcp 0 0 192.168.1.2:1863 64.46.76.158:5454 ESTABLISHED28639/klogd tcp 0 0 192.168.1.2:1883 64.46.76.158:5454 ESTABLISHED28639/klogd tcp 0 0 192.168.1.2:1882 64.46.76.158:5454 CLOSE_WAIT 28639/klogd tcp 0 0 192.168.1.2:1873 64.46.76.158:5454 ESTABLISHED28639/klogd tcp 1 0 192.168.1.2:1872 64.46.76.158:5454 CLOSE_WAIT 28639/klogd

Mais pourquoi autant de déconnexions ? La bande passante est aussi pourit que ca? Mais visiblement cette connexion ressemble à une tache à accomplir (comme une mise à jour par ex )

Si non, c'est vrais qu'il y'a visiblement du ménage à faire... Désactiver tout service inutils du demarrage surtout Samba et services Netbios ( Je suis d'ailleur étonné d'Inetd se trouve encore sur une distrib recente) Le top pour tes tests, tu laisse , firewall, ssh, apache et ce qui va bien pour faire tourner ton site.

Regarde aussi du coté de cron, ptet bien qu'une tache qui se lance vers cette IP.

par **theju** » 29 Jan 2006 14:50

pour les services c'est normal, le site est temporairement sur mon serveur perso qui est avant tout un serveur samba. Il y a aussi ssh, ftp, web, ce qui est normal. Ensuite en local, les bases de donnees mysql et postgresql, plus le serveur mail... Pour Net bios, je sais pas trop, je suis pas administrateur linux a la base, on m'a colle ca sur le dos ...

Sinon quand il y a les connexions activees, mon reseau est HS (freebox avec 1 Mo en upload) mais pire ca met KO le reseau de la fac (connexion Renater directe a plusieurs Mo ! )

Voila, sinon rien de plus pour le moment, la connexion n'est pas reaparue, je vais remettre progressivement comme a l'origine pour voir si ca reviens et ce qui le fait revenir ...

Merci

Attaque de mon serveur web?

Attaque de mon serveur web?

Qui est en ligne ?