Intrusion sur serveur apache?

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Intrusion sur serveur apache?

Messagepar Julyon » 07 Déc 2006 16:46

Bonjour,

Je croix bien avoir été victime d'une intrusion sur mon serveur apache.

Depuis quelques jours, j’ai quelque chose sur mon serveur qui envoi des requêtes sur le port 80 a des serveurs Apache(@IP 72.232.196.230, 72.36.247.90,…).

J’ai donc bloqué le port 80 en sorti sur mon serveur.

J’ai fait des recherches avec lsof, netstat, nmap mais ca ne donne rien.
J’ai remarqué que si j’arrête le service httpd, il n’y a plus de requêtes envoyées.

J’ai vraiment du mal a comprendre ce qu’il ce passe.
Est-ce que quelqu’un a une idée ?

Merci,
Julyon
Julyon
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 07 Déc 2006 16:32

Messagepar S0l0 » 07 Déc 2006 18:38

bonjour,
Possible qu'un rootkit ou un binaire est infecter apache , pour en etre sure as-tu enregistrer des traces reseaux de ce qui sort de chez toi...
Mais avec les IPs 'chinois' possible que tu heberge un site ole ole sans le savoir ? ? ? ? ? ?
Avatar de l’utilisateur
S0l0
Contre-Amiral
Contre-Amiral
 
Messages: 407
Inscrit le: 01 Déc 2005 20:52
Localisation: 21 55

Messagepar Julyon » 07 Déc 2006 21:16

Merci pour ta réponse, comment est ce que je peux enregistrer les traces reseaux de ce qui sort de chez moi?
Comment je peux savoir si un rootkit est en place?

Merci
Julyon
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 07 Déc 2006 16:32

Messagepar Muzo » 07 Déc 2006 21:25

En ce qui concerne les rootkit, installes rkhunter et il te le dira.
Ensuite si tu dois réinstaller ton serveur, installes aussi rkhunter qui peut tourner en cron et contrôler ta machine toutes les nuits.
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.

Messagepar Julyon » 07 Déc 2006 22:31

Il est génial cet outil!

bon, il ne m'a rien trouvé mais je croix que je vais l'installer sur tout les serveurs.

Il ne m'a ressorti qu'un warning et une vulnérabilité qu'il va falloir que je corrige.

Code: Tout sélectionner
* Filesystem checks
   Checking /dev for suspicious files...                      [ OK ]
   Scanning for hidden files...                               [ Warning! ]
---------------
/dev/.started
/dev/.udevdb /etc/.pwd.lock
/etc/.qtrc.lock
/etc/.qt_plugins_3.3rc.lock
/etc/.passwd.swp
---------------
Please inspect:  /dev/.udevdb (directory)  /etc/.passwd.swp (data)

...

* Application version scan
   - GnuPG 1.4.0                                              [ OK ]
   - OpenSSL 0.9.7e                                           [ Vulnerable ]
   - Procmail MTA 3.22                                        [ OK ]
   - ProFTPd 1.2.10                                           [ OK ]
   - OpenSSH 4.3p1                                            [ Unknown ]

Quelqu'un a peut-etre une autre idée? :?
Julyon
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 07 Déc 2006 16:32

Messagepar Muzo » 08 Déc 2006 10:03

Ca veut peut être dire que tu as un faille dans ton openssh (qui ne semble pas être à jour) et que ton intrusion c'est (peut-être) faite par là.
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.

Messagepar Julyon » 08 Déc 2006 11:03

C'est effectivement une possibilité.
J'essai de mettre a jour la base de rkhunter pour être sur qu'il ne me trouve rien, mais j'ai ce message :
Code: Tout sélectionner
Running updater...

Mirrorfile /usr/local/rkhunter/lib/rkhunter/db/mirrors.dat rotated
Using mirror http://www.rkhunter.com.ar
[DB] Mirror file                      : ERROR
Fatal error: Problem while fetching file
Je suis sur Mandriva 2005. Quelqu’un a déjà eu ce pb?
Julyon
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 07 Déc 2006 16:32

Messagepar Muzo » 08 Déc 2006 11:46

Je penses qu'il n'arrive pas à contacter le mirroir
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.

Messagepar Julyon » 08 Déc 2006 12:24

J'ai réussi à mettre à jour la base de données de rkhunter en la récupérant sur un autre serveur, mais ca n'a pas fait avancer le schmilblick ! il n’a rien trouvé. Je retombe au point de départ !
Julyon
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 07 Déc 2006 16:32

Messagepar Julyon » 08 Déc 2006 14:41

J'ai testé chkrootkit, mais ca n’a rien donné. Ca ne pourrait pas être un virus ?
Julyon
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 07 Déc 2006 16:32

Messagepar fred-info » 08 Déc 2006 15:03

Salut,

as-tu sniffé le traffic lan vers ton apache, histoire de voir si ça viens pas d'un poste client.

A+
fred-info
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 200
Inscrit le: 04 Oct 2006 14:57

Messagepar Julyon » 10 Déc 2006 18:23

Je l'ai isolé du LAN et j'ai toujours le probleme.
Julyon
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 07 Déc 2006 16:32

Messagepar Julyon » 11 Déc 2006 12:01

Voici des info complémentaires :

Je viens de m'apercevoir de ceci dans les logs d'apache :

Access_log :
Code: Tout sélectionner
219.153.19.72 - - [11/Dec/2006:10:03:25 +0100] "GET http://qing.love.topzj.com/thread-30276-15-1.html HTTP/1.1" 502 693
59.188.44.170 - - [11/Dec/2006:10:03:25 +0100] "GET http://www.c2000.cn/index.asp HTTP/1.1" 502 646
219.153.19.72 - - [11/Dec/2006:10:03:26 +0100] "GET http://66sy.cc.topzj.com/thread-366183-2-1.html HTTP/1.1" 502 687
59.188.44.170 - - [11/Dec/2006:10:03:26 +0100] "GET http://www.c2000.cn/index.asp HTTP/1.1" 502 646
219.153.19.72 - - [11/Dec/2006:10:03:27 +0100] "GET http://jingyinzhilu.ent.topzj.com/forum-90831-19.html HTTP/1.1" 502 708
219.153.19.72 - - [11/Dec/2006:10:03:28 +0100] "GET http://bbs.dospy.com/viewthread.php?tid=71848 HTTP/1.1" 502 681
59.188.44.170 - - [11/Dec/2006:10:03:28 +0100] "GET http://www.c2000.cn/list.asp?boardid=1&page=50 HTTP/1.1" 502 686
219.153.19.72 - - [11/Dec/2006:10:03:29 +0100] "GET http://yycherry.aa.topzj.com/thread-108004-57-1.html HTTP/1.1" 502 701
219.153.19.72 - - [11/Dec/2006:10:03:30 +0100] "GET http://zhh1213.cc.topzj.com/thread-144851-27-1.html HTTP/1.1" 502 698
219.153.19.72 - - [11/Dec/2006:10:03:30 +0100] "GET http://bbs.topzj.com/thread-187551-47-1.html HTTP/1.1" 502 677
59.188.44.170 - - [11/Dec/2006:10:03:31 +0100] "GET http://www.c2000.cn/list.asp?boardid=1&page=83 HTTP/1.1" 502 686
219.153.19.72 - - [11/Dec/2006:10:03:32 +0100] "GET http://ph.game.topzj.com/forum-18656-16.html HTTP/1.1" 502 681
59.188.44.170 - - [11/Dec/2006:10:03:32 +0100] "GET http://www.c2000.cn/list.asp?boardid=1&page=111 HTTP/1.1" 502 688

error_log :
Code: Tout sélectionner
[Mon Dec 11 10:05:57 2006] [error] [client 219.153.19.72] proxy: DNS lookup failure for: ph.game.topzj.com returned by http://ph.game.topzj.com/forum-18656-16.html, referer: http://bbs.topzj.com
[Mon Dec 11 10:05:57 2006] [error] [client 59.188.44.170] proxy: DNS lookup failure for: www.c2000.cn returned by http://www.c2000.cn/list.asp?boardid=1&page=170, referer: http://www.hackeroo.com
[Mon Dec 11 10:05:58 2006] [error] [client 59.188.44.170] proxy: DNS lookup failure for: www.c2000.cn returned by http://www.c2000.cn/list.asp?boardid=1&page=198, referer: http://www.c2000.cn
[Mon Dec 11 10:05:59 2006] [error] [client 219.153.19.72] proxy: DNS lookup failure for: bbs.topzj.com returned by http://bbs.topzj.com/thread-187551-47-1.html, referer: http://bbs.topzj.com
[Mon Dec 11 10:06:00 2006] [error] [client 219.153.19.72] proxy: DNS lookup failure for: jpmusic.qq.topzj.com returned by http://jpmusic.qq.topzj.com/thread-145990-57-1.html, referer: http://bbs.topzj.com

Je ne sais pas vraiment analyser ces logs, et je ne sais pas trop quoi faire!
Si quelqu'un aurait une idée, ce serait génial.
Merci
Julyon
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 07 Déc 2006 16:32

Messagepar Muzo » 11 Déc 2006 12:11

Salut,

Pour les logs access :
http://www.codeshttp.com/
code 502 : Le serveur intermédiaire a fourni une réponse invalide. Le serveur HTTP a agi en tant qu'intermédiaire (passerelle ou proxy) avec un autre serveur, et a reçu de ce dernier une réponse invalide en essayant de traiter la requête.

En gros ton apache sert de serveur intermédiaire ...
Si tu regardes les logs d'erreur, tu peux voir qu'il fait un lookup vers les site et il ne les trouve pas.

Voici ce qui se passe sur ton apache :
1- requete vers le site chinois
2- apache regarde si le site existe (lookup dns)
3- site non trouvé -> log erreur
4- apache retourne un 502 -> log access

Si ton serveur a été corrompu, tu devrais avoir quelque chose dans ta conf apache à propos de c2000.cn et des autres sites.
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.

Messagepar Julyon » 11 Déc 2006 16:06

Merci pour toutes ces infos.

J'ai commencé à rechercher les sites dans les fichiers du serveur, mais je n'ai rien trouvé pour le moment.
Est ce qu'ils peuvent ce trouvé dans des fichiers binaires? Si oui, comment est ce que je peux faire une recherche? Avec grep?

Merci encore!
Julyon
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 07 Déc 2006 16:32

Suivant

Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 1 invité

cron