[SME 7] Processus John

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

Publier une réponse

[SME 7] Processus John

Messagepar romain138 » 18 Jan 2007 15:50

Bonjour à toutes et tous.

Depuis quelques jours sur une de mes SME 'perso' qui me sert de firewall et de serveur FTP principalement, j'ai un processus visible avec la commande TOP qui s'appel 'john' qui tourne avec un utilisateur inconu sur mon serveur ...

Dans un premier temps j'ai cherché ou ce 'jhon' ce trouve .. Pas trouvé :(
Ensuite j'ai vérifié la santé de ClamaV ... Tout vas bien ..

Un
Code: Tout sélectionner
ps -ax | grep john


me donne :

10915 ? R 2759:37 ./john 82.147.shadow
10916 ? T 0:00 ./john 82.147.shadow
10917 ? Z 0:00 [john] <defunct>
15896 ? R 1988:06 ./john 82.195.shadow
15897 ? T 0:00 ./john 82.195.shadow
15898 ? Z 0:00 [john] <defunct>
17781 ? R 1825:25 ./john 62.248.shadow
17782 ? T 0:00 ./john 62.248.shadow
17783 ? Z 0:00 [john] <defunct>
22394 ? R 1072:02 ./john 82.205.shadow
22395 ? T 0:00 ./john 82.205.shadow
22396 ? Z 0:00 [john] <defunct>
25791 ? R 955:28 ./john 82.208.shadow
25792 ? T 0:00 ./john 82.208.shadow
25793 ? Z 0:00 [john] <defunct>
13971 ? R 465:02 ./john 82.135.shadow
13972 ? T 0:00 ./john 82.135.shadow
13979 ? Z 0:00 [john] <defunct>
16218 ? R 455:53 ./john 82.142.shadow
16219 ? T 0:00 ./john 82.142.shadow
16220 ? Z 0:00 [john] <defunct>
16878 ? R 286:38 ./john 82.203.shadow
16879 ? T 0:00 ./john 82.203.shadow
16880 ? Z 0:00 [john] <defunct>
18954 ? R 277:23 ./john 82.208.shadow
18955 ? T 0:00 ./john 82.208.shadow
18956 ? Z 0:00 [john] <defunct>
32573 ? R 218:03 ./john 80.194.shadow
32574 ? T 0:00 ./john 80.194.shadow
32575 ? Z 0:00 [john] <defunct>
1119 ? R 210:17 ./john 80.204.shadow
1120 ? T 0:00 ./john 80.204.shadow
1121 ? Z 0:00 [john] <defunct>
9661 ? R 161:38 ./john 80.14.shadow
9662 ? T 0:00 ./john 80.14.shadow
9663 ? Z 0:00 [john] <defunct>
23992 ? R 107:29 ./john 80.26.shadow
23993 ? T 0:00 ./john 80.26.shadow
23994 ? Z 0:00 [john] <defunct>
27248 ? R 101:33 ./john 80.46.shadow
27249 ? T 0:00 ./john 80.46.shadow
27250 ? Z 0:00 [john] <defunct>
5145 ? R 70:08 ./john 80.56.shadow
5146 ? T 0:00 ./john 80.56.shadow
5147 ? Z 0:00 [john] <defunct>
8603 ? R 58:48 ./john 80.61.shadow
8604 ? T 0:00 ./john 80.61.shadow
8605 ? Z 0:00 [john] <defunct>
4628 pts/20 R+ 0:00 grep john


Le souci, c'est que free abuse m'a envoyé un couriel disant qu'il y a plusieurs plainte vennant de mon IP :

Monsieur,

Nous avons été saisis d'une plainte pour tentatives d'intrusion sur
un système distant depuis votre accès haut débit (82.235.XX.XX).

Extrait du fichier LOG:

Source IP: 82.235.XX.XX LastEvent: 17 Jan 2007 06:29:40 UTC
Time Zone: UTC

Event Date Time, Destination IP, IP Protocol, Target Port, Issue Description, Source Port, Event Count
EventRecord: 17 Jan 2007 06:29:40, 80.61.x.x, 6, 10000, BackupExec Exploit?, 39367, 1
EventRecord: 15 Jan 2007 14:05:58, 82.182.x.x, 6, 10000, BackupExec Exploit?, 41587, 1
EventRecord: 14 Jan 2007 18:47:11, 82.133.x.x, 6, 10000, BackupExec Exploit?, 32874, 1

Il est possible que ces intrusions découlent d'un défaut de sécurisation
de votre configuration informatique ayant permis l'installation à distance
de programmes permettant le contrôle de votre système.



Vous avez une idée ??[/code]
Romain, the Toulousain
Avatar de l’utilisateur
romain138
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 136
Inscrit le: 06 Déc 2003 01:00
Localisation: Toulouse
Haut

Messagepar fred-info » 18 Jan 2007 16:26

Sans aucune certitude. :roll:

John the ripper, t'aurais peut-être été fatal.

C'est quoi la qualité de mots de passe. Forte, faible ?

Quels services sont accessible sur wan, sur lan ? FTP, Admin distante, etc...

Fait une sauvegarde complete de tes tous tes logs. Pour analyse ulterieure...


Rootkit ? Non tu verais pas ce process.

Station du lan compromise ...............

Des contribs additionnelles installées sur le serveur ?

Déconnect et remplace. Là c'est l'urgence. :evil:

A+
fred-info
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 200
Inscrit le: 04 Oct 2006 14:57
Haut

Messagepar romain138 » 18 Jan 2007 16:39

Salut, et merci de ta réponse rapide !!

Mot de passe FORT (même si les utilisateurs ne sont pas content :lol: )

contrib suplémentaire :

SMERPFax
USERPanel access
USERRemote access

Accessible depuis le WAN :
Server-manager uniquement en HTTPS
FTP
ssh seulement avec un utilisateur au login et mot de passe long (par ex. : ro8535éfrjuha51216 pour le login) root interdit

J'ai fait une sauvegarde des logs (/var/log/message .. secure ...proftpd ... http ... sshd)

Je m y plonge dedans...

Ensuite, j'ai fait une erreur de syntax de la commande find et apres un find / -name john
j'ai trouvé des choses de le rep d'un utlisateur. Un repertoire : .i (??) dedans il y a un tar.gz nommé ssh3
je l'ai supprimer et rebooter la sme ...
avec top, plus de john aux environs ...

John the ripper ?? C'est qui celui là ?? Y a de la doc quelque par la dessus ? (je n'ai pas encore demandé à google)
Romain, the Toulousain
Avatar de l’utilisateur
romain138
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 136
Inscrit le: 06 Déc 2003 01:00
Localisation: Toulouse
Haut

Messagepar jaysee » 18 Jan 2007 19:35

Hello,

john the ripper c'est un soft de crackage de mots de passe par brut force, (ca devait se sentir niveau CPU sur ta machine).

Ton ps -ax montre bien l'utilisation sur des fichier shadow...
ensuite ta trouvé les fichiers dans le rep d'un utilisateur... il la mis lui meme? il a un CMS (phpNuke, phpBB....) buggé qui tourne en PHP ou autre ? doit y avoir une faille dans quelque chose en rapport a cette personne a priori...

en effet c'est pas cool quand ca arrive (en général j'ai des bots IRC... mais pas sur mon sme)
+
Avatar de l’utilisateur
jaysee
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 148
Inscrit le: 07 Nov 2003 01:00
Haut

Messagepar romain138 » 19 Jan 2007 02:09

Salut jaysee,

L'utilisatrice (pour le coup) n'as pu mettre ceci dans son répertoire. Elle n'accede au serveur que à distance via FTP et en plus chrooter dans un répertoir dit 'commun'. Aucun n'utilisateur ne peux acceder à son home.

De plus, les users sont tous des amis très proches et aucun ne sait faire ce genre de choses ...

Vraiment, je continue à analyser les logs, mais j'aimerais comprendre comment ce john est venu me rendre visite.

Suis-je le seul à qui cela est arrivé ? Enfin je veux dire par là .. Est ce une faille de sécurité d'une des contrib cité plus haut ou vraiment une erreur de la part ?

J'ai une quinzaine de SME en prod chez des clients qui ont les mêmes services activés (sauf qu'ils sont tous en version 6.1) et je ne voudrais avoir de tels problèmes avec eux.

Dans tous les cas je continue à analyser mes logs .. Si je trouve je viendrai vous en dire plus ...

Encore merci les gens.
Romain, the Toulousain
Avatar de l’utilisateur
romain138
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 136
Inscrit le: 06 Déc 2003 01:00
Localisation: Toulouse
Haut

Messagepar gla » 24 Jan 2007 23:59

Salut

Concernant SMERPFax, il s'agit d'un habillage "SME" de HylaFax.
Il n'est pas techniquement impossible que cela soit la porte d'entrée, mais cela m'étonne puisque la config du logiciel est "répondre en mode fax". Donc un pirate qui se connecte par se biais va rencontrer quelques petit soucis pour accèder à la machine.
Ceci dit, je n'exclu pas que cela soit possible.

Pour en être sur, tu peux aller voir sur le site de hylafax pour valider les alertes de sécurité avec ta config

A+
J'ai connu une polonaise qui en buvait au petit déjeuner...
SMERP : Distribution Open Source pour l'entreprise
Avatar de l’utilisateur
gla
Amiral
Amiral
 
Messages: 1259
Inscrit le: 28 Sep 2002 00:00
Localisation: Grasse
Haut
Publier une réponse

Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

Powered by boolaz