Supprimer des fichiers indésirables:taille entre 0 et 150 ?

[TMMXONE]

Bonjour la communauté de l'anneau sme

Je viens de faire une découverte sur mon serveur SME 7.3 qui fait office de controleur de domaine avec profil itinérants et serveur de fichiers.
Tous les dossiers partagés contiennent ce genre de fichier :

Code: Tout sélectionner

upjlp.exe
upjw.exe
uplapx.exe
uplc.exe
upolfq.exe
uppjr.exe
upraw.exe
upsavb.exe
uptxbw.exe
upyul.exe
uqahrt.exe
uqav.exe
uqbw.exe
uqixci.exe
uqktsv.exe
uqnao.exe
uqqf.exe
uqtwji.exe
uqxnoh.exe
uqydo.exe
urau.exe
urdm.exe
uofckg.exe
uogxqd.exe
uoimuj.exe
uoiw.exe
uookjx.exe
uooy.exe
uopo.exe
uors.exe
uotmi.exe
uoxnv.exe
upbws.exe
upbxtd.exe
upcc.exe
upiur.exe

il y a des fichiers similaires dont le nom commence par a,b,c, etc...

l antivirus Clamav ne detecte rien ....

Code: Tout sélectionner

----------- SCAN SUMMARY -----------
Known viruses: 571039
Engine version: 0.92
Scanned directories: 18992
Scanned files: 151805
Infected files: 0
Data scanned: 36584.57 MB
Time: 8464.354 sec (141 m 4 s)

Le soucis c'est que lorsqu un utilisateur poste 2000 ou poste xp pro ayant chacun un antivirus installé n ont aucun message d erreur , mais l acces aux dossiers partagés est horriblement lent , il y a plus de 10000 fichiers de ce type dans la taille varie entre 0 et 169 ko.

les fichiers de taille 0 , je les ai supprimés en ligne de commande, mais que faire pour les autres. ?

Merci pour votre aide.

[Grand-Pa]

Bonjour,

Si tu veux supprimer tous les .exe, une solution simple pourrait être :

Code: Tout sélectionner

find /home/e-smith/files/users -name *.exe -exec rm -f {} \;

Tu peux aussi compliquer la commande ci-dessus en jouant sur la taille des fichiers :

Code: Tout sélectionner

find /home/e-smith/files/users -name *.exe -size -170k -exec rm -f {} \;

Attention, ça va supprimer TOUS les exécutables, même ceux qui pourraient être légitimes (un fichier d'installation téléchargé sur le bureau, par exemple).

Mais avant tout, il faudrait trouver la raison de la présence de tous ces fichiers et l'éradiquer.

[jdh]

Voilà une belle réponse et très unixienne. Bravo ! J'utiliserais plutôt "u*.exe" comme name.


Les noms quasi aléatoires de ces fichiers avec une forme assez repérable (u*.exe) semble indiquer leur nature de virus !

Je ne testerais pas avec Clamav mais avec un autre antivirus plus costaud.

Ai-je besoin d'ajouter que s'il s'agit bien de virus, il va falloir boucler sur TOUS les micros pour scanner tout le monde ! (Bon courage !)

[TMMXONE]

Merci pour vos réponses
j'ai scanné à partir des postes de travail (2000,xp et vista) avec avast et bitdefender ; rien pas de virus connus.
je vais tester ce samedi avg et des scanners en ligne.
Mais c'est $%#&!, car j'ai une politique de quotas et là j'ai du rallonger les quotas de plein de monde, car les fichiers se trouvent partout et pas que dans les dossiers partagés et çà gonfle vite !
ça doit être un ver, ça y ressemble en tous cas.
Clamav n as pas l'air de s en sortir.
J'ai 26 postes ... mais heureusement je fais tout par session vnc , çà m'évite les déplacements , vu que je suis à l'étage et les utilisateurs au rdc.
Bonne fin de soirée à tous.

[jibe]

Salut,

Pourquoi ne pas faire un test tout bête : supprimer tous les fichiers parasites d'un dossier, et voir s'ils reviennent.

S'ils reviennent, déconnecter tous les postes, supprimer à nouveau et reconnecter les postes un par un en surveillant le dossier...

Cela permettrait déjà de localiser la bécane qui fait ça, parce que si bitdefender (à jour !!!) ne donne rien, je ne pense pas qu'un autre AV trouvera quelque chose... Une fois la bécane responsable localisée (attention, c'est comme les trains : une bécane responsable peut en cacher une autre ), il ne restera plus qu'à regarder de près comment elle fait ça. Déjà, pour commencer, une analyse complète avec un bon antivirus à jour, puis un bon antispyware à jour également, hijackthis et un contrôle de la base de registres.

Et s'ils ne reviennent pas, c'est que la cause de leur apparition a elle-même disparu (un portable vérolé venu se connecter au LAN et parti depuis par exemple)...

Un peu basique et bourrin comme méthode, mais néanmoins efficace

Au fait, attention : les virus modernes savent souvent désensibiliser les anti-virus. Il est indispensable de lancer les analyses depuis un OS parfaitement sain => CD live ou démontage du disque pour analyse sur une bécane saine.

[TMMXONE]

Bonjour
Merci pour ta réponse.
C'est à partir d'antivirus à jour que je scan.
Je me demande s'il était possible de connaitre le nom des postes qui se connectent au domaine et qui écrivent ce genre de fichiers.
je vais d'abord regarder par là ( l'idée vient de me tomber sur la tête) mais j'ai pas dis Eureka lol.
La procédure que tu m'as dit , j'y ai pensé mais je ne peux le faire que lorsque les autres ne sont pas là, en dehors des heures normales de travail...çà m'enchante pas trop !

[TMMXONE]

Ma situation empire...
mais bon c'est pas encore critique !

je n'arrive plus à acceder ni au server manager , ni à la console en putty, ni par winSCP.
directement sur la machine sme , je découvre un message stressant ... !

Code: Tout sélectionner

Syntax error on line 148 of /etc/httpd/conf/httpd.conf:
SSLRamdomSeed: source path '/dev/urandom/ does not exist

c'est un message qui boucle, car quand j'appuie sur entrer pour essayer de me loguer , ca revient.
en faisant ctrl alt F2 , je n'arrive pas non plus à me logguer.

Depuis près 2 ans que cette sme 7.3 tourne , c'est le premier prob sérieux à ce qu'il me semble.
Je ne sais pas trop si c'est lié au prob de virus toujours persistant.

La sme sert de controleur de domaine avec profil itinerant, serveur de mail et partage de connexion internet.
J'ai encore acces aux partages.

Dois je commencer à installer une nouvelle machine , ou chercher à réparer...
Sachant que je passerais plus de temps à chercher !
je suis hésitant...

Mes backup se font par Backup with dar et sont sauvés sur un nas.
que me conseillez vous ?
Merci.

[jdh]

M'est avis que ce sont ou des virus ou des spyware. Un petite copie sur clé et test sur un pc hors de ce réseau devrait largement répondre (avec un antivirus connu et à jour).

Ensuite la méthode Grand-Pa est excellente :

find /home/e-smith/files/users -name "u*.exe" -print
find /home/e-smith/files/users -name "u*.exe" -exec rm -f {} \;

La première instruction pour en afficher la liste.
La deuxième pour supprimer ces m.e.r.d.e.

[TMMXONE]

Merci pour ta réponse

Ensuite la méthode Grand-Pa est excellente :

find /home/e-smith/files/users -name "u*.exe" -print
find /home/e-smith/files/users -name "u*.exe" -exec rm -f {} \;

La première instruction pour en afficher la liste.
La deuxième pour supprimer ces m.e.r.d.e.

Je veux bien , mais là je n'accède plus à la console, ni directement , ni par putty.
ni au server-manager

[mab]

Salut a tous,

Serait-il possible qu'a force de créer des tonnes de fichiers à la ..., la table de fichier soit pleine, faisant planter certains services ?

Pour vérifier ça, pourrais-tu booter avec une distrib live, genre knoppix, monter le système de fichier et refaire la commande de jdh avec le print tout d'abord ?

Et il te faudrait passer deux outils du genre ad-aware et antimalware sur la machine que tu suppose infectée. En effet, certains antivirus ne détectent la plupart du temps pas les adwares, qui ne sont pas des virus.
Ca, ça va t'éviter de tout avoir à recommencer si tes bécanes sont encore infectées, si tu as choisi la solution réinstall d'un nouveau sme.

[TMMXONE]

Bonsoir la communauté !
Merci pour vos réponses.
mon sme étant un outil de production , il fait contrôleur de domaine avec profil itinérant ( je me répète , mais c'est pour faire un résumé ),serveur de mail, serveur dhcp pour le wifi , partage de connexion internet et partage de dossiers réseau;
j'ai eu la trouille de le redémarrer...
Surtout que je n'avais plus du tout accès à la console , ni directement , ni à travers putty ou le server-manager.

j'ai attendu Samedi 20 juin , pour le redémarrer !
et là à part un message d'erreur de mysql , les services ont tour démarré au vert , et j'ai eu de nouveau accès au server manager et à la console directement et par putty.
j'ai voulu réinstaller une sme toute fraiche , mais la sauvegarde sur périphérique usb n 'as pas reussi , justement par manque d espace disque !
Et enlever ces fichiers à la main , en faisant des sélections sur les noms et les tailles , çà prend énormément de temps ...

alors j'ai vérifié : les fichiers (virus ou juste des fichiers inutiles et bidon) se trouvent uniquement dans les dossiers partagés et non sur le système de fichier de la sme.
par contre ce qui est angoissant , c'est qu'ils s'accroissent à une vitesse incroyable.
chaque fichier fait ou 0ko ou une taille inférieure à 169 ko.

j'ai par exemple des utilisateurs qui ont des quotas , le lundi matin je monte la limite à 5giga , et à midi ils ont déja atteint la limite à travers ces fichiers inutiles !
en semaine , je ne peux pas arrêter la sme ...
là je suis en train de chercher comment faire pour donner les droits d écriture aux applications ( on en a 2 ), par exemple : le raccourci qui pointe sur \\sme\partage\dossier1\appli1.com et enlever le droits d écriture aux utilisateurs sur les dossiers partagés.
si je peux bloquer la propagation des fichiers , ça me donnerait du temps pour trouver la source du problème.
quand je peux , je passe au scanner en bootant sur systemerescue cd les postes de travails.
pour le moment , je n'ai encore rien trouvé.
je cherche toujours et je vous remercie vivement pour vos idées et réponses.
bon courage à tous.

[jdh]

De toute évidence, s'il y a génération (rapide) de ce type de fichier, c'est assez anormal et, par conséquence, d'origine virale ou spyware (ou autre malware).

Pour tester, il suffit de faire plusieurs "find -print" >z1, z2, ... et de faire des "diff z1 z2".

Je suis assez contre les profils itinérants (parce que les users placent des données sur le bureau augmentant sans cesse le profil, et parce cela augmente considérablement les temps de démarrage et d'arrêt). Ici cela peut servir à trouver quelle(s) machine(s) contien(en)t le générateur ! Avec le temps toutes doivent être infectées ...

Il faudra aussi bien comprendre qu'il sera nécessaire de nettoyer ET le serveur ET tous les micros.

On voit bien là que les firewalls et les serveurs ne sont qu'une partie de la sécurité : que les pc doivent aussi être bien sécurisés par eux-mêmes. Il est des stupidités du genre : il me faut copfilter sur mon ipcop, comme ça je n'ai pas besoin d'antivirus sur mes postes !

Je considère qu'il faut TOUJOURS un antivirus + un antispyware + un firewall pour CHAQUE pc.
(Moi je choisis souvent une solution de type "suite" pour les entreprises où je passe, et pas un assemblage AV+AS+le fw d'XP.)