Attaque de mon serveur web?

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Attaque de mon serveur web?

Messagepar theju » 27 Jan 2006 12:51

Bonjour a tous,

J'ai un petit voir meme un gros probleme avec un serveur web.

Le serveur est un serveur sous debian stable avec noyau 2.6.8-1-386. Les mises a jours sont faites quasiment tous les jours

J'ai 2 sites dessus avec quelques programmes (analyses de sequences ADN et proteiques -> Blast2, clustalw et boxhade).

Au bout d'un moment mon serveur bouffe toute la bande passante de la fac et rend le reseau extremement lent.
Un petit netsat -tunap sur le serveur et je vois 10 bonnes connections du type
Code: Tout sélectionner
tcp 0 0 192.168.1.2:ports differents(ou indentiques) 64.46.76.158:5454 ESTABLISHED 13059/klogd

Avant que ces lignes n'apparaissent, je n'avait aucun soucis, le jour ou ca apparait j'ai un bon phenomenal de pckets transmits.

Avez vous une idee de ce que ca peut etre ? chkrootkit donne rien, je vois rien d'autre de bizarre...

J'ai transferer mes sites sur un autre serveur et rebelotte, les memes connexions avec la meme adresse IP, plantage total du reseau ...

Pour le moment j'ai bloque tout le trafic vers/depuis cette ip mais j'aimerais comprendre d'ou ca peu venir ....

Autres infos :
apache2
mysql 4.0.24
postgresql 7.4.7
mysql 4.0.24 avec
sites webs en php developpés par moi et code pas du tout optimisés + outil de stats php-stats
si besoin d'autre chose...

Merci de votre aide


Juju
theju
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 08 Déc 2004 14:09

Messagepar S0l0 » 27 Jan 2006 16:48

une attaque sur ton systeme sur ton service klogd ( a moins de disposer d'un serveur de log distant)
mais le probleme c'est que les dernieres attaques de klogd date de 2000 donc il faudrait dans la mesure du possible fournir une parti (ip masquer) de vos logs
Avatar de l’utilisateur
S0l0
Contre-Amiral
Contre-Amiral
 
Messages: 407
Inscrit le: 01 Déc 2005 20:52
Localisation: 21 55

Messagepar theju » 27 Jan 2006 17:00

Non, pas de serveur de logs distant, quels sont les logs necessaires ?
Ce qui me parait etrange c'est que les serveurs sont a jour et dans la version stable de debian...

J'attends les ordres et jenvoie mes logs.

Juju
theju
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 08 Déc 2004 14:09

Messagepar S0l0 » 27 Jan 2006 17:25

deja regarde dans /var/log/messages avec l'heure du debut de 'ton anormalite' ce qui s'est passez un service qui defaille (possible et empiete sur le terrain de kogd meme si peut probable) ou autres
Avatar de l’utilisateur
S0l0
Contre-Amiral
Contre-Amiral
 
Messages: 407
Inscrit le: 01 Déc 2005 20:52
Localisation: 21 55

Messagepar theju » 27 Jan 2006 20:43

Toutes les heures syslogd redemare correctement sauf tous les jours a 6h26 :
Code: Tout sélectionner
Jan 19 06:26:16 localhost kernel: device eth0 left promiscuous mode
Jan 19 06:26:17 localhost kernel: device eth0 entered promiscuous mode
Jan 19 06:26:20 localhost syslogd 1.4.1#17: restart.
Jan 19 06:26:22 localhost tripwire[25947]: Integrity Check Failed: File could not be opened.

Je vois rien d'autre dans les autres logs ...
theju
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 08 Déc 2004 14:09

Messagepar S0l0 » 27 Jan 2006 21:59

comment ca se fait que ton serveur se met en mode promiscuous :shock: as-tu pensee a utiliser lsof ou ps pour voir ce qui se passe avec tes process(as-tu penser au fait que tous tes binaires pour un eventuel audit aurait pu etre corrompu) ....
voir meme a faire l'analyse en remontant tes partitions en lecture seul dans le cas ou il y aurait vraiment eue intrusion .....
contact moi par MP ,au fait c'est sur quel OS linux ,mais quel distrib car apache 2 selon les distrib est plus ou moins vulnerable et les script php(ils sont comment :wink: )

PS:pour quel raison syslog redemarre t-il toute les heures :?: :?
Avatar de l’utilisateur
S0l0
Contre-Amiral
Contre-Amiral
 
Messages: 407
Inscrit le: 01 Déc 2005 20:52
Localisation: 21 55

Messagepar micjack » 27 Jan 2006 22:18

Promiscuous, concerne la carte et non pas un log concernant un serveur... Regarde dans /var/log/messages , tout le monde a cela sur ses ethx..

En gros, c'est que la carte accepte les entrées, sorties... Rien d'anormal à cela...

Les attaques sont loguées dans /var/log/secure

syslog inside
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar S0l0 » 27 Jan 2006 22:24

micjack a écrit:Promiscuous, concerne la carte et non pas un log concernant un serveur.

j'avais compris que c'etait la carte

micjack a écrit:En gros, c'est que la carte accepte les entrées, sorties... Rien d'anormal à cela...
Si
mon dieu toi aussi t'es bon pour un audit de secu :wink:
Quand la carte reseaux se met en mode promiscuous cela sous entend qu'un binaire (qu'importe le soft) la fait faut s'assurer que la carte la fait parce TU as installer sinon la befti c'est la http://www.interieur.gouv.fr/rubriques/ ... esentation

nb:preferer syslogng a syslog
Avatar de l’utilisateur
S0l0
Contre-Amiral
Contre-Amiral
 
Messages: 407
Inscrit le: 01 Déc 2005 20:52
Localisation: 21 55

Messagepar micjack » 27 Jan 2006 22:33

S0l0 nous raconte puis a écrit:mon dieu toi aussi t'es bon pour un audit de secu

C'est toi qui n'a rien compris, une carte est une carte (une interface)... Un filtrage derriere, est autre chose ... M'enfin! ](*,)
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar Franck78 » 27 Jan 2006 22:49

micjack a écrit:En gros, c'est que la carte accepte les entrées, sorties... Rien d'anormal à cela...


Si car elle n'a absolument aucune raison de passer en 'promiscuis' pendant une exploitation normale du serveur. Ce mode bypass principalement l'élimination des trames n'ayant pas la mac address de la carte en destination. Le but est qu'un sniffer recoive le max d'info pour analyser le réseau.
Donc pas de tcpdump ou autre etherreal=>promiscuis douteux!

Dès fois, une méthode bourrin s'impose: grep 64.46.76.158 dans les fichiers de la machine. Un peu de bol, sair-on jamais.

De toute facon, ce flux va bien quelque part, est dumpable (tcpdump) et il doitbien être possible d'en tirer quelques infos. Un programme mal réglé, un bug,....

Google sur l'IP ne donne rien: conclusion probable tu es le seul, dans pas forcément un virus. Essaie d'investiguer un peu plus sur cette IP...

bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar micjack » 27 Jan 2006 23:04

Je pense que c'est une question d'interpretation dans ce topic.

En tout cas, Promiscuous dans ce log ne dit pas qu'il est attaqué, il dit simplement qu'il y'a un service qui intercepte les paquet sur son interface (comme Snort ..etc) Il faut consulter les log du services qui tourne.

Puis on ne sait pas combien de cartes il a sur son serveur, donc pour le "promiscuous mode " on ne sait pas ou se trouve la sonde.

Code: Tout sélectionner
tcp 0 0 192.168.1.2:ports differents(ou indentiques) 64.46.76.158:5454 ESTABLISHED 13059/klogd

A vu de nez, il est evident que ce n'est pas quelqu'un du reseau qui bouffe la bande passante, puisque le résultat que retourne netstat est fait sur le serveur. En tout cas, c'est le serveur qui initie la connexion vers cette IP et non pas une attaque. De plus le port sur 192.168.1.2 n'est pas fixe.

Au premier abord, vu le port distant, cela resemblerait à du P2P, mais sur un serveur, cela me parait quand meme zarb (déja vu certains le faire, mais quand meme)

Ton serveur ne ferait pas certaines mises à jours ?
C'est en tout cas une adresse US (Miami) C'est toujours la meme IP/port distante ?
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar theju » 28 Jan 2006 15:16

merci de vos reponses,

Pour le mode promiscuitous c'est certainement la faute de snort...
Je n'avait pas le log sous la main mais le voici dans son integralite :
Code: Tout sélectionner
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat        PID/Program name
tcp        0      0 0.0.0.0:20000           0.0.0.0:*               LISTEN     2229/perl
tcp        0      0 0.0.0.0:906             0.0.0.0:*               LISTEN     1996/rpc.statd
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN     1763/mysqld
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN     19173/smbd
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN     1370/portmap
tcp        0      0 0.0.0.0:10000           0.0.0.0:*               LISTEN     19218/perl
tcp        0      0 0.0.0.0:113             0.0.0.0:*               LISTEN     1707/inetd
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN     2004/proftpd: (acce
tcp        0      0 0.0.0.0:5432            0.0.0.0:*               LISTEN     24609/postmaster
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN     1898/master
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN     19173/smbd
tcp        0      0 192.168.1.2:1785        64.46.76.158:5454       ESTABLISHED28639/klogd
tcp        0      0 192.168.1.2:1790        64.46.76.158:5454       ESTABLISHED28639/klogd
tcp        0      0 192.168.1.2:1783        64.46.76.158:5454       ESTABLISHED28639/klogd
tcp        0      0 192.168.1.2:1795        64.46.76.158:5454       ESTABLISHED28639/klogd
tcp        0      0 192.168.1.2:1798        64.46.76.158:5454       ESTABLISHED28639/klogd
tcp        0      0 192.168.1.2:1818        64.46.76.158:5454       ESTABLISHED28639/klogd
tcp        0      0 192.168.1.2:1811        64.46.76.158:5454       ESTABLISHED28639/klogd
tcp        0      0 192.168.1.2:1810        64.46.76.158:5454       CLOSE_WAIT 28639/klogd
tcp        0      0 192.168.1.2:1813        64.46.76.158:5454       ESTABLISHED28639/klogd
tcp        0      0 192.168.1.2:1812        64.46.76.158:5454       CLOSE_WAIT 28639/klogd
tcp        0      0 192.168.1.2:1827        64.46.76.158:5454       ESTABLISHED28639/klogd
tcp        0      0 192.168.1.2:1826        64.46.76.158:5454       ESTABLISHED28639/klogd
tcp        0      0 192.168.1.2:1830        64.46.76.158:5454       ESTABLISHED28639/klogd
tcp        0      0 192.168.1.2:1853        64.46.76.158:5454       ESTABLISHED28639/klogd
tcp        0      0 192.168.1.2:1847        64.46.76.158:5454       ESTABLISHED28639/klogd
tcp        0      0 192.168.1.2:1844        64.46.76.158:5454       CLOSE_WAIT 28639/klogd
tcp        0      0 192.168.1.2:1859        64.46.76.158:5454       CLOSE_WAIT 28639/klogd
tcp        0      0 192.168.1.2:1863        64.46.76.158:5454       ESTABLISHED28639/klogd
tcp        0      0 192.168.1.2:1883        64.46.76.158:5454       ESTABLISHED28639/klogd
tcp        0      0 192.168.1.2:1882        64.46.76.158:5454       CLOSE_WAIT 28639/klogd
tcp        0      0 192.168.1.2:1873        64.46.76.158:5454       ESTABLISHED28639/klogd
tcp        1      0 192.168.1.2:1872        64.46.76.158:5454       CLOSE_WAIT 28639/klogd
tcp        0      0 192.168.1.2:1897        64.46.76.158:5454       ESTABLISHED28639/klogd
tcp        0      0 192.168.1.2:1888        64.46.76.158:5454       ESTABLISHED28639/klogd
tcp        0      0 192.168.1.2:1858        64.46.76.158:6667       ESTABLISHED32737/-bash
tcp        0      0 192.168.1.2:1865        64.46.76.158:6667       ESTABLISHED32737/-bash
tcp        0      0 192.168.1.2:1871        64.46.76.158:6667       ESTABLISHED32737/-bash
tcp        0      0 192.168.1.2:1877        64.46.76.158:6667       ESTABLISHED32737/-bash
tcp        0      0 192.168.1.2:1885        64.46.76.158:6667       ESTABLISHED32737/-bash
tcp        0      0 192.168.1.2:1893        64.46.76.158:6667       ESTABLISHED32737/-bash
tcp        0      0 192.168.1.2:1848        64.46.76.158:6667       ESTABLISHED32737/-bash
tcp        0      0 192.168.1.2:2121        64.46.76.158:5454       ESTABLISHED28639/klogd
tcp6       0      0 :::80                   :::*                    LISTEN     30343/apache2
tcp6       0      0 :::22                   :::*                    LISTEN     1986/sshd
tcp6       0      0 :::5432                 :::*                    LISTEN     24609/postmaster
tcp6       0      0 :::25                   :::*                    LISTEN     1898/master
tcp6       0      0 ::ffff:192.168.1.2:22   ::ffff:192.168.1.1:1241 ESTABLISHED5300/0
udp        0      0 0.0.0.0:900             0.0.0.0:*                          1996/rpc.statd
udp        0      0 0.0.0.0:903             0.0.0.0:*                          1996/rpc.statd
udp        0      0 192.168.1.2:137         0.0.0.0:*                          19171/nmbd
udp        0      0 0.0.0.0:137             0.0.0.0:*                          19171/nmbd
udp        0      0 192.168.1.2:138         0.0.0.0:*                          19171/nmbd
udp        0      0 0.0.0.0:138             0.0.0.0:*                          19171/nmbd
udp        0      0 0.0.0.0:10000           0.0.0.0:*                          19218/perl
udp        0      0 0.0.0.0:20000           0.0.0.0:*                          2229/perl
udp        0      0 127.0.0.1:1084          127.0.0.1:1084          ESTABLISHED24609/postmaster
udp        0      0 0.0.0.0:68              0.0.0.0:*                          1350/dhclient
udp        0      0 192.168.1.2:1736        192.168.1.1:53          ESTABLISHED32737/-bash
udp        0      0 0.0.0.0:1737            0.0.0.0:*                          28659/klogd
udp        0      0 0.0.0.0:1127            0.0.0.0:*                          28655/perl
udp        0      0 0.0.0.0:111             0.0.0.0:*                          1370/portmap


Je pense aussi que c'est le serveur qui initie les connexions, dans l'autre sens j'ai un firewall (si il fait son boulot correctement) qui doit bloquer tout ce qui n'est pas necessaire ...

En ce qui concerne le P2P, si c'est le cas et comme vous l'avez dit, ce sont des serveurs (un du boulot et le miens perso) sur lesquels je n'ai rien installe de tel ! Les logs de connexions ssh ne montrent que mes traaces, et tout ce qui vine d'autre que moi a ete jette du serveur. Donc il parait peut probable que qq un ce soit loggue pour y installer qq chose (je suis le seul a avoir les pass)

Pour l'IP, et sur les 2 serveurs (qui sont totalement distincts et pas sur le meme reseau) ce sont exactement les memes...

En regardant a nouveau en ecrivant le message je vois aussi des connexions avec bash ? Peut etre une de mes pages qui lance un programme local qui $%#&! ?

Suite aux remarques je viens de passer a syslog-ng et j'ai rouvert l'acces a l'IP concernee, on vera si la connexion reapparait ...

Quelle commande de tcpdump utiliser pour logguer ce qu'il faut vers cette adresse? (je l'ai jaimais utilise et ya 1200 pages de manuel, le temps que je finnisse de lire...)

Merci

Juju
theju
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 08 Déc 2004 14:09

Messagepar S0l0 » 28 Jan 2006 17:32

Ce dump des process est on peut plus bavard sur les services (un peu trop d'ailleurs ) que vous avez et je croit dans votre 1er vous avez oublier de mentionner tous ses sercices :shock: samba (ou du moins smbd et nmbd) ,postmaster portmap et master (serveur de courrier aussi ?(et master?) ssh,rpc,proftpd,mysql,perl(perl?pour les besoin de vos scritps???),et bash sur le port 6667(irc) (toujours pour les besoin de vos scripts?)ah et j'oubliait tripwire et cette ligne que je comprend pas
Code: Tout sélectionner
tcp6       0      0 ::ffff:192.168.1.2:22   ::ffff:192.168.1.1:1241 ESTABLISHED5300/[color=red]0[/color]

honnetement je crois que vous devriez stopper TOUS les programmes dont vous n'avez pas l'utiliter (a moins de tous les utiliser) et effectivement voir si cela aurait pu etre une intrusion ou pas .
Neanmoins j'aimerais attirer votre attention sur le fait qu'il est tout a fait possible d'attaquer un serveur et de faire en sorte qu'on voit que c'est le serveur qui a initie la connexion.....

ps:j'ai vu aussi que vous avez inetd vaut mieux Xinetd (en cas de dos ne plante pas aussi soudainement)

(re)ps qu''est-ce que c'est "" proftpd: (acce ""
penser vous possible de mettre une parti de vos logs snort sur un serveur pour les telechargez et analyser (serveur donner par MP bien sure) ca me changera de lire les miens :P :wink: .
Avez vous penser a mettre un proxy entre le serveur et votre 'invite' de miami.....
Avatar de l’utilisateur
S0l0
Contre-Amiral
Contre-Amiral
 
Messages: 407
Inscrit le: 01 Déc 2005 20:52
Localisation: 21 55

Messagepar micjack » 28 Jan 2006 19:54

S0l0 a écrit:Neanmoins j'aimerais attirer votre attention sur le fait qu'il est tout a fait possible d'attaquer un serveur et de faire en sorte qu'on voit que c'est le serveur qui a initie la connexion.....

C'est exate, un bon backdoor bien placé.. Mais vu le log, il me semble pas que se soit le cas.

Sans aller plus loin dans le détail du log, à croire que c'est un serveur qui est de l'autre coté, car il y'a plusieurs "CLOSE_WAIT" et à chaque reconnection "ESTABLISHED" il reste sur le meme port 5454 et si c'est un gus de l'autre coté, il aurrait lui aussi ses ports qui changerait. Maintenant, à savoir si c'est un port standard de serveur spécifique ou changé. Sans parlé du 6667 et des multi ports locaux established

Code: Tout sélectionner
tcp        0      0 192.168.1.2:1811        64.46.76.158:5454       ESTABLISHED28639/klogd
tcp        0      0 192.168.1.2:1810        64.46.76.158:5454       CLOSE_WAIT 28639/klogd
tcp        0      0 192.168.1.2:1813        64.46.76.158:5454       ESTABLISHED28639/klogd
tcp        0      0 192.168.1.2:1812        64.46.76.158:5454       CLOSE_WAIT 28639/klogd
tcp        0      0 192.168.1.2:1827        64.46.76.158:5454       ESTABLISHED28639/klogd
tcp        0      0 192.168.1.2:1826        64.46.76.158:5454       ESTABLISHED28639/klogd
tcp        0      0 192.168.1.2:1847        64.46.76.158:5454       ESTABLISHED28639/klogd
tcp        0      0 192.168.1.2:1844        64.46.76.158:5454       CLOSE_WAIT 28639/klogd
tcp        0      0 192.168.1.2:1859        64.46.76.158:5454       CLOSE_WAIT 28639/klogd
tcp        0      0 192.168.1.2:1863        64.46.76.158:5454       ESTABLISHED28639/klogd
tcp        0      0 192.168.1.2:1883        64.46.76.158:5454       ESTABLISHED28639/klogd
tcp        0      0 192.168.1.2:1882        64.46.76.158:5454       CLOSE_WAIT 28639/klogd
tcp        0      0 192.168.1.2:1873        64.46.76.158:5454       ESTABLISHED28639/klogd
tcp        1      0 192.168.1.2:1872        64.46.76.158:5454       CLOSE_WAIT 28639/klogd

Mais pourquoi autant de déconnexions ? La bande passante est aussi pourit que ca? Mais visiblement cette connexion ressemble à une tache à accomplir (comme une mise à jour par ex )

Si non, c'est vrais qu'il y'a visiblement du ménage à faire... Désactiver tout service inutils du demarrage surtout Samba et services Netbios ( Je suis d'ailleur étonné d'Inetd se trouve encore sur une distrib recente) Le top pour tes tests, tu laisse , firewall, ssh, apache et ce qui va bien pour faire tourner ton site.

Regarde aussi du coté de cron, ptet bien qu'une tache qui se lance vers cette IP.
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar theju » 29 Jan 2006 14:50

pour les services c'est normal, le site est temporairement sur mon serveur perso qui est avant tout un serveur samba. Il y a aussi ssh, ftp, web, ce qui est normal. Ensuite en local, les bases de donnees mysql et postgresql, plus le serveur mail... Pour Net bios, je sais pas trop, je suis pas administrateur linux a la base, on m'a colle ca sur le dos ...

Sinon quand il y a les connexions activees, mon reseau est HS (freebox avec 1 Mo en upload) mais pire ca met KO le reseau de la fac (connexion Renater directe a plusieurs Mo ! )

Voila, sinon rien de plus pour le moment, la connexion n'est pas reaparue, je vais remettre progressivement comme a l'origine pour voir si ca reviens et ce qui le fait revenir ...

Merci
theju
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 08 Déc 2004 14:09

Suivant

Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron