Bonjour,
Je croix bien avoir été victime d'une intrusion sur mon serveur apache.
Depuis quelques jours, j’ai quelque chose sur mon serveur qui envoi des requêtes sur le port 80 a des serveurs Apache(@IP 72.232.196.230, 72.36.247.90,…).
J’ai donc bloqué le port 80 en sorti sur mon serveur.
J’ai fait des recherches avec lsof, netstat, nmap mais ca ne donne rien.
J’ai remarqué que si j’arrête le service httpd, il n’y a plus de requêtes envoyées.
J’ai vraiment du mal a comprendre ce qu’il ce passe.
Est-ce que quelqu’un a une idée ?
Merci,
Julyon
Intrusion sur serveur apache?
Modérateur: modos Ixus
23 messages
• Page 1 sur 2 • 1, 2
Intrusion sur serveur apache?
par Julyon » 07 Déc 2006 16:46
- Julyon
- Quartier Maître
- Messages: 12
- Inscrit le: 07 Déc 2006 16:32
par S0l0 » 07 Déc 2006 18:38
bonjour,
Possible qu'un rootkit ou un binaire est infecter apache , pour en etre sure as-tu enregistrer des traces reseaux de ce qui sort de chez toi...
Mais avec les IPs 'chinois' possible que tu heberge un site ole ole sans le savoir ? ? ? ? ? ?
Possible qu'un rootkit ou un binaire est infecter apache , pour en etre sure as-tu enregistrer des traces reseaux de ce qui sort de chez toi...
Mais avec les IPs 'chinois' possible que tu heberge un site ole ole sans le savoir ? ? ? ? ? ?
-
S0l0 - Contre-Amiral
- Messages: 407
- Inscrit le: 01 Déc 2005 20:52
- Localisation: 21 55
par Muzo » 07 Déc 2006 21:25
En ce qui concerne les rootkit, installes rkhunter et il te le dira.
Ensuite si tu dois réinstaller ton serveur, installes aussi rkhunter qui peut tourner en cron et contrôler ta machine toutes les nuits.
Ensuite si tu dois réinstaller ton serveur, installes aussi rkhunter qui peut tourner en cron et contrôler ta machine toutes les nuits.
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
-
Muzo - Amiral
- Messages: 5236
- Inscrit le: 07 Mai 2003 00:00
- Localisation: BNF! Je me culturise.
par Julyon » 07 Déc 2006 22:31
Il est génial cet outil!
bon, il ne m'a rien trouvé mais je croix que je vais l'installer sur tout les serveurs.
Il ne m'a ressorti qu'un warning et une vulnérabilité qu'il va falloir que je corrige.
Quelqu'un a peut-etre une autre idée?
bon, il ne m'a rien trouvé mais je croix que je vais l'installer sur tout les serveurs.
Il ne m'a ressorti qu'un warning et une vulnérabilité qu'il va falloir que je corrige.
- Code: Tout sélectionner
* Filesystem checks
Checking /dev for suspicious files... [ OK ]
Scanning for hidden files... [ Warning! ]
---------------
/dev/.started
/dev/.udevdb /etc/.pwd.lock
/etc/.qtrc.lock
/etc/.qt_plugins_3.3rc.lock
/etc/.passwd.swp
---------------
Please inspect: /dev/.udevdb (directory) /etc/.passwd.swp (data)
...
* Application version scan
- GnuPG 1.4.0 [ OK ]
- OpenSSL 0.9.7e [ Vulnerable ]
- Procmail MTA 3.22 [ OK ]
- ProFTPd 1.2.10 [ OK ]
- OpenSSH 4.3p1 [ Unknown ]
Quelqu'un a peut-etre une autre idée?
- Julyon
- Quartier Maître
- Messages: 12
- Inscrit le: 07 Déc 2006 16:32
par Muzo » 08 Déc 2006 10:03
Ca veut peut être dire que tu as un faille dans ton openssh (qui ne semble pas être à jour) et que ton intrusion c'est (peut-être) faite par là.
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
-
Muzo - Amiral
- Messages: 5236
- Inscrit le: 07 Mai 2003 00:00
- Localisation: BNF! Je me culturise.
par Julyon » 08 Déc 2006 11:03
C'est effectivement une possibilité.
J'essai de mettre a jour la base de rkhunter pour être sur qu'il ne me trouve rien, mais j'ai ce message :
J'essai de mettre a jour la base de rkhunter pour être sur qu'il ne me trouve rien, mais j'ai ce message :
- Code: Tout sélectionner
Running updater...
Mirrorfile /usr/local/rkhunter/lib/rkhunter/db/mirrors.dat rotated
Using mirror http://www.rkhunter.com.ar
[DB] Mirror file : ERROR
Fatal error: Problem while fetching file
- Julyon
- Quartier Maître
- Messages: 12
- Inscrit le: 07 Déc 2006 16:32
par Julyon » 11 Déc 2006 12:01
Voici des info complémentaires :
Je viens de m'apercevoir de ceci dans les logs d'apache :
Access_log :
error_log :
Je ne sais pas vraiment analyser ces logs, et je ne sais pas trop quoi faire!
Si quelqu'un aurait une idée, ce serait génial.
Merci
Je viens de m'apercevoir de ceci dans les logs d'apache :
Access_log :
- Code: Tout sélectionner
219.153.19.72 - - [11/Dec/2006:10:03:25 +0100] "GET http://qing.love.topzj.com/thread-30276-15-1.html HTTP/1.1" 502 693
59.188.44.170 - - [11/Dec/2006:10:03:25 +0100] "GET http://www.c2000.cn/index.asp HTTP/1.1" 502 646
219.153.19.72 - - [11/Dec/2006:10:03:26 +0100] "GET http://66sy.cc.topzj.com/thread-366183-2-1.html HTTP/1.1" 502 687
59.188.44.170 - - [11/Dec/2006:10:03:26 +0100] "GET http://www.c2000.cn/index.asp HTTP/1.1" 502 646
219.153.19.72 - - [11/Dec/2006:10:03:27 +0100] "GET http://jingyinzhilu.ent.topzj.com/forum-90831-19.html HTTP/1.1" 502 708
219.153.19.72 - - [11/Dec/2006:10:03:28 +0100] "GET http://bbs.dospy.com/viewthread.php?tid=71848 HTTP/1.1" 502 681
59.188.44.170 - - [11/Dec/2006:10:03:28 +0100] "GET http://www.c2000.cn/list.asp?boardid=1&page=50 HTTP/1.1" 502 686
219.153.19.72 - - [11/Dec/2006:10:03:29 +0100] "GET http://yycherry.aa.topzj.com/thread-108004-57-1.html HTTP/1.1" 502 701
219.153.19.72 - - [11/Dec/2006:10:03:30 +0100] "GET http://zhh1213.cc.topzj.com/thread-144851-27-1.html HTTP/1.1" 502 698
219.153.19.72 - - [11/Dec/2006:10:03:30 +0100] "GET http://bbs.topzj.com/thread-187551-47-1.html HTTP/1.1" 502 677
59.188.44.170 - - [11/Dec/2006:10:03:31 +0100] "GET http://www.c2000.cn/list.asp?boardid=1&page=83 HTTP/1.1" 502 686
219.153.19.72 - - [11/Dec/2006:10:03:32 +0100] "GET http://ph.game.topzj.com/forum-18656-16.html HTTP/1.1" 502 681
59.188.44.170 - - [11/Dec/2006:10:03:32 +0100] "GET http://www.c2000.cn/list.asp?boardid=1&page=111 HTTP/1.1" 502 688
error_log :
- Code: Tout sélectionner
[Mon Dec 11 10:05:57 2006] [error] [client 219.153.19.72] proxy: DNS lookup failure for: ph.game.topzj.com returned by http://ph.game.topzj.com/forum-18656-16.html, referer: http://bbs.topzj.com
[Mon Dec 11 10:05:57 2006] [error] [client 59.188.44.170] proxy: DNS lookup failure for: www.c2000.cn returned by http://www.c2000.cn/list.asp?boardid=1&page=170, referer: http://www.hackeroo.com
[Mon Dec 11 10:05:58 2006] [error] [client 59.188.44.170] proxy: DNS lookup failure for: www.c2000.cn returned by http://www.c2000.cn/list.asp?boardid=1&page=198, referer: http://www.c2000.cn
[Mon Dec 11 10:05:59 2006] [error] [client 219.153.19.72] proxy: DNS lookup failure for: bbs.topzj.com returned by http://bbs.topzj.com/thread-187551-47-1.html, referer: http://bbs.topzj.com
[Mon Dec 11 10:06:00 2006] [error] [client 219.153.19.72] proxy: DNS lookup failure for: jpmusic.qq.topzj.com returned by http://jpmusic.qq.topzj.com/thread-145990-57-1.html, referer: http://bbs.topzj.com
Je ne sais pas vraiment analyser ces logs, et je ne sais pas trop quoi faire!
Si quelqu'un aurait une idée, ce serait génial.
Merci
- Julyon
- Quartier Maître
- Messages: 12
- Inscrit le: 07 Déc 2006 16:32
par Muzo » 11 Déc 2006 12:11
Salut,
Pour les logs access :
http://www.codeshttp.com/
code 502 : Le serveur intermédiaire a fourni une réponse invalide. Le serveur HTTP a agi en tant qu'intermédiaire (passerelle ou proxy) avec un autre serveur, et a reçu de ce dernier une réponse invalide en essayant de traiter la requête.
En gros ton apache sert de serveur intermédiaire ...
Si tu regardes les logs d'erreur, tu peux voir qu'il fait un lookup vers les site et il ne les trouve pas.
Voici ce qui se passe sur ton apache :
1- requete vers le site chinois
2- apache regarde si le site existe (lookup dns)
3- site non trouvé -> log erreur
4- apache retourne un 502 -> log access
Si ton serveur a été corrompu, tu devrais avoir quelque chose dans ta conf apache à propos de c2000.cn et des autres sites.
Pour les logs access :
http://www.codeshttp.com/
code 502 : Le serveur intermédiaire a fourni une réponse invalide. Le serveur HTTP a agi en tant qu'intermédiaire (passerelle ou proxy) avec un autre serveur, et a reçu de ce dernier une réponse invalide en essayant de traiter la requête.
En gros ton apache sert de serveur intermédiaire ...
Si tu regardes les logs d'erreur, tu peux voir qu'il fait un lookup vers les site et il ne les trouve pas.
Voici ce qui se passe sur ton apache :
1- requete vers le site chinois
2- apache regarde si le site existe (lookup dns)
3- site non trouvé -> log erreur
4- apache retourne un 502 -> log access
Si ton serveur a été corrompu, tu devrais avoir quelque chose dans ta conf apache à propos de c2000.cn et des autres sites.
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
-
Muzo - Amiral
- Messages: 5236
- Inscrit le: 07 Mai 2003 00:00
- Localisation: BNF! Je me culturise.
par Julyon » 11 Déc 2006 16:06
Merci pour toutes ces infos.
J'ai commencé à rechercher les sites dans les fichiers du serveur, mais je n'ai rien trouvé pour le moment.
Est ce qu'ils peuvent ce trouvé dans des fichiers binaires? Si oui, comment est ce que je peux faire une recherche? Avec grep?
Merci encore!
J'ai commencé à rechercher les sites dans les fichiers du serveur, mais je n'ai rien trouvé pour le moment.
Est ce qu'ils peuvent ce trouvé dans des fichiers binaires? Si oui, comment est ce que je peux faire une recherche? Avec grep?
Merci encore!
- Julyon
- Quartier Maître
- Messages: 12
- Inscrit le: 07 Déc 2006 16:32
23 messages
• Page 1 sur 2 • 1, 2
Retour vers Sécurité et réseaux
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité