Trouver le backdoor

[rudddy]

Bonjour à tous,

j'ai un gros problème : j'ai un VPS chez 1and1 qui héberge plusieurs sites. un de mes clients a un concurrent pas très content de sa visibilité sur le web et essaye de le faire tomber : il a fait un backdoor dans le serveur et modifie les prix de la boutique en ligne de mon client quand il veut !

Comment je sais : il l'a dit à mon client par téléphone (conversation enregistrée ), je sais où il habite (à l'étranger et aussi dans quelle ville) et quand je fait sur mon serveur un

Code: Tout sélectionner

netstat -antu

je trouve son IP (quand je la trace, elle correspond exactement à son petit patelin à l'étranger)

ne me dites pas pourquoi le bonhomme a dit ça par téléphone à mon client : j'y pige rien mais je pense que le bonhomme aime jouer !

(et puis j'ai analysé les logs du serveur, le bonhomme y passe des heures dessus !!!)

bref, le dépôt de plainte a été fait ... en attendant mon client ne peut pas bosser car les prix n'arrêtent pas de changer !!!

donc ma question est la suivant : comment trouver par où le bonhomme passe, quelle est la faille dans le script, et comment la colmater ???

voici ce que donne le netstat :

Code: Tout sélectionner

tcp   0   0   IP_DE_MON_SERVEUR:110    SON_IP:3285   TIME_WAIT

y'a quoi au port 110 ? le mail (pop) non ?

PS le script du ecommerce est Shop-Script Free (adapté)


MERCI

[Topsitemaker]

Bonjour,
Il faut que tu sois aider par un administrateur système.

1 - Détecter la porte d'entrée de l'intrus
----------------------------------------------

Il faut chercher dans les logs apache,
système /var/log/messages, /var/log/secure
ya encore d'autres fichiers. En espérant qu'il n'a pas effacé sa trace, bien sur...

si tu connais son IP xxx.xxx.xxx.xxx à un moment T
tu fais par exemple
grep "xxx.xxx.xxx.xxx" /var/log/*

Ca te donnera la gravité de l'instrusion, si c'est juste une connaissance du mot de passe, ou c'est un système totalement compromis avec rootkit.

2 - Bloquer l'accès à l'intrus
------------------------------
là pareil ya plusieurs moyens, je te donne celle ou tu tues la mouche avec un marteau
tu connais son ip xxx.xxx.xxx.xxx,
tu fais whois xxx.xxx.xxx.xxx
ca devrait tu donnais une plage d'IP xxx.xxx.yyy.0 xxx.xxx.zzz.255 de son provider.
ca te donnes une plage d'ip, comme il est à l'étranger, ton ip et celui de la majorité de tes visiteurs est normalement pas incluse. Mais bon faut faire attention avec iptables car tu peux bloquer ton accès à la machine aussi si tu fais n'importe quoi.

tu bloques avec une règle Iptables

/sbin/iptables -A INPUT -m iprange --src-range xxx.xxx.yyy.0-xxx.xxx.zzz.255 -j REJECT

si t'as machine est bien configurée, tu devrais voir les logs dans /var/log/iptables
cette règle est annulée si tu rebootes

3 - Sécurisé la machine
---------------------------
passer la machine à l'anti-virus (ex: f-prot qui est gratuit), et à chkrootkit

Changer tous tes mots de passe système et FTP et mail, car peut etre que l'intrus a d'autres moyens pour pénétrer dans ta machine. Essayes de scruter ses mouvements, et de surveiller attentivement les fichiers logs.
si la machine est compromise faut demander à ton hébergeur de refondre ton VPS.

Essayes d'enchainer tout ça à la suite, pour ne pas lui laisser de répondre par un acte destructeur.

voilà

[Ron56]

Bloque sa plage ip dans un premier temps, en plus si il est a l'étranger c'est pas trop dérangeant


Après c'est clair qu'il faut trouver la porte

[rudddy]

merci de vos conseils

en faisant le grep j'ai des centaines de lignes :

/var/log/pop3d.log:08/11/10@22:26:36: START: pop3 pid=24366 from=xxx.xxx.xxx.xxx


ou xxx.xxx.xxx.xxx est son ip


ca correspond au port 110 indiqué plus haut


comment trouver la faille ?

[seebz]

salut, je suis pas expert mais as-tu mis à jour ton serveur pop ?

utilises-tu vraiment le serveur pop sur cette machine ?
peut-être devrais-tu fermer ce service provisoirement si c'est réalisable.

bonne chance en tout cas

[rudddy]

ba oui mes clients utilisent ce pop pour lire leurs mails et je n'ai fait aucune mise à jour de mon serveur pop (j'aurais du )

[seebz]

c'est quel service exactement ?

[rudddy]

pop3

[seebz]

lol j'avais compris, je demandais le nom et la version du service qui tourne sur ce port

Cmailserver, Axigen eMail Server , .. ?

http://www.google.fr/search?q=remote+exploit+pop3+110

[rudddy]

désolé j'ai pas fait exprès ... je suis naze en admin réseaux et serveurs.

comment savoir quelle est la version ?

[rudddy]

petite info en faisant un last, j'ai trouvé plusieurs lignes :

le_compte_de_mon_client ftpd21566 l'ip_du_hacker Sun Nov 9 19:16 - 19:21 (00:05)

donc il ne s'est pas connecté en root

[padawan2]

Hors sujet: tu as vraiment du courage pour venir poser ce genre de question ici...

Bon courage pour le "dévérolage" de ton serveur.

[seebz]

ouch bonne question, j'ai jamais été doué avec linux

je me rappelle seulement de la commande top qui liste les processus actifs qui consomment le plus, avec un peu de chance peut-être que tu le verra apparaitre (en root)


sinon, je viens de trouver ceci

jobs Affiche les process qui s’exécutent en tâche de fond

mais un expert te trouverai ca directement (j'essaye d'aider comme je peux)


ps : ftpd , c'est le demon ftp non ? ca sent pas bon on dirait

[rudddy]

voici ce que j'ai fait :

1-
fuser 110/tcp

qui me donne comme résultat : 12120

2-
ls -l /proc/12120

qui me donne comme résultat :

total 0
-r-------- 1 root root 0 Nov 11 21:03 auxv
-r--r--r-- 1 root root 0 Nov 11 21:03 cmdline
lrwxrwxrwx 1 root root 0 Nov 11 21:02 cwd -> /
-r-------- 1 root root 0 Nov 11 21:03 environ
lrwxrwxrwx 1 root root 0 Nov 11 07:30 exe -> /usr/sbin/xinetd
dr-x------ 2 root root 0 Nov 11 21:02 fd
-r--r--r-- 1 root root 0 Nov 11 21:02 maps
-rw------- 1 root root 0 Nov 11 21:03 mem
-r--r--r-- 1 root root 0 Nov 11 21:03 mounts
-r-------- 1 root root 0 Nov 11 21:03 mountstats
-r--r--r-- 1 root root 0 Nov 11 21:03 numa_maps
lrwxrwxrwx 1 root root 0 Nov 11 21:02 root -> /
-r-------- 1 root root 0 Nov 11 21:03 smaps
-r--r--r-- 1 root root 0 Nov 11 20:41 stat
-r--r--r-- 1 root root 0 Nov 11 21:03 statm
-r--r--r-- 1 root root 0 Nov 11 21:03 status
dr-xr-xr-x 3 root root 0 Nov 11 21:03 task
-r--r--r-- 1 root root 0 Nov 11 21:03 wchan


vois-tu quelque chose de bizarre ?


sinon merci pour ton aide, et pourquoi ca sent pas bon le ftpd ???

[seebz]

bof, j'y comprend pas grand chose :s
j'suis désolé, j'aurai voulu pouvoir t'aider.

pour le "ca sent pas bon", je pensait qu'il avait réussi à avoir accès à une connexion ftp mais c'est à confirmer.

vois avec le service technique de 1and1, ils devraient t'être d'une meilleur aide que moi (en tout cas je te le souhaite lol) mais j'ai l'impression qu'il faudrait commencer par mettre à jour le service pop.

encore bonne chance, tiens-nous au courant ,)