OVH Community, votre nouvel espace communautaire.

[ Pour vous aider ] Réparer un Serveur Release 2 64 bits Hacké


Brain 0verride
29/10/2014, 10h32
Attention bis : si vous l'exécutez en mode rescue :

1) il faut commenter les 2 lignes lsattr (1 au début et une à la fin)
2) il faut être chrooté dans l'environnement de votre serveur (généralement chroot /mnt)

amicalement,

Brain 0verride
23/10/2014, 16h52
Pour lsof il est déjà traité par le script (remplacé par une version saine). Concernant init par exemple, je l'ai trouvé une fois à la place de bufdaemon et lancé 2 fois sur le serveur en plus. Je suis tombé aussi sur des machines qui visiblement avaient été hackées jusqu'à 4 fois par un script et/ou ses variantes.

- - - Mise à jour - - -

Pour les binaires dans /tmp, j'ai choisi de ne pas les traiter, (après tout le problème c'est si on les appelle et "/tmp" est une zone nettoyable en dehors de la zone système. Là j'y ai trouvé des dizaines d'exploits différents qui pouvaient y trainer.

TBC_Ly0n
23/10/2014, 15h45
J'ai vu des fichiers uodbc se balader aussi dans différents emplacement.
Le binaire lsof est remplacé par un shell script qui appelle le binaire lsof copié dans un autre dossier.
Ce script liste aussi les différents outils déployés, notamment init, appInt, bufd...

Il y a des binaires dans /tmp à supprimer aussi...

Dans le cas que j'ai eu, il a été décidé de migrer le serveur vers la R3.
Au moins c'est une CentOS qui est maintenue, et surtout, facile à mettre à jour.

Parce que le patch-all d'ovh, ça va bien 5 minutes...

Brain 0verride
23/10/2014, 14h11
Comme je vois dans mes logs que certains ont testé, s'ils peuvent me donner leur retour ? S'ils ne veulent pas le faire sur le forum, vous pouvez m'envoyer en privé : christophe.casalegno@digital-network.net

amicalement,

Brain 0verride
23/10/2014, 13h50
Bonjour à tous, j'ai eu l'occasion ces derniers jours de devoir intervenir sur plusieurs clients OVH. Attention en préambule, tous les cas ne sont pas strictement identiques, il y a parfois quelques variantes.

J'ai un peu synthétisé le point commun des différents nettoyage dans un script shell basique qui semble fonctionner dans environ 80% des cas. Je vous en fait donc profiter.

Attention :

1) Rien ne remplace une analyse manuelle fine
2) Pour ceux qui ont la possibilité de réinstaller de 0, c'est toujours plus sur.
3) Je ne suis pas responsable d'une utilisation inadaptée, etc.

Cependant, tout le monde ne peut pas migrer et/ou réinstaller, un nettoyage vous permettra donc de pouvoir mieux vous organiser en vous accordant un temps non négligeable.

Le script en version alpha est disponible ici : http://www.christophe-casalegno.com/ovh/ovh.sh

Vous pouvez aussi l'utiliser en mode rescue (après vous êtes chrootés dans le répertoire de votre serveur)

PS : pour ceux qui râlent, tous les hébergeurs dans le monde ont été touchés, ce n'est *pas* un problème spécifique à ovh, mais à toutes les distributions qui n'ont plus de mises à jour ou qui ne peuvent être mises à jour pour d'autres raisons (dépendances applicatives, etc.)

amicalement,