Serveur Hacké !? 0 signe de hack... [Archives]

jhonbauwens

12/11/2014, 11h22

Merci bbr18 !

bbr18

12/11/2014, 10h37

R2 vers R3 c'est assez simple
récupérer tous les /home/user/www
ne pas récupérer ces répertoires :
/home/mysql (on fera un dump à l'étape suivante)
/home/log (trop volumineux)
/home/ovhm (il ne faut pas écraser la nouvelle version si passage en R3 et sur les autres ce n'est pas compatible)
/home/ovh (ça écraserait la nouvelle version)
/home/lost+found (inutile)
Cas particulier
/home/vpopmail (si passage à une autre distribution, le serveur de mail sera postfix, plus qmail), soit vous oubliez toutes les anciennes boites mail soit vous copiez ce répertoire et ensuite il faudra utiliser un script pour convertir qmail en Postfix
et bien sûr dump des BDD
ensuite installer tous les domaines avec le même user que sur la R2
puis copier toutes les sauvegardes et importer les bdd

jhonbauwens

12/11/2014, 10h21

Je compte passer sur la release 3 de toute façon. J'aimerai juste avoir le temps de le faire

D'après Shellshock, pas de problème de vulnérabilité...

Nowwhat

12/11/2014, 09h40

T'as pas répondu aux questions.

Shellshock : oui ou non ?
dans le cas d'un oui, garder son serveur a jour va grandement aider déjà. Très simple à réaliser.
Mais: un serveur une fois hacké restera suspect à vie.
Il est possible de déhacker ... mais ça demande plus de connaissance que le hackeur qui a hacké ton serveur. Ce que t'as pas, ton serveur ne serait pas hacké si c'été le cas (et t’inquiète, rien de personnel ici, très peu savent réellement exploiter ce bug … et encore moins savent réparer un serveur une fois contaminé)

Après un hack il n’y qu’une sortie rapide : la stratégie de la terre brulé. Il n’y que ça qui donne des solutions surs et rapides.

bbr18

12/11/2014, 09h36

bien sûr... jusqu'au prochain hack, je te rappelle que la R2 n'est plus suivie, depuis l'ultime patch sorti par ovh, il y a eu une faille touchant wget, ton serveur n'a pas la parade, et ceci n'est qu'un exemple.

jhonbauwens

12/11/2014, 09h24

J'ai relancé le serveur en mode normal. Il tourne... Possibilité de le 'déhacker' sans réinstallation?

bbr18

12/11/2014, 09h19

donc : récupération des données puis réinstallation du serveur, pas d'autre choix

jhonbauwens

12/11/2014, 09h17

Sorry j'avais pas vu ceci:

De : OVH - Anti-hack Pour : jb18330-ovh
Date : 2014-11-09 18:50:40

Bonjour,

Votre serveur ns316001.ip-37-187-128.eu representant une trop grande menace pour notre
reseau, nous n'avons eu d'autre choix que de le placer dans le mode
'rescue FTP'. Un identifiant et un mot de passe vous ont ete communiques
par email afin que vous puissiez recuperer simplement vos donnees encore
presente sur son espace de stockage.

N'hesitez pas a vous rapprocher du support technique afin que cette
situation ne devienne pas critique.

Vous pourrez retrouver ci-dessous les logs remontes par notre systeme qui
ont conduit a cette alerte.

- DEBUT DES INFORMATIONS COMPLEMENTAIRES -

Attack detail : 17Kpps/77Mbps
dateTime srcIp:srcPort dstIp:dstPort bytes protocol

09 Nov 2014 17:30:22:008 GMT 37.187.128.69:54112 192.241.89.206:29999 92 UDP
09 Nov 2014 17:30:22:119 GMT 37.187.128.69:54112 192.241.89.206:29999 92 UDP
09 Nov 2014 17:30:22:009 GMT 37.187.128.69:54112 192.241.89.206:29999 92 UDP
09 Nov 2014 17:30:22:154 GMT 37.187.128.69:54112 192.241.89.206:29999 92 UDP
09 Nov 2014 17:30:22:486 GMT 37.187.128.69:54112 192.241.89.206:29999 92 UDP
09 Nov 2014 17:30:22:473 GMT 37.187.128.69:54112 192.241.89.206:29999 93 UDP
09 Nov 2014 17:30:20:871 GMT 37.187.128.69:54112 192.241.89.206:29999 93 UDP
09 Nov 2014 17:30:22:419 GMT 37.187.128.69:54112 192.241.89.206:29999 93 UDP
09 Nov 2014 17:30:22:023 GMT 37.187.128.69:54112 192.241.89.206:29999 93 UDP
09 Nov 2014 17:30:22:274 GMT 37.187.128.69:54112 192.241.89.206:29999 93 UDP

- FIN DES INFORMATIONS COMPLEMENTAIRES -

Nowwhat

12/11/2014, 06h52

Malheureusement,
Ceci

Envoyé par jhonbauwens

Serveur Hacké !? 0 signe de hack...

ne veut rien dire.

Ce n'est pas par ce que tu ne trouve rien, qu'il n'y a rien.
Ton serveur a du faire partie du lot qui a réalisé cette fête: http://travaux.ovh.net/?do=details&id=11995

Juste pour voir: https://shellshocker.net/

fritz2cat

12/11/2014, 06h35

Rien dans le ticket non plus ?
il y a un lien https://www.ovh.com/managerv3/servic...cketId=1917140 dans ton mail.

jhonbauwens

11/11/2014, 23h47

Rien recu d'interessant par mail... Ce qui suit et un mail avec les acces pour recuperer mes fichiers par ftp...

Tout est à jour sur les serveurs, du moins je pense !

Ticket 1917140 - Anti-hack

Bonjour,

Une intervention vient d'être programmée sur ns316001.ip-37-187-128.eu

Pour plus de détails, veuillez vous référer aux informations
du ticket 1917140 que nous venons de créer.

Ne répondez pas à cet email, veuillez utiliser l'interface web :
https://www.ovh.com/managerv3/servic...cketId=1917140

Pour rappel, votre identifiant client est: jb18330-ovh

Cordialement,

Support Client OVH
Support Technique : 08.99.49.87.65 (1,349 Euro/appel + 0,337 Euro/min)
Support Commercial : 08.20.69.87.65 (Numéro Indigo 0,118 Euro/min)
Fax : 03.20.20.09.58
Contact : http://www.ovh.com/fr/contact
Du lundi au vendredi : 8h00 - 20h00
Le samedi : 9h00 - 17h00

buddy

10/11/2014, 10h57

il se peut que le "hack" ait consisté à lancer un script qui attaquait un autre serveur. Ces scripts sont souvent dans la RAM du serveur, donc au reboot, il disparaît ...
Tu as quelle distribution ? (la Release 2 OVH n'est plus maintenue )
Tout est à jour ? (Les paquets de ta distrib + joomla / wordpress / etc si tu en utilises ? )

Ton serveur ne serait pas vulénrable à shellshock ?

tcp6 0 0 37.187.128.69:143 54.88.194.3:54562 ESTABLISHED 10908/bash
[...]
tcp6 0 0 37.187.128.69:143 91.179.195.100:53419 ESTABLISHED 11374/bash
tcp6 0 0 37.187.128.69:143 185.30.176.174:33125 ESTABLISHED 6539/bash
[...]
tcp6 0 0 37.187.128.69:143 185.30.176.174:33125 ESTABLISHED 6539/bash
[..]
tcp6 0 0 37.187.128.69:143 91.179.195.100:53118 ESTABLISHED 9342/bash

fritz2cat

10/11/2014, 10h52

Tu peux copier/coller le message de hack que OVH t'a envoyé ? Parfois ça contient des informations utiles.

jhonbauwens

09/11/2014, 19h56

Hello à tous,

C'est la 2ème fois qu'OVH bloque mon serveur pour cause de soi-disant hack... Hors je ne trouve rien d'anormal dans mes fichiers, ni dans ps auxw, ni dans le netstat -tanpu... Si quelqu'un peut m'éclairer?

Voici les retours:

PS AUXW

Code:

USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0   2628   580 ?        Ss   20:13   0:00 init [3]       
root         2  0.0  0.0      0     0 ?        S    20:13   0:00 [kthreadd]
root         3  0.0  0.0      0     0 ?        S    20:13   0:00 [ksoftirqd/0]
root         5  0.0  0.0      0     0 ?        S<   20:13   0:00 [kworker/0:0H]
root         7  0.0  0.0      0     0 ?        S    20:13   0:00 [migration/0]
root         8  0.0  0.0      0     0 ?        S    20:13   0:00 [rcu_bh]
root         9  0.0  0.0      0     0 ?        S    20:13   0:00 [rcu_sched]
root        10  0.0  0.0      0     0 ?        S    20:13   0:00 [migration/1]
root        11  0.0  0.0      0     0 ?        S    20:13   0:00 [ksoftirqd/1]
root        12  0.0  0.0      0     0 ?        S    20:13   0:00 [kworker/1:0]
root        13  0.0  0.0      0     0 ?        S<   20:13   0:00 [kworker/1:0H]
root        14  0.0  0.0      0     0 ?        S    20:13   0:00 [migration/2]
root        15  0.0  0.0      0     0 ?        S    20:13   0:00 [ksoftirqd/2]
root        16  0.0  0.0      0     0 ?        S    20:13   0:00 [kworker/2:0]
root        17  0.0  0.0      0     0 ?        S<   20:13   0:00 [kworker/2:0H]
root        18  0.0  0.0      0     0 ?        S    20:13   0:00 [migration/3]
root        19  0.0  0.0      0     0 ?        S    20:13   0:00 [ksoftirqd/3]
root        20  0.0  0.0      0     0 ?        S    20:13   0:00 [kworker/3:0]
root        21  0.0  0.0      0     0 ?        S<   20:13   0:00 [kworker/3:0H]
root        22  0.0  0.0      0     0 ?        S    20:13   0:00 [migration/4]
root        23  0.0  0.0      0     0 ?        S    20:13   0:00 [ksoftirqd/4]
root        24  0.0  0.0      0     0 ?        S    20:13   0:00 [kworker/4:0]
root        25  0.0  0.0      0     0 ?        S<   20:13   0:00 [kworker/4:0H]
root        26  0.0  0.0      0     0 ?        S    20:13   0:00 [migration/5]
root        27  0.0  0.0      0     0 ?        S    20:13   0:00 [ksoftirqd/5]
root        28  0.0  0.0      0     0 ?        S    20:13   0:00 [kworker/5:0]
root        29  0.0  0.0      0     0 ?        S<   20:13   0:00 [kworker/5:0H]
root        30  0.0  0.0      0     0 ?        S    20:13   0:00 [migration/6]
root        31  0.0  0.0      0     0 ?        S    20:13   0:00 [ksoftirqd/6]
root        32  0.0  0.0      0     0 ?        S    20:13   0:00 [kworker/6:0]
root        33  0.0  0.0      0     0 ?        S<   20:13   0:00 [kworker/6:0H]
root        34  0.0  0.0      0     0 ?        S    20:13   0:00 [migration/7]
root        35  0.0  0.0      0     0 ?        S    20:13   0:00 [ksoftirqd/7]
root        36  0.0  0.0      0     0 ?        S    20:13   0:00 [kworker/7:0]
root        37  0.0  0.0      0     0 ?        S<   20:13   0:00 [kworker/7:0H]
root        38  0.0  0.0      0     0 ?        S<   20:13   0:00 [khelper]
root        39  0.0  0.0      0     0 ?        S    20:13   0:00 [kdevtmpfs]
root        40  0.0  0.0      0     0 ?        S<   20:13   0:00 [netns]
root       522  0.0  0.0      0     0 ?        S<   20:13   0:00 [writeback]
root       524  0.0  0.0      0     0 ?        S<   20:13   0:00 [kintegrityd]
root       525  0.0  0.0      0     0 ?        S<   20:13   0:00 [bioset]
root       527  0.0  0.0      0     0 ?        S<   20:13   0:00 [kblockd]
root       637  0.0  0.0      0     0 ?        S<   20:13   0:00 [ata_sff]
root       647  0.0  0.0      0     0 ?        S    20:13   0:00 [khubd]
root       657  0.0  0.0      0     0 ?        S<   20:13   0:00 [md]
root       660  0.0  0.0      0     0 ?        S<   20:13   0:00 [edac-poller]
root       765  0.0  0.0      0     0 ?        S<   20:13   0:00 [rpciod]
root       766  0.0  0.0      0     0 ?        S    20:13   0:00 [kworker/0:1]
root       767  0.0  0.0      0     0 ?        S    20:13   0:00 [irq/72-AMD-Vi]
root       768  0.0  0.0      0     0 ?        S<   20:13   0:00 [kvm-irqfd-clean]
root       771  0.0  0.0      0     0 ?        S    20:13   0:00 [kworker/2:1]
root       877  0.0  0.0      0     0 ?        S    20:13   0:00 [kswapd0]
root       878  0.0  0.0      0     0 ?        SN   20:13   0:00 [ksmd]
root      1001  0.0  0.0      0     0 ?        S    20:13   0:00 [fsnotify_mark]
root      1041  0.0  0.0      0     0 ?        S<   20:13   0:00 [nfsiod]
root      1054  0.0  0.0      0     0 ?        S<   20:13   0:00 [cifsiod]
root      1075  0.0  0.0      0     0 ?        S    20:13   0:00 [jfsIO]
root      1076  0.0  0.0      0     0 ?        S    20:13   0:00 [jfsCommit]
root      1077  0.0  0.0      0     0 ?        S    20:13   0:00 [jfsCommit]
root      1078  0.0  0.0      0     0 ?        S    20:13   0:00 [jfsCommit]
root      1079  0.0  0.0      0     0 ?        S    20:13   0:00 [jfsCommit]
root      1080  0.0  0.0      0     0 ?        S    20:13   0:00 [jfsCommit]
root      1081  0.0  0.0      0     0 ?        S    20:13   0:00 [jfsCommit]
root      1082  0.0  0.0      0     0 ?        S    20:13   0:00 [jfsCommit]
root      1083  0.0  0.0      0     0 ?        S    20:13   0:00 [jfsCommit]
root      1084  0.0  0.0      0     0 ?        S    20:13   0:00 [jfsSync]
root      1098  0.0  0.0      0     0 ?        S<   20:13   0:00 [xfsalloc]
root      1100  0.0  0.0      0     0 ?        S<   20:13   0:00 [xfs_mru_cache]
root      1103  0.0  0.0      0     0 ?        S<   20:13   0:00 [xfslogd]
root      1110  0.0  0.0      0     0 ?        S<   20:13   0:00 [ocfs2_wq]
root      1113  0.0  0.0      0     0 ?        S<   20:13   0:00 [user_dlm]
root      1128  0.0  0.0      0     0 ?        S<   20:13   0:00 [bioset]
root      1138  0.0  0.0      0     0 ?        S<   20:13   0:00 [glock_workqueue]
root      1139  0.0  0.0      0     0 ?        S<   20:13   0:00 [delete_workqueu]
root      1147  0.0  0.0      0     0 ?        S<   20:13   0:00 [gfs_recovery]
root      1152  0.0  0.0      0     0 ?        S<   20:13   0:00 [crypto]
root      1184  0.0  0.0      0     0 ?        S<   20:13   0:00 [kthrotld]
root      1750  0.0  0.0      0     0 ?        S    20:13   0:00 [kworker/4:1]
root      1840  0.0  0.0      0     0 ?        S<   20:13   0:00 [bioset]
root      1841  0.0  0.0      0     0 ?        S<   20:13   0:00 [drbd-reissue]
root      1871  0.0  0.0      0     0 ?        S<   20:13   0:00 [iscsi_eh]
root      1912  0.0  0.0      0     0 ?        S    20:13   0:00 [scsi_eh_0]
root      1917  0.0  0.0      0     0 ?        S    20:13   0:00 [scsi_eh_1]
root      1920  0.0  0.0      0     0 ?        S    20:13   0:00 [scsi_eh_2]
root      1923  0.0  0.0      0     0 ?        S    20:13   0:00 [scsi_eh_3]
root      1944  0.0  0.0      0     0 ?        S<   20:13   0:00 [bond0]
root      1985  0.0  0.0      0     0 ?        S<   20:13   0:00 [bnx2x]
root      2005  0.0  0.0      0     0 ?        S<   20:13   0:00 [mlx4]
root      2023  0.0  0.0      0     0 ?        S<   20:13   0:00 [vfio-irqfd-clea]
root      2027  0.0  0.0      0     0 ?        S    20:13   0:00 [kworker/7:1]
root      2028  0.0  0.0      0     0 ?        S    20:13   0:00 [kworker/6:1]
root      2032  0.0  0.0      0     0 ?        S    20:13   0:00 [kworker/1:1]
root      2033  0.0  0.0      0     0 ?        S    20:13   0:00 [kworker/3:1]
root      2048  0.0  0.0      0     0 ?        S    20:13   0:00 [kworker/5:1]
root      2093  0.0  0.0      0     0 ?        S<   20:14   0:00 [kpsmoused]
root      2095  0.0  0.0      0     0 ?        S    20:14   0:00 [kworker/0:2]
root      2119  0.0  0.0      0     0 ?        S<   20:14   0:00 [dm_bufio_cache]
root      2122  0.0  0.0      0     0 ?        S<   20:14   0:00 [kdelayd]
root      2125  0.0  0.0      0     0 ?        S<   20:14   0:00 [kmpathd]
root      2126  0.0  0.0      0     0 ?        S<   20:14   0:00 [kmpath_handlerd]
root      2218  0.0  0.0      0     0 ?        S<   20:14   0:00 [deferwq]
root      2223  0.0  0.0      0     0 ?        S<   20:14   0:00 [bioset]
root      2224  0.0  0.0      0     0 ?        S    20:14   0:00 [md2_raid1]
root      2228  0.0  0.0      0     0 ?        S<   20:14   0:00 [bioset]
root      2229  0.0  0.0      0     0 ?        S    20:14   0:00 [md1_raid1]
root      2231  0.0  0.0      0     0 ?        S    20:14   0:00 [kjournald]
root      2297  0.0  0.0   7084   600 ?        S

NETSTAT:

Code:

Connexions Internet actives (serveurs et ?tablies) Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 5734/mysqld tcp 0 0 127.0.0.1:783 0.0.0.0:* LISTEN 6171/ tcp 0 0 0.0.0.0:10000 0.0.0.0:* LISTEN 6315/perl tcp 0 0 37.187.128.69:53 0.0.0.0:* LISTEN 5685/named tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 5685/named tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 5818/sshd tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 5685/named tcp 0 240 37.187.128.69:22 91.179.195.100:53164 ESTABLISHED 9492/0 tcp 0 0 127.0.0.1:46370 127.0.0.1:80 ESTABLISHED 5967/collectd tcp6 0 0 :::587 :::* LISTEN 5781/tcpserver tcp6 0 0 :::110 :::* LISTEN 5772/tcpserver tcp6 0 0 :::143 :::* LISTEN 6038/couriertcpd tcp6 0 0 :::80 :::* LISTEN 5856/httpd tcp6 0 0 :::22 :::* LISTEN 5818/sshd tcp6 0 0 :::25 :::* LISTEN 5775/tcpserver tcp6 0 0 ::1:953 :::* LISTEN 5685/named tcp6 0 0 :::443 :::* LISTEN 5856/httpd tcp6 0 0 :::5025 :::* LISTEN 5778/tcpserver tcp6 0 0 127.0.0.1:80 127.0.0.1:46370 ESTABLISHED 10012/httpd tcp6 0 0 37.187.128.69:143 54.88.194.3:54562 ESTABLISHED 10908/bash tcp6 0 0 37.187.128.69:80 81.245.200.119:62924 TIME_WAIT - tcp6 0 0 37.187.128.69:80 87.66.62.50:55698 FIN_WAIT2 12036/httpd tcp6 0 0 37.187.128.69:80 87.66.236.14:63546 TIME_WAIT - tcp6 0 0 37.187.128.69:80 87.66.62.50:55699 FIN_WAIT2 12037/httpd tcp6 0 0 37.187.128.69:80 177.100.148.137:59345 TIME_WAIT - tcp6 0 0 37.187.128.69:80 188.189.74.90:31459 ESTABLISHED 12040/httpd tcp6 0 0 37.187.128.69:80 81.245.200.119:62930 ESTABLISHED 12042/httpd tcp6 0 0 37.187.128.69:80 62.235.228.239:61552 ESTABLISHED 11725/httpd tcp6 0 0 37.187.128.69:80 87.66.62.50:55700 FIN_WAIT2 12038/httpd tcp6 0 0 37.187.128.69:80 87.66.62.50:55694 TIME_WAIT - tcp6 0 0 37.187.128.69:80 87.66.94.172:61765 TIME_WAIT - tcp6 0 0 37.187.128.69:143 91.179.195.100:53419 ESTABLISHED 11374/bash tcp6 0 0 37.187.128.69:143 185.30.176.174:33125 ESTABLISHED 6539/bash tcp6 0 0 37.187.128.69:80 87.66.94.172:63589 TIME_WAIT - tcp6 0 0 37.187.128.69:80 87.66.62.50:55696 FIN_WAIT2 11939/httpd tcp6 0 0 37.187.128.69:80 81.245.200.119:62929 ESTABLISHED 12041/httpd tcp6 0 0 37.187.128.69:80 87.66.62.50:55701 FIN_WAIT2 12039/httpd tcp6 0 0 37.187.128.69:80 213.211.131.210:55071 TIME_WAIT - tcp6 0 0 37.187.128.69:80 87.66.94.172:55778 TIME_WAIT - tcp6 0 0 37.187.128.69:80 213.211.131.210:55069 TIME_WAIT - tcp6 0 0 37.187.128.69:80 87.66.236.14:63547 TIME_WAIT - tcp6 0 0 37.187.128.69:110 91.183.117.197:62458 TIME_WAIT - tcp6 0 0 37.187.128.69:143 91.179.195.100:53118 ESTABLISHED 9342/bash tcp6 0 0 37.187.128.69:80 81.245.200.119:62926 FIN_WAIT2 - tcp6 0 0 37.187.128.69:80 87.66.62.50:55695 ESTABLISHED 11862/httpd tcp6 0 0 37.187.128.69:80 213.211.131.210:55068 TIME_WAIT - tcp6 0 0 37.187.128.69:80 87.66.94.172:55251 TIME_WAIT - tcp6 0 0 37.187.128.69:80 87.66.236.14:63544 TIME_WAIT - tcp6 0 0 37.187.128.69:80 87.66.94.172:50991 TIME_WAIT - tcp6 0 0 37.187.128.69:80 81.245.200.119:62925 TIME_WAIT - tcp6 0 0 37.187.128.69:5025 178.50.82.27:28580 ESTABLISHED 10954/qmail-smtpd tcp6 0 0 37.187.128.69:80 186.247.68.180:55963 TIME_WAIT - tcp6 0 0 37.187.128.69:110 91.183.117.197:62459 TIME_WAIT - tcp6 0 0 37.187.128.69:80 87.66.94.172:63102 TIME_WAIT - udp 0 0 37.187.128.69:53 0.0.0.0:* 5685/named udp 0 0 127.0.0.1:53 0.0.0.0:* 5685/named udp 0 0 0.0.0.0:10000 0.0.0.0:* 6315/perl

Merci beaucoup

Jhon