Swisslinux.org

− Le carrefour GNU/Linux en Suisse −

 

Langue

 

Le Forum

Vous n'êtes pas identifié.

#1 11 May 2006 19:51:21

gbo
Citoyen(ne)
Lieu: Lausanne
Date d'inscription: 03 May 2006
Messages: 21
Site web

Phishing

Bonjour,

J'ai un de mes serveur (web serveur sur Fedora) qui a subit une attaque de type phishing. Je me retrouve avec un répertoire Ebay dans la racine du serveur web mais le répertoire est impossible à effacer même avec les privilèges root. J'ai également essayé de booter avec linux rescue mais sans succès.  Est ce que quelqu'un connaît une procédure pour effacer le répertoire?

Merci d'avance je suis un peu à court d'idées.

PS Pour ceux qui aimerait en savoir plus sur le phishing (hameçonnage en français)


Gil

Hors ligne

 

#2 11 May 2006 21:29:51

gbo
Citoyen(ne)
Lieu: Lausanne
Date d'inscription: 03 May 2006
Messages: 21
Site web

Re: Phishing

Oops désolé je voulais le mettre dans la catégorie :Réseau & Sécurité et non pas dans Annonces & nouveautés.
Si quelqu'un (modérateur) peut le déplacer dans la bonne catégorie.

Pas de problème, c'est déplacé  smile (La modération)

TIA


Gil

Hors ligne

 

#3 11 May 2006 21:50:51

lepetitalbert
Prêcheu(r|se) du libre
 
Lieu: campagne morgeoise
Date d'inscription: 04 May 2005
Messages: 212

Re: Phishing

Salut,

>>mais le répertoire est impossible à effacer même avec les privilèges root

t'as quoi comme droits sur ce répertoire ?

Ou alors avec un LiveCD.

Ensuite faut boucher le trou, ou demain il sera de nouveau là.

Bonne nuit.


Il n'y a que 10 sortes d'êtres humains, ceux qui comprennent le binaire et les autres.

Hors ligne

 

#4 11 May 2006 22:09:38

gbo
Citoyen(ne)
Lieu: Lausanne
Date d'inscription: 03 May 2006
Messages: 21
Site web

Re: Phishing

Salut,

Merci pour la réponse

Salut,

>>mais le répertoire est impossible à effacer même avec les privilèges root

t'as quoi comme droits sur ce répertoire ?

Le répertoire semble être root:root mais avec mon accès root sur la machine je ne peux pas l'effacer ! C'est plutôt frustrant.


Ou alors avec un LiveCD.

J'ai essayé (démarré avec le CDROM et linux rescue) mais même problème.


Ensuite faut boucher le trou, ou demain il sera de nouveau là.

Bonne nuit.

Ouais j'ai remarqué :?, actuellement j'ai desactivé ssh sur le serveur et  changé les mots de passe et restreint les accès sur le web serveur. Tu sais ce que je devrais faire de plus? Est-ce que quelqu'un peut me conseiller un outil qui permet de détecter et enlever un Trojan/rootkit/phishing sur linux? Ou me conseiller un URL qui traite de la problématique.

Merci


Gil

Hors ligne

 

#5 11 May 2006 22:28:56

Daoro
Gourou(e) du libre
 
Lieu: Givisiez (FR)
Date d'inscription: 17 Nov 2004
Messages: 478
Site web

Re: Phishing

Attends la venue de BOFH (ptet ce soir, sûrement demain) je pense qu'il saura aider smile

Moi pour ma part, aucune idée à part ce qui a déjà été dit, désolé  neutral


[img]http://misc.daoro.net/daoro.gif[/img]

Hors ligne

 

#6 11 May 2006 22:45:02

lepetitalbert
Prêcheu(r|se) du libre
 
Lieu: campagne morgeoise
Date d'inscription: 04 May 2005
Messages: 212

Re: Phishing

Salut,

>>le répertoire semble être root:root

Pourquoi semble ?

>>J'ai essayé (démarré avec le CDROM et linux rescue) mais même problème.

J'ai jamais essayer comme ça, je pensait un quelquonque autre LiveCD
ou une mini-distrib qui tient sur une disquette.

Bonne nuit.


Il n'y a que 10 sortes d'êtres humains, ceux qui comprennent le binaire et les autres.

Hors ligne

 

#7 11 May 2006 22:52:00

gbo
Citoyen(ne)
Lieu: Lausanne
Date d'inscription: 03 May 2006
Messages: 21
Site web

Re: Phishing

Salut,

>>>>le répertoire semble être root:root

>>Pourquoi semble ?

Parce que s'il s'agissait vraiment de root je devrais pouvoir l'effacer. Il y a qqch de pas très net la derrière je pense.

>>>>J'ai essayé (démarré avec le CDROM et linux rescue) mais même problème.

>>J'ai jamais essayer comme ça, je pensait un quelquonque autre LiveCD
ou une mini-distrib qui tient sur une disquette.

OK je vais essayer de cette façon, je vous tiendrais au courant

A+

Bonne nuit


Gil

Hors ligne

 

#8 11 May 2006 23:50:44

Daoro
Gourou(e) du libre
 
Lieu: Givisiez (FR)
Date d'inscription: 17 Nov 2004
Messages: 478
Site web

Re: Phishing

Tiens au passage, vérification :

Code:

rm -rf /chemin/vers/mon_répertoire

ça donne quoi ? (en root bien sûr)


[img]http://misc.daoro.net/daoro.gif[/img]

Hors ligne

 

#9 12 May 2006 08:40:07

BOFH
Admin
Lieu: Ecublens, VD
Date d'inscription: 03 Feb 2005
Messages: 862
Site web

Re: Phishing

Yop,

   L'attribut immutable sur un fs ext2/ext3/reiser provoque tout a fait ce genre de comportement, et est couramment utilisé par les kiddies. Essaie ça:

Code:

chattr -R -i <repertoire>
rm -rf <repertoire>

Comme mentionné par mes éminents collègues, c'est important de repérer par où ils sont rentrés, sinon ils reviendront a coup sur.

++
BOFH

Hors ligne

 

#10 12 May 2006 09:02:53

gbo
Citoyen(ne)
Lieu: Lausanne
Date d'inscription: 03 May 2006
Messages: 21
Site web

Re: Phishing

OK j'ai essayé mais sans succès voila le output :
Merci

[root@os html]# ll | grep eB
drwxr-xr-x    4 root     root    4096 Oct  11  2006  BaySecureSigninServer
[root@os html]# chattr -R -i eBaySecureSigninServer/
[root@os html]# rm -rf eBaySecureSigninServer/
rm: cannot unlink `eBaySecureSigninServer/CCPayment_files/browse.gif': Operation not permitted
rm: cannot unlink `eBaySecureSigninServer/CCPayment_files/cobrand_determine.js': Operation not permitted
rm: cannot unlink `eBaySecureSigninServer/CCPayment_files/cobrand_load.js': Operation not permitted
rm: cannot unlink `eBaySecureSigninServer/CCPayment_files/common_functions.js': Operation not permitted
rm: cannot unlink `eBaySecureSigninServer/CCPayment_files/community.gif': Operation not permitted
rm: cannot unlink `eBaySecureSigninServer/CCPayment_files/cookies.js': Operation not permitted
rm: cannot unlink `eBaySecureSigninServer/CCPayment_files/crdcards.gif': Operation not permitted
rm: cannot unlink `eBaySecureSigninServer/CCPayment_files/ebayLogo.gif': Operation not permitted
rm: cannot unlink `eBaySecureSigninServer/CCPayment_files/globals.js': Operation not permitted
rm: cannot unlink `eBaySecureSigninServer/CCPayment_files/header_partner.gif': Operation not permitted
rm: cannot unlink `eBaySecureSigninServer/CCPayment_files/leftLine_16x3.gif': Operation not permitted
rm: cannot unlink `eBaySecureSigninServer/CCPayment_files/myebay.gif': Operation not permitted
...


Gil

Hors ligne

 

#11 12 May 2006 09:40:40

jean@adimp.ch
Illuminé(e)
Lieu: Marly
Date d'inscription: 10 Mar 2005
Messages: 1233
Site web

Re: Phishing

Salut,
  Peut-être

Code:

chown -R root:root ebay.../
rm -R  ebay...

--------------------------------------------------------
Jean Tinguely Awais
Ma vie sur twitter : http://www.twitter.com/tservi

Hors ligne

 

#12 12 May 2006 10:04:36

gbo
Citoyen(ne)
Lieu: Lausanne
Date d'inscription: 03 May 2006
Messages: 21
Site web

Re: Phishing

Salut,
  Peut-être

Code:

chown -R root:root ebay.../
rm -R  ebay...

Déjà essayé... et non  wink


Gil

Hors ligne

 

#13 12 May 2006 10:15:19

jean@adimp.ch
Illuminé(e)
Lieu: Marly
Date d'inscription: 10 Mar 2005
Messages: 1233
Site web

Re: Phishing

Salut,
   Et si tu arrête et redémarre ton serveur web?
A+


--------------------------------------------------------
Jean Tinguely Awais
Ma vie sur twitter : http://www.twitter.com/tservi

Hors ligne

 

#14 12 May 2006 10:20:51

gbo
Citoyen(ne)
Lieu: Lausanne
Date d'inscription: 03 May 2006
Messages: 21
Site web

Re: Phishing

OK je viens d'essayer mais toujour rien   :?


Gil

Hors ligne

 

#15 12 May 2006 10:44:09

BOFH
Admin
Lieu: Ecublens, VD
Date d'inscription: 03 Feb 2005
Messages: 862
Site web

Re: Phishing

Yop,

  ah, j'ai oublié de préciser aussi

Code:

chattr -R -a <repertoire>

plus rare mais aussi utilisé parfois.

  au fait, le chattr -i, tu l'as fait depuis un LiveCD ?

  Il faudrait, parce que le pirate pourrait avoir remplacé ta version de chattr avec une inopérante.

Hors ligne

 

#16 12 May 2006 10:45:25

jean@adimp.ch
Illuminé(e)
Lieu: Marly
Date d'inscription: 10 Mar 2005
Messages: 1233
Site web

Re: Phishing

Re,
   Essaye de killer les process douteux, ensuite arrête le serveur web, efface le rèpertoire et redémarre le serveur.
A+.


--------------------------------------------------------
Jean Tinguely Awais
Ma vie sur twitter : http://www.twitter.com/tservi

Hors ligne

 

#17 12 May 2006 11:46:21

gbo
Citoyen(ne)
Lieu: Lausanne
Date d'inscription: 03 May 2006
Messages: 21
Site web

Re: Phishing

Yop,

  ah, j'ai oublié de préciser aussi

Code:

chattr -R -a <repertoire>

plus rare mais aussi utilisé parfois.

  au fait, le chattr -i, tu l'as fait depuis un LiveCD ?

  Il faudrait, parce que le pirate pourrait avoir remplacé ta version de chattr avec une inopérante.

Well done, ça a fonctionné. big_smile

Cela n'a pas été nécessaire de démarrer avec un LiveCD car je crois que j'ai pu protéger la machine (désactiver ssh et changer les mots de passe) du moins j'espère.

Merci

Bon il va falloir que je cherche le trou de sécurité maintenant...

PS 2BOFH je vais t'envoyer un message (MP) dans un moment


Gil

Hors ligne

 

#18 12 May 2006 21:51:00

Minuteman
Prêcheu(r|se) du libre
 
Date d'inscription: 05 Nov 2004
Messages: 193

Re: Phishing

Sinon, http://www.rootkit.nl/projects/rootkit_hunter.html pour détecter..les rootkits :p

Hors ligne

 

#19 12 May 2006 22:37:05

gbo
Citoyen(ne)
Lieu: Lausanne
Date d'inscription: 03 May 2006
Messages: 21
Site web

Re: Phishing

2Minuteman
Merci pour le lien (très intéressant), tu l'utilises?

J'ai également installé tripwire on verra s'il y a des surprises.

2BOFH
As-tu reçu mon email?


Gil

Hors ligne

 

#20 13 May 2006 08:30:06

Minuteman
Prêcheu(r|se) du libre
 
Date d'inscription: 05 Nov 2004
Messages: 193

Re: Phishing

Oui, j'utilise ce soft...il faut juste ne pas oublier de mettre à jour la liste des signatures.

Hors ligne

 

#21 17 May 2006 16:44:45

gbo
Citoyen(ne)
Lieu: Lausanne
Date d'inscription: 03 May 2006
Messages: 21
Site web

Re: Phishing

Après mes déboires après l'attaque phishing, je me suis documenté et j'ai essayé de trouver la faille, pour l'instant je progresse dans mon "enquête" et j'approfondis mes connaissances en sécurité mais cela prend du temps.

Je planifie d'installer un nouveau serveur LAMP et j'aimerais si possible éviter la mésaventure phishing avec celui là. Pourriez-vous me conseiller quelle distribution offre le plus de sécurité et est le plus facile à patcher. Je planifie de réstreindre au maximum les services et d'installer que le strict minimum au niveau des packages.

A quoi d'autres devrais-je porter mon attention (iptables, buffer overflow, ...?)

Je connais les distrib suivantes Fedora et Debian j'ai entendu du bien de Ubuntu aussi.

Merci d'avance

PS j'ai déjà vu http://www.swisslinux.org/forums/sutra6977.php#6977 mais cela ne concerne pas spécifiquement la sécurité


Gil

Hors ligne

 

#22 17 May 2006 19:57:38

lepetitalbert
Prêcheu(r|se) du libre
 
Lieu: campagne morgeoise
Date d'inscription: 04 May 2005
Messages: 212

Re: Phishing

Salut,

essaye Free ou Open BSD.

Bonne soirée.


Il n'y a que 10 sortes d'êtres humains, ceux qui comprennent le binaire et les autres.

Hors ligne

 

Pied de page des forums

Powered by FluxBB