Le Forum
Vous n'êtes pas identifié.
#1 11 May 2006 19:51:21
Phishing
Bonjour,
J'ai un de mes serveur (web serveur sur Fedora) qui a subit une attaque de type phishing. Je me retrouve avec un répertoire Ebay dans la racine du serveur web mais le répertoire est impossible à effacer même avec les privilèges root. J'ai également essayé de booter avec linux rescue mais sans succès. Est ce que quelqu'un connaît une procédure pour effacer le répertoire?
Merci d'avance je suis un peu à court d'idées.
PS Pour ceux qui aimerait en savoir plus sur le phishing (hameçonnage en français)
Gil
Hors ligne
#2 11 May 2006 21:29:51
Re: Phishing
Oops désolé je voulais le mettre dans la catégorie :Réseau & Sécurité et non pas dans Annonces & nouveautés.
Si quelqu'un (modérateur) peut le déplacer dans la bonne catégorie.
Pas de problème, c'est déplacé 
(La modération)
TIA
Gil
Hors ligne
#3 11 May 2006 21:50:51
- lepetitalbert
- Prêcheu(r|se) du libre
- Lieu: campagne morgeoise
- Date d'inscription: 04 May 2005
- Messages: 212
Re: Phishing
Salut,
>>mais le répertoire est impossible à effacer même avec les privilèges root
t'as quoi comme droits sur ce répertoire ?
Ou alors avec un LiveCD.
Ensuite faut boucher le trou, ou demain il sera de nouveau là.
Bonne nuit.
Il n'y a que 10 sortes d'êtres humains, ceux qui comprennent le binaire et les autres.
Hors ligne
#4 11 May 2006 22:09:38
Re: Phishing
Salut,
Merci pour la réponse
Salut,
>>mais le répertoire est impossible à effacer même avec les privilèges root
t'as quoi comme droits sur ce répertoire ?
Le répertoire semble être root:root mais avec mon accès root sur la machine je ne peux pas l'effacer ! C'est plutôt frustrant.
Ou alors avec un LiveCD.
J'ai essayé (démarré avec le CDROM et linux rescue) mais même problème.
Ensuite faut boucher le trou, ou demain il sera de nouveau là.
Bonne nuit.
Ouais j'ai remarqué :?, actuellement j'ai desactivé ssh sur le serveur et changé les mots de passe et restreint les accès sur le web serveur. Tu sais ce que je devrais faire de plus? Est-ce que quelqu'un peut me conseiller un outil qui permet de détecter et enlever un Trojan/rootkit/phishing sur linux? Ou me conseiller un URL qui traite de la problématique.
Merci
Gil
Hors ligne
#5 11 May 2006 22:28:56
Re: Phishing
Attends la venue de BOFH (ptet ce soir, sûrement demain) je pense qu'il saura aider
Moi pour ma part, aucune idée à part ce qui a déjà été dit, désolé 
[img]http://misc.daoro.net/daoro.gif[/img]
Hors ligne
#6 11 May 2006 22:45:02
- lepetitalbert
- Prêcheu(r|se) du libre
- Lieu: campagne morgeoise
- Date d'inscription: 04 May 2005
- Messages: 212
Re: Phishing
Salut,
>>le répertoire semble être root:root
Pourquoi semble ?
>>J'ai essayé (démarré avec le CDROM et linux rescue) mais même problème.
J'ai jamais essayer comme ça, je pensait un quelquonque autre LiveCD
ou une mini-distrib qui tient sur une disquette.
Bonne nuit.
Il n'y a que 10 sortes d'êtres humains, ceux qui comprennent le binaire et les autres.
Hors ligne
#7 11 May 2006 22:52:00
Re: Phishing
Salut,
>>>>le répertoire semble être root:root
>>Pourquoi semble ?
Parce que s'il s'agissait vraiment de root je devrais pouvoir l'effacer. Il y a qqch de pas très net la derrière je pense.
>>>>J'ai essayé (démarré avec le CDROM et linux rescue) mais même problème.
>>J'ai jamais essayer comme ça, je pensait un quelquonque autre LiveCD
ou une mini-distrib qui tient sur une disquette.
OK je vais essayer de cette façon, je vous tiendrais au courant
A+
Bonne nuit
Gil
Hors ligne
#9 12 May 2006 08:40:07
Re: Phishing
Yop,
L'attribut immutable sur un fs ext2/ext3/reiser provoque tout a fait ce genre de comportement, et est couramment utilisé par les kiddies. Essaie ça:
Code:
chattr -R -i <repertoire> rm -rf <repertoire>
Comme mentionné par mes éminents collègues, c'est important de repérer par où ils sont rentrés, sinon ils reviendront a coup sur.
++
BOFH
Hors ligne
#10 12 May 2006 09:02:53
Re: Phishing
OK j'ai essayé mais sans succès voila le output :
Merci
[root@os html]# ll | grep eB
drwxr-xr-x 4 root root 4096 Oct 11 2006 BaySecureSigninServer
[root@os html]# chattr -R -i eBaySecureSigninServer/
[root@os html]# rm -rf eBaySecureSigninServer/
rm: cannot unlink `eBaySecureSigninServer/CCPayment_files/browse.gif': Operation not permitted
rm: cannot unlink `eBaySecureSigninServer/CCPayment_files/cobrand_determine.js': Operation not permitted
rm: cannot unlink `eBaySecureSigninServer/CCPayment_files/cobrand_load.js': Operation not permitted
rm: cannot unlink `eBaySecureSigninServer/CCPayment_files/common_functions.js': Operation not permitted
rm: cannot unlink `eBaySecureSigninServer/CCPayment_files/community.gif': Operation not permitted
rm: cannot unlink `eBaySecureSigninServer/CCPayment_files/cookies.js': Operation not permitted
rm: cannot unlink `eBaySecureSigninServer/CCPayment_files/crdcards.gif': Operation not permitted
rm: cannot unlink `eBaySecureSigninServer/CCPayment_files/ebayLogo.gif': Operation not permitted
rm: cannot unlink `eBaySecureSigninServer/CCPayment_files/globals.js': Operation not permitted
rm: cannot unlink `eBaySecureSigninServer/CCPayment_files/header_partner.gif': Operation not permitted
rm: cannot unlink `eBaySecureSigninServer/CCPayment_files/leftLine_16x3.gif': Operation not permitted
rm: cannot unlink `eBaySecureSigninServer/CCPayment_files/myebay.gif': Operation not permitted
...
Gil
Hors ligne
#11 12 May 2006 09:40:40
- jean@adimp.ch
- Illuminé(e)
- Lieu: Marly
- Date d'inscription: 10 Mar 2005
- Messages: 1233
- Site web
Re: Phishing
Salut,
Peut-être
Code:
chown -R root:root ebay.../ rm -R ebay...
--------------------------------------------------------
Jean Tinguely Awais
Ma vie sur twitter : http://www.twitter.com/tservi
Hors ligne
#13 12 May 2006 10:15:19
- jean@adimp.ch
- Illuminé(e)
- Lieu: Marly
- Date d'inscription: 10 Mar 2005
- Messages: 1233
- Site web
Re: Phishing
Salut,
Et si tu arrête et redémarre ton serveur web?
A+
--------------------------------------------------------
Jean Tinguely Awais
Ma vie sur twitter : http://www.twitter.com/tservi
Hors ligne
#15 12 May 2006 10:44:09
Re: Phishing
Yop,
ah, j'ai oublié de préciser aussi
Code:
chattr -R -a <repertoire>
plus rare mais aussi utilisé parfois.
au fait, le chattr -i, tu l'as fait depuis un LiveCD ?
Il faudrait, parce que le pirate pourrait avoir remplacé ta version de chattr avec une inopérante.
Hors ligne
#16 12 May 2006 10:45:25
- jean@adimp.ch
- Illuminé(e)
- Lieu: Marly
- Date d'inscription: 10 Mar 2005
- Messages: 1233
- Site web
Re: Phishing
Re,
Essaye de killer les process douteux, ensuite arrête le serveur web, efface le rèpertoire et redémarre le serveur.
A+.
--------------------------------------------------------
Jean Tinguely Awais
Ma vie sur twitter : http://www.twitter.com/tservi
Hors ligne
#17 12 May 2006 11:46:21
Re: Phishing
Yop,
ah, j'ai oublié de préciser aussiCode:
chattr -R -a <repertoire>plus rare mais aussi utilisé parfois.
au fait, le chattr -i, tu l'as fait depuis un LiveCD ?
Il faudrait, parce que le pirate pourrait avoir remplacé ta version de chattr avec une inopérante.
Well done, ça a fonctionné. 
Cela n'a pas été nécessaire de démarrer avec un LiveCD car je crois que j'ai pu protéger la machine (désactiver ssh et changer les mots de passe) du moins j'espère.
Merci
Bon il va falloir que je cherche le trou de sécurité maintenant...
PS 2BOFH je vais t'envoyer un message (MP) dans un moment
Gil
Hors ligne
#18 12 May 2006 21:51:00
- Minuteman
- Prêcheu(r|se) du libre
- Date d'inscription: 05 Nov 2004
- Messages: 193
Re: Phishing
Sinon, http://www.rootkit.nl/projects/rootkit_hunter.html pour détecter..les rootkits :p
Hors ligne
#20 13 May 2006 08:30:06
- Minuteman
- Prêcheu(r|se) du libre
- Date d'inscription: 05 Nov 2004
- Messages: 193
Re: Phishing
Oui, j'utilise ce soft...il faut juste ne pas oublier de mettre à jour la liste des signatures.
Hors ligne
#21 17 May 2006 16:44:45
Re: Phishing
Après mes déboires après l'attaque phishing, je me suis documenté et j'ai essayé de trouver la faille, pour l'instant je progresse dans mon "enquête" et j'approfondis mes connaissances en sécurité mais cela prend du temps.
Je planifie d'installer un nouveau serveur LAMP et j'aimerais si possible éviter la mésaventure phishing avec celui là. Pourriez-vous me conseiller quelle distribution offre le plus de sécurité et est le plus facile à patcher. Je planifie de réstreindre au maximum les services et d'installer que le strict minimum au niveau des packages.
A quoi d'autres devrais-je porter mon attention (iptables, buffer overflow, ...?)
Je connais les distrib suivantes Fedora et Debian j'ai entendu du bien de Ubuntu aussi.
Merci d'avance
PS j'ai déjà vu http://www.swisslinux.org/forums/sutra6977.php#6977 mais cela ne concerne pas spécifiquement la sécurité
Gil
Hors ligne
#22 17 May 2006 19:57:38
- lepetitalbert
- Prêcheu(r|se) du libre
- Lieu: campagne morgeoise
- Date d'inscription: 04 May 2005
- Messages: 212
Re: Phishing
Salut,
essaye Free ou Open BSD.
Bonne soirée.
Il n'y a que 10 sortes d'êtres humains, ceux qui comprennent le binaire et les autres.
Hors ligne