Mon PC est la future star de George Romero

Bonjour à tous/toutes,

Depuis quelques temps (environ un mois) ma connection internet était pitoyable, ponctuée de coupures et autres pertes de débit, ainsi qu’un ping à faire pleurer John Romero (l’autre, donc).

D’un naturel râleur (français ?), j’accuse donc Free de tout mes malheurs et prends rendez-vous avec un technicien. Puis, la réflexion aidant, je commence à vérifier l’ensemble de l’installation physique et logiciel. Je me rends compte alors qu’à intervalles réguliers, je me retrouve avec un upload à 11 Mo en provenance du serveur et saturant de fait l’ensemble du réseau. Après une rapide recherche (merci les outils windows 7) je m’aperçois que le coupable est le serveur Apache de mon site web.

Je relève l’adresse IP de destination et la bloque dans la config. du serveur web. Hélas, le bidule semble bien vicelard et se remet immédiatement à communiquer vers une autre IP.

Je passe l’antivirus de grosoft en mode complet … rien . Un autre antivirus en ligne … rien. Mais what the fuck ?!

Alors j’ai trois solution. Trouver le virus/trojan/vérole/whatever qui permet à un enfoiré d’utiliser mes ressources à des fins probablement illégales. Restaurer le serveur avec le ghost en espérant que la vérole n’était pas déjà présente lors de la sauvegarde. Ou enfin passer par la solution extrême du “on efface tout et on recommence” .

Si l’un de vous a une idée pour m’aider à me débarrasser du zombificateur, je lui en serai éternellement reconnaissant.

Merci.

De rien :wink:

Tu pourrais pas te venger, vu que tu as l’IP du sauvageon? :devil:

Hélas non, car comme tout bon réseaux de machines zombies, les adresses IP de destination sont très certainement des machines ayant subit le même sort que mon serveur.

Ah oui :-/ J’y pensais mais j’étais pas sur.

Et tu pourrais pas juste autoriser une whitelist plutôt que de bloquer 2-3 IP comme ça?

Ben pour un serveur web …

C’est là qu’on voit toute mes connaissances en web :ninja:

Les AV windows ne sont pas forcement efficace sur un trojan (most likely) php ou cgi. Ou même l’exploitation d’un bug connu d’un de tes sites web de ton serveur. Même si l’utilisation d’apache me parait contre nature sous windows (welcome IIS), il existe quand même pas mal de solution pour régler le problème:

  1. Vérifier que c’est bien apache le problème. Solution simple: couper le service. Je sais pas ce que tu héberge mais le jeu en vaut la chandelle a mon avis, ça peut effectivement venir d’autre chose.
  2. En admettant que c’est apache, il faut maintenant identifier le chieur: Sur le papier c’est simple:
    _Un analyseur réseau qui garde toutes les trames HTTP avec la date et l’heure
    _Et on le corrobore avec le fichier access_log de apache pour savoir a quel fichier il fait appel lors du problème.

C’est certes long mais ça fonctionne et, d’expérience (j’ai eu un cas similaire dans mon ancien taf), il peut y avoir un décalage entre l’heure du soucis et le log apache, donc fais bien attention a ca.

Mais pour moi, c’est simplement un script php/cgi pas mis a jour sur ton serveur qui a permis au pirate d’utiliser ta machine pour des merdes.

LoneWolf
Hope this help

Apache t’autorise pas de logger tout ce qui transite à travers de ses entrailles ? Les IO et aussi surement le processus qui a envoyé quoi et où doivent être loggables.
Maintenant je ne sais pas vraiment comment faire c’est plus une idée comme ça qu’une réelle solution, mais ça peut fonctionner :innocent:

Alors plusieurs points à méditer :

  • Gérer un serveur ne consiste pas à installer le truc et le laisser ensuite à l’abandon : il faut installer les updates, vérifier les logs, etc…
  • Je suppose que t’as un site PHP troué qu’on exploite pour uploader du malware/warez/phishing/whatever - les IP que tu vois passer c’est probablement des gens qui téléchargent le contenu malveillant que tu héberges
  • Il faut passer les fichiers au peigne fin pour identifier ceux qui n’ont rien à faire là, à partir de là, tu peux éventuellement utiliser les logs de ton serveur Web pour savoir quelle Application PHP a été exploitée pour les uploader.
  • Tu dois maintenir à jour les application PHP que tu héberges
  • Si tu n’as pas les compétences pour trouver comment on a réussi à exploiter ton serveur, peut-être devrais-tu songer à prendre un hébergement pro où on s’occupe de ces choses à ta place ?

ouais , donc en gros, y’a que les pros parfaits qui ont le droit de se monter un serveur.
avec une mentalité pareil je sais pas comment le net aurait pu devenir ce qu’il est aujourd’hui.
ah bah si je suis con, un arpanet bien rigide et secure pour 10 000 trouffions a l’intellect supérieur.

déjà, il est conscient de la merde et il essaie de la corriger, ce qui en soit mérite un chapeau bas.
combien de tata Jeanine ont un pc zombie et s’en contrefoutent/ ignorent même ce qu’il se passe.

enfin, effectivement le premier réflexe c’est
de stopper le service apache pendant une tite heure pour voir ce qu’il se passe.
de checker les éventuels fichiers qui auraient pu être rajouté par un malandrin.
de venir demander de l’aide aux copains de la zone en éspérant ne pas se faire basher

EDIT/ apache + windows spa top quand même

edit: @unreal, j’y vais un peu fort, mais ton post est super condescendant quand meme.
M s’intéresse depuis super longtemps a la possibilité de se monter des petits serveurs web perso.
c’est un passionné, pas un expert en sécurité

Heu? Et apprendre et progresser non?

Oui , bon , ne nous énervons pas. Wackselwease, ceci dit a pas tout a fait tord.

Alors pour expliquer mes choix …

Je suis un peu Geek sur les bords, mais j’ai aussi une femme et trois gosses. En gros, les PC dédiés partout, je peux pas, même si j’ai très envie. Du coup, le serveur me sert aussi de médiacenter au sens large du terme; soit lecture en local de films et séries ainsi que leur distribution sur le réseau local dans la baraque via Twonkymédia sur des lecteurs réseau WD Tv Live(le salon et les chambres en l’occurence) et consultation WEB pour madame quand ca lui prend. Ce serveur donc est aussi … un serveur; qui fait plein de trucs. Machines virtuelles dédiées au décisionnel, serveur FTP, serveur WEB, serveur de fichiers, services pour les deux squeezebox radio de la baraque, serveur d’impression, calcul partagé pour niquer le crabe.

Donc voilà le pourquoi de Windows 7. Tout simplement parce que, quoi qu’on en dise, le HTPC sous linux, ben c’est la merde (oui, oui, j’ai essayé) et surtout que certains services n’existent tout simplement pas sous linux.

Pour répondre aux questions :

Oui, c’est bien le processus HTTPD.EXE le coupable, puisque pour récupérer l’usufruit de mon réseau, j’ai coupé ce dernier.

Non, je n’ai pas encore eu le temps de regarder les logs, mais c’est prévu.

J’ai pas grand chose sur le site. Effectivement le forum commence à dater un peu mais je n’ai ni le temps ni le courage pour effectuer une mise à jour qui risque de me faire perdre, 1 - mes infos forum, 2 - ma patience.
Les autres scripts sont à jour, notamment la galerie photos.

La solution la plus simple pour moi est effectivement de transférer les services WEB sur une machine virtuelle linux, genre ubuntu. Mais pour le moment l’ensemble des 16 Go de ram du serveur sont utilisés par le décisionnel (ouaih, les ETL ca bouffe. Surtout quand les volumes traités se mesurent en dizaines de Go).

Ça me ferais franchement chier de tout réinstaller, donc s’il existe un outils permettant de cibler et éradiquer le problème, tant mieux, sinon on fermera le serveur WEB jusqu’à ce que j’ai le temps de m’occuper de sa reconversion.

En tout cas, merci à ceux qui s’intéressent à mon cas.

un premier jet serait de regarder quel est l’URL demandée par les requetes occupant ton serveur. Ca devrait déja te permettre de cibler ce qui te fait chier.

Ensuite, sous windows comme sous linux, il ne faut jamais laisser tourner un service avec un compte ayant plus de droits que nécessaires. crées toi un compte utilisateur apache, avec comme unique et seul droit d’executer apache, et de lire/ecrire dans un seul répertoire (ton c:/www j’imagine.). Ca devrait déja bien, bien limiter l’endroit ou se trouve les fichiers faisant tourner le systeme qui te fait chier. De plus, ca devrait limiter clairement le pouvoir de nuisance des intrus, sauf exploitation d’une faille 0-day.
bref. Lis ca: http://httpd.apache.org/docs/2.0/platform/windows.html

Autre souci, d’ordre plus général, laisser tourner un outil décisionnel sur une machine ‘ouverte’ et surtout qui attire l’attention (avec un serveur web) me parait dangeureux. je sais pas ce que tu manipules comme données, mais l’expérience montre que tu aurais bien pu les perdre.

Le seul accès à la machine virtuelle décisionnel est une connection logmein, que j’imagine (j’espère) sécurisée. Mais je pense sérieusement à isoler les machines virtuelles sur une machine physique dédié; le plus difficile restant à expliquer à madame le bien fondé de l’opération.

Edit : Bon voilà joint mes log d’erreur des deux sites principaux :
Logs_erreur…zip (19.1 KB)

Effectivement l’activité est anormale, en fait en regardant les log de connection, c’est comme si l’on essayait de siphonner le contenu du serveur. Après, je ne sais pas trop quoi chercher …

Quelqu’un fait tourner un outil de recherche de failles. fais toi oublier… ou blindes toi :confused:

autre possibilité, il doit y avoir une frequence de requete max par IP. Réduis la drastiquement.

EDIT: petite recherche faite, tu es la cible d’un réseau de spam bot. ils recherchent des forums pour y poster automatiquement de la pub.

cf Как поднять тИЦ? Палим тему! (traduis la page)

Oui mais comment ?

Je vais regarder pour les limitations de connections.

Merci.

EDIT : Mais ! Mais ! C’est des 'culés ces gens là !

Sauf que, vois-tu, y a plusieurs années de ça, je recherche lepetitserveur.fr dans Google, je clique, et paf, Google me dit qu’il avait trouvé du malware et me demande si j’ai vraiment envie de continuer. Donc clairement, du malware hébergé sur son site, c’est pas quelque chose de nouveau pour lui, et donc, j’ai tendance à penser qu’il vaut peut-être mieux qu’il arrête de vouloir faire ça lui même, si n’a pas le temps ou l’envie de gérer l’aspect sécurité. Tu noteras quand même que j’ai indiqué la démarche à suivre pour trouver ce qui va pas.

Unreal et la communication inter-humains, fail. Again. :x