Virus sur mon serveur de mail ?! (station Sun)

Virus sur mon serveur de mail ?! (station Sun) - Windows & Software

Marsh Posté le 08-10-2004 à 10:15:29    

Bonjour,
 
Je travaille dans une petite société, et nous avons notre propre serveur de mail sur une machine Sun Solaris Ultraspark. Elle n'est pas derrière notre firewall, puisque celui-ci nous sert uniquement pour séparer notre réseau privé, interne, de l'extérieur.
 
J'ai installé postfix, et un serveur pop3... et ce ptit serveur de mail fonctionne bien depuis 3 mois...
 
Seulement, depuis 2 jours, des choses bizarres sont apparues :
 
 - un compte utilisateur de la machine a disparu hier (je l'ai recréé)
 - le mot de passe de ce compte semble avoir été modifié aujourd'hui (puisque l'utilisateur ne pouvait plus se connecter)
 - un autre compte utilisateur a disparu aujourd'hui...
 
 
 :heink:  Est-ce du à un virus ? A une attaque extérieure ? Comment faire pour sécuriser ma machine ?
 
Merci par avance !

Reply

Marsh Posté le 08-10-2004 à 10:15:29   

Reply

Marsh Posté le 08-10-2004 à 10:44:45    

tuer un user au hasard, ca calmera les autres , sinon je voit pas...  :p
 
A mon avis c'est pas un virus déja sinon tu aurai eu une alerte antivirus (j'espere que tu as un antivirus quand meme sur ton serveur..?)
 
WB.
(un autre que toi a les droits d'admin ? vérifie un peu les comptes présents dans le groupe admin !)


---------------
"Never been much better than at 127.0.0.1"
Reply

Marsh Posté le 08-10-2004 à 10:49:11    

un virus sur ultrasparc avec Solaris, ça doit pas courir les rues...
 
Après avoir éliminé toute les autres causes comme un pb matériel, je pencherais plutôt pour une intrusion dans ton système.  
 
Mettez le derrière votre firewall, vérifier qu'il n'y a pas de rootkit ou autre (chkrootkit), faites les MAJ de sécu du système.


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 08-10-2004 à 11:06:36    

:sweat: Il n'y a pas d'antivirus sur le système... Sur le site de Sun Solaris, il y a des mises à jour de sécurité à télécharger ? Ou il faut que j'aille les chercher ailleurs ?
 
A priori c'est peut etre une intrusion, comment les bloquer sans mettre le serveur derrière notre pare-feu ? Est-il possible d'installer dessus un pare-feu logiciel ??
 

Reply

Marsh Posté le 08-10-2004 à 11:15:02    

pourquoi tu veux pas le mettre derrière ton FW, ce serait une bonne idée, dans une DMZ par ex.
 
pour les MAJ, t'as pas du beaucoup chercher...
http://sunsolve.sun.com/pub-cgi/show.pl?target=home
 
si il y a vraiment quelqu'un sur ton système, il a du planquer des backdoor pour pouvoir y accéder. Il va falloir les trouver et les virer.
 
Vérifie quand même que ce n'est pas simplement une mauvaise manip de quelqu'un qui a accès à root.
 
Et je te propose de faire déplacer ce topic par un modérateur pour continuer la discussion sur OS alternatifs, t'auras surement + de réponses


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 08-10-2004 à 11:34:23    

Mjules a écrit :

pourquoi tu veux pas le mettre derrière ton FW, ce serait une bonne idée, dans une DMZ par ex.
 
pour les MAJ, t'as pas du beaucoup chercher...
http://sunsolve.sun.com/pub-cgi/show.pl?target=home
 
si il y a vraiment quelqu'un sur ton système, il a du planquer des backdoor pour pouvoir y accéder. Il va falloir les trouver et les virer.
 
Vérifie quand même que ce n'est pas simplement une mauvaise manip de quelqu'un qui a accès à root.
 
Et je te propose de faire déplacer ce topic par un modérateur pour continuer la discussion sur OS alternatifs, t'auras surement + de réponses


 
 :) Merci, je vais voir pour déplacer le topic !
 
Pour trouver les backdoors, il y a un moyen simple ? Ou il faut que je trouve un soft sur le web ?


Message édité par benj63 le 08-10-2004 à 11:34:51
Reply

Marsh Posté le 08-10-2004 à 11:35:35    

sous linux, il y a checkrootkit mais je sais pas si il tourne sous solaris


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 08-10-2004 à 11:37:07    

bon, selon toute vraisemblance, il tourne sur solaris :
http://www.chkrootkit.org/


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 08-10-2004 à 14:34:17    

Mjules a écrit :

bon, selon toute vraisemblance, il tourne sur solaris :
http://www.chkrootkit.org/


 
Merci !! Bon je l'ai téléchargé sur le site de Sun, j'ai exécuté la commande chkrootkit et il n'a rien détecté comme indiqué si dessous :
 

Citation :

ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not infected
Checking `gpm'... not found
Checking `grep'... not infected
Checking `hdparm'... not found
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not infected
Checking `inetdconf'... not infected
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not tested
Checking `login'... not tested
Checking `ls'... not infected
Checking `lsof'... not found
Checking `mail'... not infected
Checking `mingetty'... not found
Checking `netstat'... not infected
Checking `named'... not infected
Checking `passwd'... not tested
Checking `pidof'... not found
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not found
Checking `rpcinfo'... not infected
Checking `rlogind'... not infected
Checking `rshd'... not found
Checking `slogin'... not found
Checking `sendmail'... not infected
Checking `sshd'... not infected
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not found
Checking `telnetd'... not infected
Checking `timed'... not found
Checking `traceroute'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... Possible t0rn rootkit installed
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while... nothing found
Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for LOC rootkit ... nothing found
Searching for Romanian rootkit ... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... not tested
Checking `rexedcs'... not found
Checking `sniffer'... Checking `wted'... ./check_wtmpx: erreur de syntaxe ligne 2: `(' inattendue
./chkwtmp: erreur de syntaxe ligne 1: `(' inattendue
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... ./chklastlog: erreur de syntaxe ligne 1: `(' inattendue


 
J'ai mis en rouge les trucs bizarres, vous en pensez quoi ?
 
Je vais à présent essayer de télécharger et d'installer les patch...


Message édité par benj63 le 08-10-2004 à 14:34:35
Reply

Marsh Posté le 08-10-2004 à 14:38:28    

à partir du moment où la machine est considérée comme compromise, il faut faire un audit à partir d'un autre système considéré comme sûr.
 
Qu'est-ce qui te dit que tes commandes shell n'ont pas été altérées pour masquer les manip du vilain monsieur ?

Reply

Marsh Posté le 08-10-2004 à 14:38:28   

Reply

Marsh Posté le 08-10-2004 à 14:40:58    

un peu plus d'infos :
 
http://www.securityfocus.com/infocus/1230
 
mais si tu n'as pas pris tes précautions avant (log sur une machine différente, empreinte md5 des binaires, ...), ne compte pas remettre à neuf ce système, seule une réinstall te garantit la tranquilitée.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed