patage de fichiers OMG!

[chrystophe]

salut !

ce matin drôle de surprise toutes les extensions de fichiers de mon partage sont .OMG!

ça vous parle !

[christian]

non 

C'est quoi tes fichiers ? de la musique ?
et tes fichiers ont-ils été modifiés ? avec une extension comme ça, je ne serais pas surpris que tu ais été hacké. Ton serveur est accessible depuis internet ?

[chrystophe]

Oui visiblement c'est un encrypting ransomware ...
Non ce sont des fichiers excel + pdf etc
j'ai ca dans mes log... Mais apparemment ca à l'air normal !

Sep 15 09:00:03  sudo: pam_unix(sudo:session): session opened for user root by (uid=108)
Sep 15 09:00:03  sudo: pam_unix(sudo:session): session closed for user root
Sep 15 09:00:03  sudo:     ebox : TTY=unknown ; PWD=/root ; USER=root ; COMMAND=/var/lib/zentyal/tmp/7y8_wQY1Jq.cmd
Sep 15 09:00:03  sudo: pam_unix(sudo:session): session opened for user root by (uid=108)
Sep 15 09:00:03  sudo: pam_unix(sudo:session): session closed for user root
Sep 15 09:00:03  sudo:     ebox : TTY=unknown ; PWD=/root ; USER=root ; COMMAND=/var/lib/zentyal/tmp/hRNnC0n8vE.cmd
Sep 15 09:00:03  sudo: pam_unix(sudo:session): session opened for user root by (uid=108)
Sep 15 09:00:03  sudo: pam_unix(sudo:session): session closed for user root
Sep 15 09:00:03 sudo:     ebox : TTY=unknown ; PWD=/root ; USER=root ; COMMAND=/var/lib/zentyal/tmp/omWABU3Lrn.cmd
Sep 15 09:00:03  sudo: pam_unix(sudo:session): session opened for user root by (uid=108)
Sep 15 09:00:03 sudo: pam_unix(sudo:session): session closed for user root
Sep 15 09:00:03  sudo:     ebox : TTY=unknown ; PWD=/root ; USER=root ; COMMAND=/var/lib/zentyal/tmp/x8KduvV9vY.cmd

[christian]

ouch ! 

Il est grand temps de fermer tous les accès, depuis l'extérieur mais aussi depuis l'intérieur jusqu'à ce que tu trouves d'où ça vient !!!
- As-tu des applications accessibles depuis un site web que tu exposerais ? (par exemple un truc genre OwnCloud ?)
- As-tu un serveur FTP ? SSH ?
- C'est un partage Samba uniquement ?

Bref, il faut absolument trouver sans quoi rien ne sert de corriger, ça reviendra.

Il se peut que l'accès viennent depuis l'extérieur mais aussi un virus/malware sur un poste à l'intérieur (ton propre poste par exemple). As ce propos, il est très important que la machine d'administration soit une machine "propre", c'est à dire avec laquelle tu ne vas pas surfer sur internet ou installer des programmes bizarres 

[chrystophe]

J'ai un acces ssh oui mais aucun site web ni FTP.
uniquement zarafa/zentyal....

et oui il y a un partage samba !

[christian]

Zarafa accessible depuis l'extérieur ?

[chrystophe]

oui bien sur webapp et webaccess

j'ai fait un chkrootkit et clamscan:
je n'ai que:

The following suspicious files and directories were found:
/usr/lib/python2.7/dist-packages/nova/CA/.gitignore /usr/lib/python2.7/dist-packages/nova/CA/private/.placeholder /usr/lib/python2.7/dist-packages/nova/CA/reqs/.placeholder /usr/lib/python2.7/dist-packages/nova/CA/reqs/.gitignore /usr/lib/python2.7/dist-packages/nova/CA/projects/.placeholder /usr/lib/python2.7/dist-packages/nova/CA/projects/.gitignore /usr/lib/python2.7/dist-packages/nova/CA/newcerts/.placeholder /usr/lib/perl5/auto/DateTime/Format/Mail/.packlist /usr/lib/pymodules/python2.7/.path

[christian]

oui bien sur webapp et webaccess

 

ne prend pas mal ma réponse mais à la question "As-tu des applications accessibles depuis un site web que tu exposerais ?", ta réponse est "non" 

Zarafa est vu comme un service de mail alors que c'est avant tout une application web (lorsque pas utilisé uniquement avec le plug-in Outlook).
Je ne dis pas que le problème vient de là d'ailleurs, c'est juste une réflexion générale sur la compréhension qu'ont les administrateurs de système de de quoi est faite leur infrastructure.

Pour en revenir à ton problème: cherche si tu as des pages web avec du code java suspect.
Probablement pas facile à trouver. Bon courage.

J'ai eu à faire un truc similaire sur un site Joomla infecté il y a quelques temps et je n'ai rien trouvé tant que je n'ai pas fait un scan de l'ensemble des fichier su site (que j'avais mis sur une clé USB) avec plusieurs anti-virus différents. (blacole virus).

[chrystophe]

J'ai déjà une mauvaise expérience avec un vieux joomla plein de faille aussi

je suis certainement sur une piste, l'intrusion aurait été faire depuis un poste et non pas le serveur !

[christian]

je suis certainement sur une piste, l'intrusion aurait été faire depuis un poste et non pas le serveur !

Il se peut que l'accès viennent depuis l'extérieur mais aussi un virus/malware sur un poste à l'intérieur (ton propre poste par exemple)

Classique    mais inquiétant quand même si l'appli ou le firewall permettent un accès qui génèrent ce résultat.
ça vaut vraiment le coup d'aller au bout de cette analyse et de publier ici la conclusion.

[chrystophe]

Bon pour résumé, ca n'a pas touché zentyal....
il s'est introduit depuis un poste via RDP ( donc par la gde porte: le mot de passe du l'utilisateur étant très faible....)
c'est du encrypted Ransomware ...

[christian]

Merci pour le feedback