Ça m’est effectivement arrivé il y a 2 semaines.
J’ai trouvé 2 éléments frauduleux sur la machine.
-
un script skdl.sh
dans la racine de mon spip multisites, qui avait téléchargé des binaires dans /tmp, de la forme skl.aarch64
pour toutes les architectures, et « tenté » d’exécuter celle qui correspondait à la machine.
Intrusion le 26/06.
-
dans /var/tmp un répertoire .cpan-ecs-92d0 contenant des répertoires vides ET un .empty qui contenait :
-rw-rw-rw- 1 81 81 270 25 juin 14:02 cfg
-rw-rw-rw- 1 81 81 64 25 juin 13:05 cron
-rw-rw-rw- 1 81 81 31 25 juin 13:05 dir
-rwxr-xr-x 1 81 81 819K 20 févr. 2016 h64
-rw-rw-rw- 1 81 81 5 25 juin 13:06 pid
-rwxr-xr-x 1 81 81 181 3 oct. 2021 run
-rwxr-xr-x 1 81 81 3,5M 20 févr. 2016 run32
-rwxr-xr-x 1 81 81 4,5M 26 juil. 2017 run64
-rwxrw-rw- 1 81 81 226 25 juin 13:05 update
ainsi que 2 fichiers :
-rw-rw-rw- 1 81 81 336 25 juin 13:18 config.ini
-rw-r--r-- 1 81 81 50M 2 juin 10:14 system
Une crontab apache a été créée par le script autorun
:
* * * * * /var/tmp/.cpan-ecs-92d0/.empty/update >/dev/null 2>&1
Tout cela issu d’une intrusion qui selon moi aurait eu lieu le 25/05 mais qui n’aurait été « activée » que le 26/06, soit juste un mois après, peut-être à cause d’un blocage de l’IP de l’attaquant pendant un mois. Je ne sais pas comment cette intrusion a été possible.
J’ai beaucoup de mal à croire à la coïncidence entre ces 2 intrusions mais les limites de mes compétences ne m’ont pas permis de trouver le lien entre elles, d’autant que je ne sais pas ce que font les binaires.
OVH a interrompu mon serveur juste quelques heures après les conséquences de l’attaque le 26/06, je n’ai pas eu la main sur la machine et n’ai donc pas pu étudier ce qui avait réellement été exécuté. Mais du coup je n’ai pas eu à subir un effacement complet. Tout ce que j’ai trouvé l’a été hors fonctionnement du serveur.
Mon SPIP n’était pas à jour depuis juste 1 an, en version 4.1.x
J’ai donc mis à jour depuis, installé l’écran de sécurité, renforcé mon filtrage (parefeu), et mis en place des alertes supplémentaires, ainsi qu’un système de surveillance de tout fichier modifié dans mon arbo /var/www.
Cela ne me garantie jamais rien à 100%, mais ça sera toujours mieux que sans.