Bonjour,
suite à des problèmes remontés depuis quelques jours par des utilisateurs sur mon VPS, j'ai constaté que des commandes systèmes ont un comportement inhabituel.
Par exemple, lorsque je veux changer mon mot de passe, je tape la commande "passwd" et au lieu de voir la phrase qui me demande le nouveau mot de passe, je me retrouve dans un shell alternatif où toutes les variables d'environnement ont disparues, et j'ai un message d'erreur. Je dois alors taper "exit" pour revenir sur le prompt initial, comme si j'avais changé d'utilisateur en gardant le même nom !
Le fichier /usr/bin/passwd ne semble pas avoir été modifié si je peux croire la taille et la date de dernière modification que je peux comparer à celles d'un autre VPS avec la même distri, donc le problème ne vient pas de la commande elle-même, mais certainement d'un script système qui est appelé lorsqu'on utilise cette commande. Le problème se reproduit avec plusieurs autres commandes importantes du shell, que je ne peux plus utiliser !
Le VPS est sous Debian 7.
Quelqu'un aurait une idée de ce qui peut provoquer ce comportement et comment récupérer mon système ? Je pourrait tout réinstaller mais je perdrais alors toute chance de remonter à la faille qui a permis à l'intrus d'entrer…
Merci
Marc
Bonjour,
Éplucher les logs est la seule solution…
Après aussi vérifier que les paquets sont à jour et que les sites webs (les CMS) aussi
Bonjour,
Éplucher les logs est la seule solution...
Après aussi vérifier que les paquets sont à jour et que les sites webs (les CMS) aussi
C'est ce que je suis en train de faire, mais ma question portait surtout sur une explication du comportement de mes commandes shell. Qu'est-ce qui pourrait faire qu'une commande modifie mon environnement de cette manière ?
Les commandes ont du être modifiées.
La date n'est pas la seule chose qui compte elle peut être modifiée.
Il faut voir le contenu des fichiers, voir les alias..
Je crois que c'est foutu.
Il y a des outils comme rkhunter qui peuvent t'alerter en cas de modification de fichiers de ton système.
Mais il eût fallu que tu l'installes avant…
Système hacké, il faut sans délai sauver tes billes (et pas les fichiers vérolés avec) et reformatter. Entretemps ton hackeur peut faire des bêtises avec ton serveur (hack, scanning, phishing, …) jusqu'à la suspension du service par OVH.