**Matériel: ordinateur récent Version de YunoHost: 11.0.9.12 J’ai accès à mon serveur : En SSH | Par la webadmin | Êtes-vous dans un contexte particulier ou avez-vous effectué des modificiations particulières sur votre instance ? : non
Description du problème
Bonjour !
J’ai un truc étrange depuis cette nuit.
Je reçois sur ma boite mail toutes les minutes un mail de ce type :
–2022-08-31 11:20:01-- http://195.178.120.53/x-8.6-.ISIS
Connexion à 195.178.120.53:80… connecté.
requête HTTP transmise, en attente de la réponse… 200 OK
Taille : 99332 (97K)
Sauvegarde en : « x-8.6-.ISIS »
Résultat d’une recherche sur l’IP : 195.178.120.53
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf
% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '195.178.120.0 - 195.178.120.255'
% Abuse contact for '195.178.120.0 - 195.178.120.255' is 'ripe@mayak.bg'
inetnum: 195.178.120.0 - 195.178.120.255
netname: NETERRA-SERVERION_BV-NET
country: NL
admin-c: SB27731-RIPE
tech-c: SB27731-RIPE
status: ASSIGNED PA
mnt-by: MNT-NETERRA
mnt-routes: mnt-nl-descapital-1
mnt-domains: mnt-nl-descapital-1
created: 2022-06-28T09:01:55Z
last-modified: 2022-06-28T09:01:55Z
source: RIPE
role: Serverion B.V.
address: Krammer 8
address: 3232 HE Brielle
address: Netherlands
phone: +31851308333
org: ORG-DCB8-RIPE
abuse-mailbox: abuse@serverion.com
nic-hdl: SB27731-RIPE
mnt-by: mnt-com-serverion
created: 2020-03-17T15:49:34Z
last-modified: 2020-03-17T15:52:30Z
source: RIPE # Filtered
% Information related to '195.178.120.0/24AS211252'
route: 195.178.120.0/24
origin: AS211252
mnt-by: mnt-nl-descapital-1
created: 2022-07-20T07:26:06Z
last-modified: 2022-07-20T07:26:06Z
source: RIPE
% This query was served by the RIPE Database Query Service version 1.103 (ANGUS)
Résultat sur le nom du fichier : x-8.6-.ISIS dans un moteur de recherches
Mouai ça ressemble à un truc où ton serveur s’est fait poutré … Et tu as “de la chance” de t’en rentre compte, à mon avis la personne qui a écrit le cron job est pas super fut-fut et aurait très bien pû s’arranger pour que le cronjob n’envoie pas ce mail qui est relativement inutile (ou bien l’attaquant ne s’attendait pas à ce que le système de mail fonctionne sur la machine infectée)
Non mais à mon avis c’est pas suffisant … La tâche cron n’était que le sommet de l’iceberg à mon avis. Si tu regardes ce que faisais le code du cron, il executait le fichier x-8-6.isis qui - d’après le site trouvé par @mib - est un malware
Qui plus est, si j’ai bien compris, le cron s’est exécuté un root ?
Donc “supprimer le cron” ne résouds pas le problème : quelqu’un de malveillant a exécuté du code sur ta machine, potentiellement en root, donc c’est cuit
Le mieux que tu puisses faire c’est prendre un backup de tes données, formater toute la machine, et restaurer tout sur une instance fraîche.
Aussi pour comprendre comment l’attaquant est rentrer ce serait cool si tu peux en dire plus sur :
est-ce que tu as des apps avec une sécurité “pas ouf” (genre Wordpress - en particulier si tu avais dessus des extensions pas très connues)
est-ce que tu avais des mots de passes qui n’étaient pas spécialement robuste
tout autre manip un peu “hors du commun” que tu aurait pu faire sur la machine …